Product SiteDocumentation Site

8.4. پایگاه‌داده‌های کاربران و گروه‌ها

فهرست کاربران معمولا در فایل /etc/passwd ذخیره می‌شود، در صورتی که فایل /etc/shadow گذرواژه‌های رمزگذاری‌شده را ذخیره می‌کند. هر دو فایل، از نوع متنی هستند که به سادگی با استفاده از یک ویرایشگر متن قابل خواندن و تغییر هستند. هر کاربر در خط جداگانه‌ای به همراه فیلد‌هایی که با : از یکدیگر جدا شده‌اند، قرار دارد.

یادداشت ویرایش فایل‌های سیستمی

فایل‌های سیستمی که در این فصل به آن‌ها اشاره شده همگی از نوع متنی بوده که می‌توانند با استفاده از یک ویرایشگر متن تغییر یابند. با در نظر گرفتن اهمیت آن‌ها برای عملکرد صحیح سیستم، ایده خوبی است که هنگام ویرایش آن‌ها برخی نکات را مد نظر قرار دهیم. ابتدا، قبل از ویرایش یک فایل سیستمی، حتما یک رونوشت از آن تهیه کنید. سپس در سرورهایی که بیش از یک کاربر ممکن است در هر لحظه این فایل‌ها را مشاهده یا ویرایش کند، گام‌های دیگری برای جلوگیری از خراب شدن این فایل‌ها باید برداشته شوند.
به این منظور، تنها کافی است از دستور vipw برای ویرایش فایل /etc/passwd و از دستور vigr برای ویرایش فایل /etc/group استفاده کرد. این دستورات قبل از بازکردن ویرایشگر، فایل را قفل می‌کنند (ویرایشگر متن پیش‌فرض vi است، مگر توسط متغیر محلی EDITOR تغییر کرده باشد). گزینه -s در این دستورات امکان ویرایش فایل shadow مربوطه را می‌دهد.

بازگشت به مقدمات Crypt، تابعی یک-طرفه

crypt یک تابع یک-طرفه است که رشته‌ای مانند A را به رشته B تبدیل می‌کند به صورتی که رشته A از B نتواند به دست آید. تنها راه شناسایی A بررسی تمام گزینه‌های موجود است تا بتوان تشخیص داد آیا تبدیل انجام شده توسط تابع منجر به تولید B می‌شود یا خیر. تا ۸ کاراکتر را در ورودی استفاده کرده (رشته A و رشته‌ای شامل ۱۳ کاراکتر قابل چاپ با کد اسکی را تولید می‌کند (رشته B).

8.4.1. فهرست کاربران: /etc/passwd

فیلدهای مورد استفاده در فایل /etc/passwd عبارتند از:
  • نام کاربری، برای نمونه rhertzog؛
  • گذرواژه: این گذرواژه‌ای است که توسط تابع crypt و مبتنی بر استانداردهای DES، MD5، SHA-256 یا SHA-512 تولید شده است. مقدار ویژه “x” به این معنا است که گذرواژه رمزگذاری شده در فایل /etc/shadow قرار دارد؛
  • uid: شناسه منحصربفرد هر کاربر؛
  • gid: شناسه منحصربفرد گروه هر کاربر (دبیان به صورت پیش‌فرض برای هر کاربر یک گروه خاص قرار می‌دهد)؛
  • GECOS: فید داده‌ای که معمولا نام کامل کاربر را شامل می‌شود؛
  • دایرکتروی حساب کاربری، که برای ذخیره‌سازی فایل‌های شخصی هر کاربر اختصاص می‌یابد (متغیر محلی $HOME معمولا به اینجا اشاره می‌کند)؛
  • برنامه‌ای که هنگام ورود کاربر اجرا می‌شود. این معمولا یک مفسر خط‌فرمان (پوسته) است که کنترل آزاد را در اختیار کاربر می‌گذارد. اگر گزینه /bin/false را استفاده کنید به این معنا است که کاربر نمی‌تواند لاگین کند.

بازگشت به مقدمات گروه در یونیکس

یک گروه یونیکس شامل موجودیتی مستقل از مجموعه کاربرانی است که می‌توانند طبق یک سری مجوزهای خاص عملیات یکسانی را روی سیستم انجام دهند. همچنین می‌توانید استفاده از یک سری برنامه‌ها را برای یک گروه خاص منع کنید.

8.4.2. فایل رمزگذاری‌شده و مخفی گذرواژه‌ها: /etc/shadow

فایل /etc/shadow شامل فیلدهای زیر است:
  • نام کاربری؛
  • گذرواژه رمزگذاری‌شده؛
  • تعدادی فیلد که مدت زمان اعتبار گذرواژه را تعیین می‌کنند.

مستندات قالب فایل‌های /etc/passwd، /etc/shadow و /etc/group

این قالب‌ها در صفحات راهنمای مربوط به خود مستندسازی شده‌اند: passwd(5) shadow(5) و group(5)

امنیت امنیت فایل /etc/shadow

/etc/shadow بر خلاف فایل /etc/passwd نمی‌تواند توسط کاربران عادی خوانده شود. هر گذرواژه رمزگذاری شده‌ای در فایل /etc/passwd توسط همگان قابل خواندن است؛ یک cracker می‌تواند با استفاده از مجموعه رشته‌های قابل حدس اقدام به “شکستن” (یا نمایان‌کردن) یک گذرواژه با استفاده از روش‌های “brute force” اقدام کند. این نوع حمله - که با نام "dictionary attack" شناخته می‌شود - در سیستم‌هایی که از فایل /etc/shadow استفاده می‌کنند غیرقابل استفاده است.

8.4.3. تغییر یک حساب کاربری موجود یا گذرواژه آن

دستورات زیر امکان تغییر اطلاعات موجود در پایگاه‌داده کاربران و فیلدهای مرتبط با آن را می‌دهند: passwd به یک کاربر عادی اجازه تغییر گذرواژه خود را می‌دهد که این عملیات منجر به بروزرسانی فایل /etc/shadow می‌گردد؛ chfn یا CHange Full Name، که مختص به کاربر root است، فیلد GECOS را تغییر می‌دهد. chsh یا CHange SHell به کاربران امکان تغییر پوسته یا مفسر خط‌فرمان را می‌دهد، اگرچه گزینه‌های ممکن در فایل /etc/shells موجود هستند؛ مدیرسیستم، از طرف دیگر، شامل این محدودیت نمی‌شود و می‌تواند پوسته را به هر برنامه دیگری تغییر دهد.
در نهایت، دستور chage یا CHange AGE به مدیرسیستم امکان تغییر زمان اعتبار گذرواژه را می‌دهد (گزینه -l user تنظیمات فعلی را نمایش می‌دهد). می‌توانید برای مجبور کردن کاربر به تغییر گذرواژه خود از دستور passwd -e user استفاده کنید تا در هنگام ورود بعدی به سیستم، گذرواژه جدید را وارد کند.

8.4.4. غیرفعال‌سازی یک حساب‌کاربری

ممکن است بخواهید “یک حساب‌کاربری را غیرفعال کنید” (قفل‌کردن یک کاربر)، به عنوان یک عمل انضباطی، به منظور تحقیقات بیشتر روی یک موضوع یا در صورتی که کاربر مدت زمان طولانی حضور نداشته باشد. یک حساب‌کاربری غیرفعال‌شده به این معنی است که وی نمی‌تواند وارد سیستم شود و به آن دسترسی داشته باشد. محتویات این حساب‌کاربری بدون کوچکترین تغییری روی سیستم باقی می‌مانند؛ تنها به سادگی دسترسی به آن وجود ندارد. این کار با استفاده از دستور passwd -l user انجام می‌شود (lock). فعال‌سازی مجدد آن نیز با استفاده از گزینه -u در همان دستور صورت می‌گیرد (unlock).

مطالعه بیشتر NSS و پایگاه‌داده‌های سیستم

بجای استفاده از فایل‌های معمولی برای ذخیره‌سازی فهرستی از کاربران و گروه‌ها، می‌توانید از سایر پایگاه‌داده‌ها برای اینکار استفاده کنید مانند LDAP یا db با استفاده از یک ماژول NSS مناسب. ماژول‌های مورد استفاده در فایل /etc/nsswitch.conf فهرست می‌شوند، درست زیر مدخل‌های passwd، shadow و group. برای یک نمونه مشخص از کاربرد ماژول NSS توسط LDAP قسمت قسمت 11.7.3.1, “پیکربندی NSS” را مشاهده کنید.

8.4.5. فهرست گروه: /etc/group

گروه‌ها در فایل /etc/group فهرست می‌شوند، یک پایگاه‌داده ساده متنی درست مانند /etc/passwd که شامل فیلدهای زیر است:
  • نام گروه؛
  • گذرواژه (اختیاری): این فیلد برای الحاق یک گروه استفاده می‌شود که یک عضو معمولی به حساب نمی‌آید (با دستورات newgrp یا sg، قسمت بازگشت به مقدمات کار با چندین گروه را مشاهده کنید)؛
  • gid: شناسه منحصربفرد هر گروه؛
  • فهرست اعضا: فهرستی از نام کاربرانی که عضو این گروه هستند، که با کاما جدا شده‌اند.

بازگشت به مقدمات کار با چندین گروه

هر کاربر می‌تواند عضو چندین گروه باشد؛ یکی از آن‌ها “گروه اصلی” است. گروه اصلی هر کاربر، به صورت پیش‌فرض، هنگام پیکربندی اولیه حساب‌کاربری بوجود آمده است. به صورت پیش‌فرض، هر فایلی که کاربر ایجاد می‌کند به وی و گروهش اختصاص دارد. این عمل همیشه مطلوب نیست؛ برای نمونه، زمانی که کاربر باید در دایرکتروی کار کند که شامل گروه دیگری باشد. در این مورد، کاربر باید گروه اصلی‌اش را با استفاده از دستورات newgrp، که یک پوسته جدید را اَغاز می‌کند یا sg یک دستور را با توجه به گروه جایگزین وارد شده اجرا می‌کند. این دستورات یه کاربر امکان می‌دهند که به گروه جدید دیگری اضافه شوند. اگر گروه با استفاده از گذرواژه محافظت شود، باید قبل از اینکه دستور اجرا شود آن را وارد کنند.
به علاوه، کاربر می‌تواند بیت setgid را روی دایرکتوری تنظیم کند، که منجر می‌شود فایل‌های ایجاد شده روی آن دایرکتوری به صورت خودکار به گروه درستی اختصاص یابند. برای جزئیات بیشتر، قسمت امنیت دایرکتوری setgid همراه با sticky bit را مشاهده کنید.
دستور id وضعیت فعلی یک کاربر را نمایش می‌دهد، به همراه شناسه منحربفرد وی (متغیر uid)، گروه اصلی فعلی (متغیر gid) و فهرستی از گروه‌ها که کاربر به متعلق به آن‌هاست (متغیر groups).
The addgroup and delgroup commands add or delete a group, respectively. The groupmod command modifies a group's information (its gid or identifier). The command gpasswd group changes the password for the group, while the gpasswd -r group command deletes it.

نکته getent

دستور getent یا get entries به شیوه‌ای استاندارد به بررسی پایگاه‌داده‌های سیستم می‌پردازد، با استفاده از توابع کتابخانه‌ای مناسب، که در بازگشت با استفاده از فراخوانی ماژول‌های NSS موجود در فایل /etc/nsswitch.conf اطلاعات را باز می‌گرداند. دستور یک یا دو پارامتر می‌گیرد: نام پایگاه‌داده‌ای که قصد بررسی دارد و یک کلیدواژه احتمالی برای جستجو. بنابراین، دستور getent passwd rhertzog اطلاعات پایگاه‌داده کاربری را برای کاربر rhertzog بدست می‌آورد.