Product SiteDocumentation Site

8.4. قواعد بيانات المستخدمين والمجموعات

تُخزَّن قائمة المستخدمين عادة في الملف /etc/passwd، بينما يحوي الملف /etc/shadow كلمات السر المشفرة. كل من هذين الملفين ملف نصي، وصيغته بسيطة نسبياً، يمكن قراءته وتعديله باستخدام محرر نصوص. يُذكَر كل مستخدم في تلك الملفات في سطر واحد يحوي عدة حقول تفصلها نقطتان (”:“).

ملاحظة تحرير ملفات النظام

ملفات النظام المذكورة في هذا الفصل كلها ملفات نصية، ويمكن تحريرها باستخدام مجرر نصوص. نظراً لأهميتها لعمل الظائف الأساسية في النظام، يجب أخذ احتياطات إضافية عند تحريرها. أولاً، يجب دائماً نسخ ملفات النظام أو أخذ نسخة احتياطية قبل فتحه و تعديله. ثانياً، يجب اتخاذ خطوات إضافية لمنع تضرر الملفات على المخدمات أو الأجهزة التي يحتمل أن يدخل أكثر من شخص على الملف نفسه في الوقت نفسه.
في تلك الحالة، يكفي استخدام الأمر vipw لتحرير الملف /etc/passwd، أو vigr لتحرير /etc/group. تقفل هذه الأوامر الملفات المذكورة قبل فتح محرر النصوص، (vi افتراضياً، إلا إذا تعدّل متغير البيئة EDITOR). يسمح الخيار -s في هذه الأوامر بتحرير ملف shadow الموافق.

أساسيات Crypt، تابع أحادي الاتجاه

crypt هو تابع أحادي الاتجاه يحوّل سلسلة نصية (A) إلى سلسلة أخرى (B) بحيث لا يمكن اشتقاق A من B. الطريقة الوحيدة للتعرف على A هي اختبار جميع القيم المحتملة، ومقارنة ناتج تحويل كل قيمة باستخدام التابع نفسه لمعرفة هل يساوي B أم لا. يقبل التابع دخلاً يصل إلى 8 محارف (السلسلة A) ويولّد سلسلة من 13 محرف ASCII قابل للطباعة (السلسلة B).

8.4.1. قائمة المستخدمين: /etc/passwd

يحوي الملف /etc/passwd الحقول التالية:
  • اسم تسجيل الدخول، مثلاً rhertzog؛
  • كلمة السر: كلمة السر مشفّرة بتابع أحادي الاتجاه (crypt)، يعتمد على DES، أو MD5، أو SHA-256 أو SHA-512. تشير القيمة الخاصة ”x“ إلى أن الكلمة المشفرة مخزّنة في الملف /etc/shadow؛
  • uid: رقم تعريف فريد للمستخدم (user id)؛
  • gid: رقم التعريف الفريد لمجموعة المستخدم الرئيسة (تنشئ دبيان مجموعة خاصة لكل مستخدم افتراضياً)؛
  • GECOS: حقل بيانات يحوي اسم المستخدم الكامل عادة؛
  • مجلد تسجيل الدخول، وهو يُعطى للمستخدم لتخزين ملفاته الشخصية (يشير متغير البيئة $HOME إلى هذا المجلد عموماً)؛
  • البرنامج الذي سيُنفَّذ عند تسجيل الدخول. يكون هذا عادة مفسّر أوامر (صَدَفة)، يطلق للمستخدم العنان. إذا وضعت /bin/false هنا (الذي لا يفعل شيئاً ويعيد التحكم مباشرة)، فلن يتمكن المستخدم من الدخول.

أساسيات مجموعات يونكس

مجموعة اليونكس هي كيان يتضمن عدة مستخدمين حتى يتمكنون من تشارك الملفات بسهولة عبر نظام الصلاحيات التقليدي (بالاستفادة من امتلاك الصلاحيات نفسها). يمكنك أيضاً حصر استخدام برامج معينة بمستخدمي مجموعة محددة.

8.4.2. ملف كلمات السر المشفّر والمخفي: /etc/shadow

يحوي ملف /etc/shadow الحقول التالية:
  • اسم تسجيل الدخول؛
  • كلمة السر المشفرة؛
  • عدة حقول تتحكم بانتهاء صلاحية كلمة السر.

توثيق صيغ الملفات /etc/passwd و /etc/shadow و /etc/group

صيغ هذه الملفات موثّقة في صفحات الدليل التالية: passwd(5)‎ و shadow(5) ‎ و group(5)‎.

أمن أمان الملف /etc/shadow

لا يستطيع المستخدمون العاديون قراءة الملف /etc/shadow، بخلاف بديله السابق /etc/passwd. كلمات السر المخزّنة في /etc/passwd مقروءة للجميع؛ وقد يحاول مخترق ما ”كسر“ (أو كشف) إحدى كلمات السر بإحدى أساليب ”brute force القوة العمياء“ التي تحاول ‒ببساطة‒ تخمين الكلمة عبر تجربة تشفير مجموعات من الحروف شائعة الاستخدام. لم يعد هذا الهجوم —الذي يدعى ”dictionary attack“— ممكناً على النظم التي تستخدم /etc/shadow.

8.4.3. تعديل حساب سابق أو كلمة السر

يسمح الأمر التالي بتعديل المعلومات المُخزّنة في الحقول الخاصة في قواعد بيانات المستخدمين: يسمح الأمر passwd للمستخدم العادي بتعديل كلمة سره، حيث يحدث الملف /etc/shadow؛ أما chfn‏ (CHange Full Name)، الذي يستطيع استخدامه الجذر (root) فقط، يُعدّل الحقل GECOS. ويسمح الأمر chsh‏ (CHange SHell) للمستخدم بتغيير صدفة تسجيل الدخول، لكن الخيارات المتاحة محددة حصراً بالخيارات المذكورة في /etc/shells؛ أما مدير النظام فلا يخضع لهذا القيد ويستطيع جعل أي برنامج يختاره صدفة تسجيل دخول.
أخيراً، يسمح الأمر chage‏ (CHange AGE) لمدير النظام بتغيير إعدادات انتهاء صلاحية كلمة السر (يعرض الخيار -l user الوضع الحالي). يمكنك أيضاً فرض انتهاء صلاحية كلمة سر أحد المستخدمين بالأمر passwd -e user، الذي سيفرض على المستخدم تغيير كلمة سره في المرة التالية التي يسجل فيها دخوله.

8.4.4. تعطيل حساب

قد تحتاج أحياناً ”لتعطيل حساب“ (منع المستخدم من الدخول)، كإجراء تأديبي، أو للتحقيق، أو ببساطة في حال غياب المستخدم لفترة طويلة أو غيابه نهائياً. تعطيل الحساب يعني منع المستخدم من تسجيل الدخول أو الوصول إلى الجهاز. يبقى الحساب على الجهاز كما هو ولا تحذف أي ملفات أو بيانات؛ لكن ببساطة لا يمكن الوصول إليها. يتم هذا باستخدام الأمر passwd -l user (للقفل lock). أما إعادة تفعيل الحساب فتتم بطريقة مشابهة، عبر استخدام الخيار -u (فك القفل unlock).

التعمق أكثر NSS وقواعد بيانات النظام

بدلاً من استخدام الملفات العادية لإدارة قوائم المستخدمين والمجموعات، يمكنك استخدام أنواع أخرى من قواعد البيانات، مثل LDAP أو db، وذلك عن طريق استخدام وحدة NSS‏ (Name Service Switch) المناسبة. تحدد الوحدات المستخدمة في الملف /etc/nsswitch.conf، في المدخلات passwd و shadow و group. انظر قسم 11.7.3.1, “إعداد NSS” لمثال خاص عن استخدام LDAP لوحدة NSS.

8.4.5. قائمة المجموعات: /etc/group

تسرد المجموعات في الملف /etc/group، وهو قاعدة بيانات نصية بسيطة صيغتها تشبه صيغة الملف /etc/passwd، وتحوي الحقول التالية:
  • اسم المجموعة؛
  • كلمة السر (اختياري): تستخدم فقط عند محاولة انضمام مستخدم غير عضو إلى المجموعة (باستخدام الأمر newgrp أو الأمر sg، انظر الملاحظة الجانبية أساسيات العمل مع عدة مجموعات
  • gid: رقم تعريف فريد للمجموعة (group id)؛
  • لائحة الأعضاء: قائمة بأسماء المستخدمين أعضاء المجموعة، تفصل أسماؤهم بفواصل (”,“).

أساسيات العمل مع عدة مجموعات

قد ينتمي كل مستخدم لعدة مجموعات؛ أحدها تكون ”المجموعة الرئيسية“. تنشأ مجموعة المستخدم الرئيسة ‒ افتراضياً ‒ أثناء الإعداد الأولي للمستخدم. افتراضياً، ينتمي كل ملف ينشئه المستخدم للمستخدم نفسه، كما ينتمي لمجموعته الرئيسة أيضاً. هذا ليس مرغوباً دائماً؛ إذا كان المستخدم يحتاج أن يعمل في مجلد مشترك مع مجموعة تختلف عن مجموعته الرئيسة مثلاً. في تلك الحالة، على المستخدم تغيير مجموعته الرئيسة باستخدام أحد الأوامر التالية: newgrp، الذي يفتح صدفة جديدة، أو sg الذي يُنفّذ أمراً واحداً باستخدام المجموعة البديلة المعطاة ببساطة. تسمح هذه الأوامر أيضاً للمستخدم بالانضمام لمجموعة لا ينتمي إليها. إذا كانت المجموعة محمية بكلمة سر، فعلى المستخدم كتابة كلمة السر المناسبة قبل تنفيذ الأمر.
أو يستطيع المستخدم تفعيل البت setgid على المجلد بدلاً من ذلك، وهذا يجعل الملفات المنشأة في ذلك المجلد تنتمي آلياً للمجموعة الحالية. لمزيد من التفاصيل، انظر الملاحظة الجانبية أمن مجلدات setgid و ”البت اللاصق.
يعرض الأمر id الوضع الحالي للمستخدم، مع المعرّف الشخصي للمستخدم (المتغير uid)، والمجموعة الرئيسة الحالية (المتغير gid)، ولائحة المجموعات التي ينتمي إليها المستخدم (المتغير groups).
The addgroup and delgroup commands add or delete a group, respectively. The groupmod command modifies a group's information (its gid or identifier). The command gpasswd group changes the password for the group, while the gpasswd -r group command deletes it.

تلميح getent

يتحقق الأمر getent‏ (get entries) من قواعد بيانات النظام بالطريقة القياسية، مستخدماً دوال المكتبات المناسبة، التي تستدعي بدورها وحدات NSS المحددة في الملف /etc/nsswitch.conf. يأخذ الأمر متغيراً واحداً أو متغيرين: اسم قاعدة البيانات التي يراد التحقق منها، ومفتاح البحث المطلوب. بالتالي، يعطي الأمر getent passwd rhertzog المعلومات من قاعدة بيانات المستخدمين التي تتعلق بالمستخدم rhertzog.