Product SiteDocumentation Site

8.4. Bruker og gruppers databaser

Listen av brukere er vanligvis lagret i /etc/passwd-filen, mens /etc/shadow-filen lagrer krypterte passord. Begge er tekstfiler, i et relativt enkelt format, som kan leses og modifiseres med en tekstredigerer. Hver bruker er oppført der på en linje med flere felt atskilt med et kolon («:»).

MERK Redigere systemfiler

Systemfilene, som er nevnt i dette kapitlet, er alle rene tekstfiler, og kan redigeres med en tekstredigerer. Tatt i betraktning betydningen deres for kjernesystemets funksjonalitet, er det alltid en god idé å ta ekstra forholdsregler når du redigerer systemfiler. Først, lag alltid en kopi eller backup av en systemfil før du åpner eller endrer den. For det andre, på tjenere eller maskiner der mer enn én person som potensielt kan få tilgang til samme fil samtidig, ta ekstra forholdsregler for å beskytte filen mot å bli ødelagt.
For dette formålet er det nok å bruke vipw-kommandoen for å redigere /etc/passwd-filen, eller vigr for å redigere /etc/group. Disse kommandoene låser den aktuelle filen før du kjører tekstredigereren (vi som standard, om ikke EDITOR miljøvariabelen har blitt endret). -s-valget i disse kommandoene tillater redigering av den overensstemmende shadow-filen.

DET GRUNNLEGGENDE Crypt, en enveisfunksjon

crypt er en enveisfunksjon som endrer en streng (A) til en annen streng (B) på en måte som A ikke kan avledes fra B. Den eneste måten å identifisere A på er å teste alle mulige verdier, og sjekke hver og en for å avgjøre om funksjonsendringen vil produsere B eller ikke. Den bruker opp til 8 karakterer som inndata (streng A), og genererer en streng på 13, utskriftsbare, ASCII-karakterer (streng B).

8.4.1. Brukerliste: /etc/passwd

Her er listen med feltene i /etc/passwd-filen:
  • login, for eksempel rhertzog;
  • passord: Dette er et passord kryptert med en enveis funksjon (crypt), som støtter seg på DES, MD5, SHA-256, eller SHA-512. Spesialverdien «x» indikerer at det krypterte passordet er lagret i /etc/shadow;
  • uid: unikt nummer som identifiserer hver bruker;
  • gid: unikt nummer for brukerens hovedgruppe (Debian lager en bestemt gruppe for hver bruker som standard);
  • GECOS: datafelt som vanligvis inneholder brukerens fulle navn;
  • innloggingsmappe, tildelt til brukeren for oppbevaring av sine personlige filer (miljøvariabelen $HOME peker generelt hit);
  • program som skal kjøres ved pålogging. Dette er vanligvis en kommandofortolker (skall), som gir brukeren frie hender. Hvis du angir /bin/false (som ikke gjør noe, og returnerer kontrollen umiddelbart), kan ikke brukeren logge inn.

DET GRUNNLEGGENDE Unix-gruppe

En Unix-gruppe er en enhet som omfatter flere brukere slik at de enkelt kan dele filer ved hjelp av det integrerte tillatelsesystemet (ved å dra nytte av de samme rettigheter). Man kan også begrense bruken av visse programmer til en bestemt gruppe.

8.4.2. Den skjulte og krypterte passordfilen: /etc/shadow

/etc/shadow-filen inneholder de følgende feltene:
  • login;
  • krypterte passord;
  • flere felt håndterer passordopphør.

DOKUMENTASJON /etc/passwd, /etc/shadow og /etc/group-filformater

Disse formatene er dokumentert i de følgende manualsidene: passwd(5), shadow(5), og group(5).

SIKKERHET /etc/shadow-filsikkerhet

/etc/shadow, ulikt dets alter ego, /etc/passwd, kan ikke leses av vanlige brukere. Et hvilket som helst kryptert passord lagret i /etc/passwd kan leses av hvem som helst; en cracker (knekker) kan forsøke å «bryte» (eller avsløre) et passord ved en av flere «brutale» metoder som, enkelt sagt, å gjette på vanlig brukte kombinasjoner av tegn. Dette angrepet - kalt «ordbokangrep» - er ikke lenger mulig på systemer som bruker /etc/shadow.

8.4.3. Å modifisere en eksisterende konto eller passord

Følgende kommandoer tillater endring av informasjonen som er lagret i bestemte felt i brukerdatabasen: passwd tillater en vanlig bruker å endre passordet sitt, som igjen oppdaterer /etc/shadow-filen; chfn (CHange Full Name), er reservert for superbrukeren (rot), modifiserer GECOS-feltet. chsh (CHange SHell) lar brukeren endre sitt innloggingsskall, men tilgang til valgene vil være begrenset til dem som er oppført i /etc/shells; administratoren, på den annen side, er ikke bundet av denne begrensningen, og kan sette skallet til et hvilket som helst program de velger.
Til slutt, chage (CHange AGE)-kommandoen tillater administratoren å endre passordets utløpsinnstillinger (-l bruker-valget vil liste de gjeldende innstillingene). Du kan også tvinge utløpet for et passord ved å bruke passwd -e bruker-kommandoen, som vil kreve at brukerne endrer sitt passord neste gang de logger inn.

8.4.4. Deaktivere en konto

Du trenger kanskje å «deaktivere en konto» (låse ut en bruker), som disiplinærtiltak, i forbindelse med en undersøkelse, eller rett og slett i tilfelle av en langvarig eller definitivt fravær fra en bruker. En deaktivert konto betyr at brukeren ikke kan logge inn eller få tilgang til maskinen. Kontoen er fortsatt intakt på maskinen, og ingen filer eller data blir slettet; Den er simpelthen utilgjengelig. Dette oppnås ved hjelp av kommandoen passwd -l bruker (lock). Å reetablere kontoen er gjort på samme måte, med -u-valget (unlock).

FOR VIDEREKOMMENDE NSS og systemdatabaser

I stedet for å bruke de vanlige filene for å administrere lister over brukere og grupper, kan du bruke andre typer databaser, for eksempel LDAP eller db, ved hjelp av en passende NSS (Name Service Switch)-modul. Modulene som brukes er oppført i /etc/nsswitch.conf-filen, under passwd, shadow og group-inngangene. Se Seksjon 11.7.3.1, «Oppsett av NSS» for et spesifikt eksempel på at LDAP bruker en NSS-modul.

8.4.5. Gruppeliste: /etc/group

Grupper er listet i /etc/group-filen, en enkel tekstdatabase i et format som ligner det til /etc/passwd-filen, med de følgende feltene:
  • gruppenavn;
  • passord (valgfritt): Denne brukes bare til å bli med i en gruppe når man ikke er et vanlig medlem (med newgrp, eller sg-kommandoer, se sidestolpe DET GRUNNLEGGENDE Å arbeide med flere grupper);
  • gid: unikt gruppeidentifikasjonsnummer;
  • medlemsliste: liste over navn på brukere som er medlemmer av gruppen, atskilt med komma.

DET GRUNNLEGGENDE Å arbeide med flere grupper

Hver bruker kan være medlem av mange grupper; en av dem er deres «hovedgruppe». En brukers hovedgruppe er, som standard, laget under det første brukeroppsettet. Som standard tilhører hver fil en bruker som oppretter dem, så vel som deres hovedgruppe. Dette er ikke alltid ønskelig; for eksempel når brukeren skal jobbe i en mappe som også deles av en annen enn sin egen hovedgruppe. I dette tilfellet må brukeren endre sin viktigste gruppe ved å bruke en av følgende kommandoer: newgrp, som starter en nytt skall, eller sg, som bare utfører en kommando ved å bruke den angitte alternative gruppen. Disse kommandoene tillater også brukeren å delta i en gruppe som de ikke hører hjemme i. Dersom gruppen er passordbeskyttet, må de oppgi det riktige passordet før kommandoen blir utført.
Alternativt kan brukeren sette setgid-bit på katalogen, noe som fører til at filene som er opprettet i den mappen automatisk hører til den riktige gruppen. For mer informasjon, se sidestolpe SIKKERHET setgid katalog og sticky bit.
id-kommandoen viser brukerens nåværende tilstand med sin personlige identifikator (uid-variabel), nåværende hovedgruppe (gid-variabel), og listen med grupper som de hører til (groups-variabel).
The addgroup and delgroup commands add or delete a group, respectively. The groupmod command modifies a group's information (its gid or identifier). The command gpasswd group changes the password for the group, while the gpasswd -r group command deletes it.

TIPS getent

Kommandoen getent (hent oppføringer) sjekker systemdatabasen på standardmåten, ved hjelp av de aktuelle bibliotekfunksjoner, som igjen kaller på NSS-moduler satt opp i /etc/nsswitch.conf-filen. Kommandoen tar ett eller to argumenter: Navnet på databasen som skal sjekkes, og en mulig søkenøkkel. Således vil kommandoen getent passwd rhertzog gi informasjon fra brukerdatabasen om brukeren rhertzog.