8.4. Базы данных пользователей и групп

Список пользователей обычно хранится в файле /etc/passwd, а пароли в зашифрованном виде хранятся в файле /etc/shadow. Оба этих файла являются текстовыми, в относительно простом формате, который может быть прочитан и изменен с помощью текстового редактора. Каждому пользователю, упомянутому там, отводится для описания одна строка, включающая в себя несколько полей, разделенных двоеточием (“:”).

ЗАМЕТКА Редактирование системных файлов

Все системные файлы, упоминаемые в этой главе, являются текстовыми и могут быть отредактированы с помощью текстового редактора. Так как эти файлы очень важны для функциональности ядра системы, хорошим решением будет принять дополнительные меры предосторожности до начала их редактирования. Во-первых, всегда делайте копию (этих файлов) или резервную копию файловой системы перед открытием или внесением изменений в них. Во вторых, на серверах и машинах, где более чем один человек может потенциально иметь доступ к одинаковым файлам в одно и то же время, необходимо предпринять дополнительные меры для предотвращения повреждения файлов.

Для редактирования важнейших файлов системы достаточно использовать команды vipw - внести изменения в файл /etc/passwd, или vigr - для редактирования файла /etc/group. Эти команды блокируют файл и предлагают выбрать текстовый редактор, ранее по умолчанию была программа (vi (а в Debian 9.2 программа "vipw" предлагает на выбор 4 программы для редактирования - nano, emacs24, mcedit, vim.tiny), кроме случаев, когда переменная окружения EDITOR была изменена). Параметр -s в этих командах позволит редактировать соответствующий файл shadow.

К ОСНОВАМ Шифрование, односторонняя функция

Команда crypt - это односторонняя функция, которая преобразует строку (A) в другую строку (B) таким образом, что A нельзя извлечь из B. Единственный путь, чтобы идентифицировать A - это тестировать все возможные варианты, проверив каждое из них - определяя, будет ли при преобразовании через функцию создано B или нет. Программа использует до 8 символов на входе (строка A) и производит строку из 13-ти, годную для печати, ASCII символы (строка B).

8.4.1. Список пользователей: `/etc/passwd`

Здесь можно увидеть список полей, что используются в файле /etc/passwd:

login - имя для входа, например rhertzog;
password - пароль: пароль зашифрован односторонней функцией (crypt), опираясь на DES, MD5, SHA-256 или SHA-512. Специальное обозначение “x” показывает, что зашифрованный пароль сохранён в файле /etc/shadow;
uid: уникальный номер, идентифицирующий каждого пользователя (например номер 1002 присвоен пользователю rhertzog);
gid: уникальный номер главной группы данного пользователя (Debian создает особенную группу для каждого пользователя по умолчанию, например, номер 1002 присвоен группе rhertzog, которая является главной для пользователя rhertzog);
GECOS: данные этого заголовка обычно содержат полное имя пользователя (в данном примере - это GECOS, или фамилия-имя-отчество, через запятую);
login directory - каталог пользователя (совпадает с именем для входа), предназначенный для того, чтобы пользователь хранил свои персональные файлы (переменная окружения $HOME обычно указывается здесь);
program to execute upon login - первая программа, выполненная сразу после входа пользователя в систему. Обычно это командный интерпретатор (shell), например "/bin/bash", дающий пользователю возможность управления (в объеме его прав). Если указать специальное значение /bin/false (которое ничего не делает и возвращает контроль системе немедленно), то пользователь не сможет войти в систему.

К ОСНОВАМ Группа в Unix-системе

Группа в Unix-системе включает в себя несколько пользователей, которые могут легко обмениваться между собою файлами. Эта группа пользуется системой комплексных разрешений прав доступа (получая выгоду от одинаковых прав). Вы можете также запретить использование определенных программ для конкретных групп.

8.4.2. Скрытый и Зашифрованный Файл Паролей: `/etc/shadow`

Файл /etc/shadow содержит следующие поля:

login - имя входа пользователя в систему;
зашифрованный пароль;
несколько полей относятся к окончанию срока действия пароля.

БЕЗОПАСНОСТЬ Файл /etc/shadow относится к безопасности системы

Файл /etc/shadow, непохож на своего алтер-эго (_лат. "второе я", т.е. дубликат) /etc/passwd. Он не может быть прочитан обычными пользователями. Если в системе не применяется защита паролей через shadow, то любой сможет прочитать пароль, сохраненный в файле /etc/passwd. Взломщик может попытаться “расколоть” (или вскрыть) его одним из нескольких способов “грубой силы”, когда берут последовательность символов, которые надо опознать и, с помощью специальных программ, делают простой перебор часто используемых комбинаций символов. Этот тип нападения на систему называется "атака по словарю" — и сейчас его уже невозможно применять на системах, которые используют /etc/shadow.

8.4.3. Изменение существующей учетной записи или пароля

Следующие команды позволяют изменять информацию, размещенную в конкретных полях базы данных пользователей. Команда passwd позволяет обычному пользователю изменять их пароль, в этом случае сразу происходит изменение и обновление файла /etc/shadow. Команда chfn (CHange Full Name - Изменить Полное Имя), зарезервирована для администратора (super-user, root), изменяет поле GECOS. Команда chsh (CHange SHell - Изменить командный интерпретатор) позволяет пользователю изменить свой первоначальный командный интерпретатор во время входа в систему, однако доступный выбор будет ограничен только теми, что расположены в файле /etc/shells. На администратора это ограничение не распространяется и он может установить себе любую программу, по своему выбору.

И наконец, команда chage (CHange AGE - Изменить возраст) позволит администратору изменить пароль с истекающим сроком действия (Параметр -l user покажет настоящие значения). Вы можете также принудительно завершить срок действия пароля для пользователя используя команду passwd -e user. В этом случае при следующем входе пользователя в систему ему будет предложено заменить существующий пароль (принудительно, без всяких "хочу" или "не хочу").

8.4.4. Отключение учетной записи

Вам может понадобиться “отключить учетную запись” (заблокировать пользователя), в качестве дисциплинарной меры, для целей расследования, или просто в случае длительного или окончательного отсутствия пользователя. Отключённая учетная запись означает, что пользователь не может войти или получить доступ к машине. Учетная запись остается неизменной на машине и никаких файлов или данных не удаляется, запись просто становится недоступна. Для этого надо применить команду passwd -l user (блокировать). Снять блокировку учетной записи можно похожим способом, с параметром -u (разблокировать).

УГЛУБЛЯЕМСЯ NSS и база данных системы

Взамен использования обычных файлов, управляющих списком пользователей и групп, вы можете использовать другие типы базы данных, такие как LDAP или db, используя соответствующий модуль NSS (Диспетчер службы имен). Используемые модули можно просмотреть в файле /etc/nsswitch.conf, в местах расположения passwd, shadow и group. Смотри Раздел 11.7.3.1, «Configuring NSS» для конкретных примеров использования модулей NSS через LDAP.

8.4.5. Список групп: `/etc/group`

Группы, существующие в системе, перечислены в файле /etc/group, простая текстовая база данных в формате, похожем на тот, что используется в файле /etc/passwd, со следующими полями:

имя группы;
пароль (необязательно): это поле используется в случаях, если необходимо присоединить кого-то к группе, при этом, не давать ему те же права, как у других членов этой группы (с командами newgrp или sg, смотри вставку К ОСНОВАМ Работа с несколькими группами);
gid: уникальный идентификационный номер группы;
список участников (данной группы): перечень имен пользователей, которые являются членами указанной группы, разделенные запятыми.

К ОСНОВАМ Работа с несколькими группами

Каждый пользователь может быть включён сразу в несколько групп, Одной их них является “главная группа”. Она появляется в момент создания нового пользователя в системе и в дальнейшем считается для него "группой по умолчанию" (главной группой). Каждому файлу, создаваемому пользователю, тут же присваивается та группа, которая является главной для него. Однако не всегда это желательно, например, когда пользователь вынужден работать в каталоге, который является разделяемым с пользователями других групп, отличной от его главной группы. В этом случае, пользователь вынужден временно изменить свою главную группу используя одну из следующих команд: newgrp, когда запускается новый командный интерпретатор, или sg, которая просто выполняется с использованием предоставленной ей альтернативной группы. Эти команды также позволят пользователю присоединиться к группе, к которой они не принадлежат. Если группа защищена паролем, необходимо будет ввести пароль до того, как команда будет выполнена.

Другой вариант - пользователь может установить бит setgid на каталог, который при вызове файла, созданного в том каталоге автоматически присвоит ему корректную группу. Для больших деталей, смотри вкладку БЕЗОПАСНОСТЬ Каталог с setgid и sticky bit.

Команда id отобразит настоящее состояние пользователя, с персональным идентификатором (uid variable), действующей главной группой (gid variable), и перечень групп, в которые он включен (groups variable).

The addgroup and delgroup commands add or delete a group, respectively. The groupmod command modifies a group's information (its gid or identifier). The command gpasswd group changes the password for the group, while the gpasswd -r group command deletes it.

СОВЕТ Команда getent

Команда getent (получить записи) проверяет системные базы данных стандартным способом, используя соответствующие библиотечные функции, которые в свою очередь вызывают модули, сконфигурированне в файле /etc/nsswitch.conf. Команда принимает один или два аргумента: имя базы данных для проверки, и ключ, по которому будет выполнен поиск. Таким образом, команда getent passwd rhertzog предоставит информацию из базы данных, касающуюся пользователя rhertzog.