Управление пользователями
!!! Ошибка в учебнике: syslog.d исп. не для хранения настрек, а для хранения сокетов, из которых читаются журналы.
Мы уже говрили про пароли, но не говорили, как польз. мжет сменить себе пароль. Чтобы ещё раз убедиться... (это есть в учебнике про [passwd, shadow). Вчера же говорилось, чо пароли в линуксе вообще не зранятся. Есть файл passwd, в котором зранится вся инф. о пользователе, кроме пароля. Чего ещё там нет: нет информации о том, каково время жизни пароля, и ещё кроме чего. Всё это хранится в shadow. В OWL и derivatives это хранится в /etc/tcb/ирмяпольз/shadow. Как устроен passwd. Там хранится список пользователей и о том, как настр. сеанс работы. Каждая строчка отн. к отд. пользователю. Дублирование первых полей (поля разд. двоеточиями, эт самый стрый формат),
- первое поле --- имя
- второе --- раньше был пароль, т еперь там x в знак того, что надо ходить в shadow
- номер польз
- номер группы
- gecos. (история про gecos) Сейчас там размещается разная информация
- home dir
- shell. Для пользвателей, которые системные и ктрым шелл не нужеН, там делают затычку. ... Для чего нужна такие неживые пользователи? Для разделения дступа разных служб. .от мы вначале видем страшного рута, и хрошо бы, чтобы как можно меньше вып. под ним. Поэтому для каждй сис. службы заводятся свой пользватель, и все файлы, которая а исп., будут прин. этому пользователю, процесс будет исп. этого польз., залогиниться им нельзя, потому чт шелл не в /etc/shells и шелл у него не стоит. Поэтому если мжно будет этой службй злоуптребить, то максимум, что можн будет сделать, так попортитьсвои сбств. файлы. Таких сис. служб довольно много, на машине, на которой стоит немного служб их 44
Здесь вроде всё понятно. Давайте заглянем в /etc/group. В файле этом содержится список имеющихся групп. Каджый польз. может сост. в неск. группах и каждая группа может включать неск. плоьз. Первое поле --- имя группы, втрое --- групповой парль. Третье поле --- идентификатор группы, 4 поле --- через запятую перечислены входые имена пользователей. Почему это важн: потому что здесь есть мутность, она же тонкость. Когда запю. процесс, он выясняет членство в базовой группе, а вот членство процесса в ост. группах выясняется путём того, где, в каких группах содержится login name. Вы можете зарег. 2 польз.,у которых динаквый uid и разные имена и сделать членство в разны группах.
Для смены парля исп. прграмма passwd. На самом деле, их две --- в bin и sbin и исп. ни соотв. обычным пльз. ирутом и пред. разные пции.
Создадим нового пользователя. Мы создали польз. admin, сост. в группе wheel. Поск. не указали uid, выбран первый попавшийся, group тоже не указали, поэтому будет сздана группа admin и нмер у неё будет первый попавшийся. Такое поведение пояилось недавно, и надо было указывать группу. С некоторых пор стало популярно доб. польз. в отдельную группу, и если хотели добавить в общую группу, то выносить отдельно в /etc/group. Это удобно для просмотра /etc/group. Посмтрим, к чему привела эта операция.
Этому пользвателю авт. создался домашний каталог (в bsd для этого надо было говорить -m). Туда были положены файлы из /tc/skel.
Единственное, чего у пользхователя нет --- пароля.
Удалять польз. при помощи userdel, есть ключ -r, которая удаляет и homedir и его почту. Сразу вопрс: хорошо ли удалять пользователей? Сущ. мнение, что польз. удалять вообще не надо. Смотрите: пользователь что-то делал, у него есть уидент., и имя. Вы его удалили. Встаёт вопрос: удалять ли его дом. каталог или нет? Допустим, нет. И так случилось, чт польз. имел наиб. uid. Тгда вы заводите след. польз., и он uid имеет такой же. И он имеет доступ в каталг отго польз. Так случилось, потму что вы его удалили. На самом деле, над было запретить логин. Для этго надо манип. кмандой sbin/passwd, где есть прааметр -l, которая что-то делает с файлом shadow, после чего пльз. входить не сможет. Есть неб. вероятность, что такой польз. может логинится в ssh, если откл. user login. Кроме того, passwd т рута позв. ещё чт-то делать интересное.
Суперпольз. мжет модиф. настр. уже заведённго польз.ю, в частности, поменять некую инф., кторая хранится не в passwd, а в shadow. Например, сделать парль временным, то есть пароль будет действ. нек. время, после чег прсрчится. Там врде ещё была возм. сделать предупреждения, чтбы принудить менять парль с опр. периодом.
Возвр. к зав. польз. Польз. мы завели, а пароль не задали. По умолч. польз. созд. такй, что зайти в систему он не мжет. В-первых, можно задать парольь вручную, во-вторых, мжно здать его двумя другими способами: в -p указать пароль. Н так просто хэш не плоучить, поск. в альте исп. blowfish. Как делает лектор: можно поставить пакет python-module-bcrypt, запустить питн и сказать bcrypt.hashpw("password", bcrypt.gensalt(8)).
Патч к предыдущему модулю: salt эт не 2a, тут более хитрый алгоритм.
Кто знает перл, пользуется перлом для той же цели. Специальной утилиты для этого нет.
Эт та штука, которую можно исп. для задания пароля.
Почему лектор это вспомнил: если хотите написать скрипт, который заводит много польз. и задаёт им пароли, то можно либо заранее вычислить, либо вычислять на осн. имени и ещё чего-то, либо вт как-то генерировать. Для последнего случая есть утилита pwgen.
Что ещё осталось про эту тему: мы сзд. польз. admin, и добавили его только в одну группу. А неплох его было бы добавить в другие группы. Зачем добавлять польз. в таке кол. групп? При рботе с десктпом было бы неплох первому залогиненому польз. выдать доступ к разл. ресурсам (съёмным дискам, аудио, ...). Первому польз., ктрый хзарег. в системе, мдуль pam'а выдаёт некие устр из числа нахдящихся в /dev. Реально выдаёт, можно посмотреть ls -l /dev/ | grep saj А ещё в этом /dev есть куча устройств, кторые никому не выдаются.
Как добавить польз. в группу: в стандартном POSIX доб./уд. в группах не было реализован в виде команды. Можно редактировать текст. файл или изощряться с usermod,а атмарнй перации нет. В альте для этго есть команда gpasswd.
Сведения о ресурсах
Готовность (%) |
Продолжительность (ак. ч.) |
Подготовка (календ. ч.) |
Полный текст (раб. д.) |
Предварительные знания |
Level |
Maintainer |
Start date |
End date |
0 |
1 |
1 |
1 |
|
1 |
|
|