Esistono diversi modi per aggiungere un utente o un gruppo ( sysinstall, adduser, pw ...). Diamo un'occhiata ai più popolari programmi di gestione degli utenti di freeBSD.
1. Aggiunta di utenti utilizzando Aggiungi utente
E quindi considera il programma adduser sopra (dietro le barre saranno // il mio commento):
#Aggiungi utente
nome utente: test // specifica il nome del futuro utente
Nome e cognome: Utente di prova // nome completo
Uid (lascia vuoto per impostazione predefinita): // ID utente (numero di identificazione nel sistema) è preferibile lasciare vuoto, il sistema assegnerà
gruppo di accesso: // aggiunge l'utente al suo gruppo. lasciare in bianco
Il gruppo di accesso è di prova. Invitare il test in altri gruppi? : ruota // puoi aggiungere l'utente a un altro gruppo, se necessario
Classe di accesso:// lasciare vuoto
Shell (sh csh tcsh zsh nologin): tcsh // seleziona la riga di comando "shell", è meglio inserire tcsh, sh non è conveniente IMHO
Directory principale: // La cartella home può essere posizionata dove conveniente, ma è meglio lasciarla per impostazione predefinita
Utilizzare l'autenticazione basata su password? : // lasciare vuoto
Utilizzare una password vuota? (si No) : // l'utente con password vuota non è sicuro, la scelta predefinita è no
Utilizzare una password casuale? (si No) : // il sistema può generare una password predefinita casuale n
Inserire la password: // se hai rifiutato i primi 2 elementi ti verrà chiesto di inserire tu stesso la password
Inserisci di nuovo la password: // ripetere l'immissione della password
Bloccare l'account dopo la creazione? : // blocca l'account utente dopo la creazione
Nome utente: test
Parola d'ordine: ****
Nome completo: utente di prova
ID: 1001
classe:
Gruppi: ruote di prova
Casa: /casa/test
Shell: /usr/local/bin/tcsh
Bloccato: no
OK? (si No): sì // se quanto sopra corrisponde a quello che volevi, inserisci yes
adduser: INFO: Aggiunto (test) con successo al database utente.
Aggiungere un altro utente? (si No): No // offri di aggiungere un altro utente, insaziabile, dagli utenti
Arrivederci!// divertiti anche tu
#
2. Eliminazione di utenti utilizzando utente
E quindi aggiungi - aggiunto. Ora devi sapere come rimuovere /> Ricorda "break - non costruire!" L'eliminazione è molto più semplice che aggiungere un utente e assegnargli le impostazioni e i diritti necessari.
Elimina con il seguente programma: utente
Cosa può fare questo programma:
- Rimuovere la voce dell'utente da crontab (se presente).
- Rimuove le attività at di proprietà dell'utente.
- Elimina tutti i processi di proprietà dell'utente.
- Rimuove un utente dal file della password locale.
- Rimuove la directory home dell'utente (se di proprietà dell'utente).
- Rimuove la posta in arrivo di proprietà dell'utente da /var/mail .
- Rimuove tutti i file di proprietà dell'utente dalle directory di file temporanei, come /tmp .
- Infine, rimuove il nome utente da tutti i gruppi a cui appartiene in /etc/group.
# prova utente // elimina test utente
Inserimento password corrispondente:
test:*:1001:1001::0:0:Utente di prova:/home/test:/usr/local/bin/tcsh
È questa la voce che desideri rimuovere? y // riassicurazione, se si intende eliminare l'utente
Rimuovere la directory home dell'utente (/home/test)? y // eliminare la cartella utente con tutto il contenuto?
Aggiornamento file password, aggiornamento database, fatto.
Aggiornamento del file di gruppo: attendibile (rimozione del test di gruppo - il gruppo personale è vuoto) eseguito.
Rimozione del file di posta in arrivo dell'utente /var/mail/test: fatto.
Rimozione dei file appartenenti a test da /tmp: fatto.
Rimozione dei file appartenenti a test da /var/tmp: fatto.
Rimozione dei file appartenenti a test da /var/tmp/vi.recover: fatto. // tutto! l'utente è andato in un altro mondo e tutte le cartelle dietro di lui sono state ripulite.
#
Se vuoi che il programma non ti carichi con tutte queste domande - usa il parametro -y (rmuser -y ) infatti, accettiamo tutte le condizioni.
3. Modifica della password tramite programmi passwd e chpass
Come cambiare la password di un utente freeBSD? - tu chiedi. Elementare! - chiunque legga oltre ti risponderà =).
Programmi per cambiare la password: passwd e chpass.
passwdè il modo usuale per modificare la password di un utente o la password di un altro utente da parte del superutente.
Immagina per un momento di essere un semplice utente di nome test e di voler cambiare la tua password:
% passwd
vecchia password: // inserisci la vecchia password
Nuova password: //inserire una nuova password
Ridigita la nuova password: // ripetere la nuova password
passwd: aggiornamento del database...
passwd: fatto // password completata modificata
Ora immaginiamo che tu sia un superutente e desideri cambiare la password per un semplice utente mortale:
# passwd test // assicurati di includere un nome utente altrimenti cambia la password
Modifica della password locale per il test.
Nuova password: // nuova password (come puoi vedere, non è necessario conoscere la vecchia password - vantaggi del superutente)
Ridigita la nuova password: //Ripeti la password
passwd: aggiornamento del database...
passwd: fatto // fatto, eheh
Consideriamo ora un gadget più funzionale: chpass.
chpass- può modificare non solo la password dell'utente, ma anche il resto dei suoi dati.
Solo gli amministratori di sistema con diritti di superutente possono modificare le informazioni e le password di altri utenti utilizzando il programma chpass. Anche gli utenti ordinari possono utilizzare questo programma, ma solo una piccola parte di queste informazioni può cambiare e solo per il loro account.
E così il lavoro del programma chpass per il superutente:
#Modifica delle informazioni del database utente per il test.
Accedere: test
Parola d'ordine: *
Uid[#]: 1001
Gid [# o nome]: 1001
Modificare :
Scadenza:
classe:
directory home:/casa/prova
Guscio:/usr/local/bin/tcsh
Nome e cognome: utente di prova
posizione dell'ufficio:
Telefono dell'ufficio:
Telefono di casa:
Altre informazioni:
4. Gestisci utenti e gruppi utilizzando pw
Bene, la parte migliore è alla fine. pw è un'utilità della riga di comando per creare, eliminare, modificare e visualizzare utenti e gruppi. Funziona come un'interfaccia esterna per i file di sistema dell'utente e del gruppo. pw ha un set molto potente di opzioni della riga di comando, che lo rende adatto all'uso negli script di shell, ma i nuovi utenti potrebbero trovarlo più complesso degli altri comandi qui presentati.
Aggiungiamo l'utente di prova usando l'utilità pw:
# pw useradd test -s/bin/tcsh -c utente di prova -m -b/casa -e 03-07-2011-p 02-07-2011
Spiegazione delle chiavi utilizzate:
-S- indica quale terminale verrà utilizzato, il campo della shell
-Insieme a– commenti all'utente creato, campo gecos
-e– durata dell'account, campo di scadenza. Il formato del campo è lo stesso dell'opzione '-p'
-p– durata password, cambia campo. Il formato per specificare una data o un'ora è il seguente:
gg-mm-aa, dove gg è il giorno, mm è il mese, aa è l'anno. Oppure usa quanto segue
formato: +0mhdwoy, dove m sono i minuti, h sono le ore, d sono i giorni, w sono le settimane, o è il mese, y è l'anno
-m- fa sì che l'utente crei la home directory dell'utente e vi copi i file standard
e la directory /usr/share/skel
-b– la directory di base in cui si troverà la directory home dell'utente, il campo home_dir
-L– imposta la classe per l'utente dal file login.conf, il campo classe
Per creare un gruppo di nomi e spostarvi l'utente di prova, utilizzare la seguente combinazione:
#pwgroupaggiungi senza nome -M test
Per aggiungere l'utente di prova al gruppo di ruote già esistente, utilizzare:
# pw mod utente test -g ruota
Puoi dipingere tutte le possibilità di pw per molto tempo. Caratteristiche principali prima di Wammu.
5. Elenco di tutti i programmi e le utilità conosciuti per la gestione di account e gruppi di utenti
Bene, in conclusione, elencherò tutte le possibili applicazioni e utilità per il monitoraggio/modifica/aggiunta di utenti e gruppi:
pw(8) - creare, eliminare, modificare, visualizzare utenti e gruppi;
adduser(8) - aggiunta interattiva di un nuovo utente;
Le autorizzazioni degli utenti e dei file di loro proprietà costituiscono il concetto del sistema operativo UNIX. Poiché FreeBSD è un sistema operativo multiutente e appartiene alla famiglia di sistemi operativi legati al nome comune UNIX, quindi, la capacità di gestire correttamente gli utenti ti aiuterà a evitare vari problemi.
Gli account utente e gruppo sono archiviati in due file:
FreeBSD utilizza la tecnologia delle password shadow - questo è quando i dati di sistema dell'utente sono divisi in due file:
1.file /etc/master.passwd che contiene password in forma crittografata, ha autorizzazioni di lettura-scrittura solo per l'utente root
2.file /etc/passwd, creato utilizzando il comando pwd_mkdb(8) (generazione di un database con password) da un file /etc/master.passwd, ha i permessi di lettura per il gruppo e altri utenti, le password vengono sostituite con *. Usando anche il comando pwd_mkdb(8) dal file /etc/master.passwd vengono creati due file - /etc/pwd.db e /etc/spwd.db(database indicizzate), sono progettati per velocizzare la ricerca, in caso di un numero elevato di utenti del sistema. File /etc/spwd.dbè segreto come il file /etc/master.passwd e ha gli stessi diritti di accesso e proprietario.
Considera la sintassi del file /etc/master.passwd:
| radice:$1 $SJSDMXQE $LRpetLGNt5xO8k980r2om .: 0 :0 ::0 :0 0 :0 ::0 :0 1 :1 ::0 :0 2 :5 ::0 :0 3 :7 ::0 :0 4 :65533 ::0 :0 5 :65533 ::0 :0 7 :13 ::0 :0 |
Ogni nuova riga nel file descrive l'utente, contiene colonne separate da (:).
Colonne in ordine:
1.nome- username da utilizzare al momento del login
2.parola d'ordine- password crittografata in /etc/master.passwd e * in /etc/passwd
3.id- identificatore utente univoco.
4.guida- identificatore univoco del gruppo.
5.classe- una classe di impostazioni e impostazioni, che è presa dal file /etc/login.conf
6.modificare- durata della password, ovvero il periodo dopo il quale è necessario modificare la password. Il numero di secondi dal 1 gennaio 1970. Puoi controllare a quale data puntano i secondi nel campo usando il comando: date -r seconds , dove seconds è il valore del campo.
7.scadono- durata dell'account, trascorso tale periodo verrà bloccato, 1 gennaio 1970. Puoi verificare quale data indicano i secondi nel campo utilizzando il comando: date -r secondi , dove secondi è il valore del campo.
8.geco- informazioni generali sull'utente
9.dir. casa- home directory dell'utente
10.guscio- la shell che l'utente utilizzerà
Quando si crea un file /etc/passwd da un file /etc/master.passwd campi classe, cambiare, scadere vengono cancellati e la password viene sostituita con *.
Il campo di accesso (nome) non può iniziare con un simbolo (-), inoltre non è consigliabile utilizzare lettere maiuscole nel nome utente e separare il login con il simbolo (.), che può causare problemi quando si lavora con la posta. In archivio /etc/master.passwd campo parola d'ordine crittografato, se il campo è mancante, ovvero al posto della password c'è un simbolo *, allora non avrai accesso alla macchina. Per modificare rapidamente un file /etc/master.passwd e senza il successivo comando pwd_mkdb(8), viene usato il comando vipw(8), è lo stesso editor vi(1), quindi controlla la pagina man di vi(1) prima di usare il comando vipw(8).
Esempio:
| # radice vipw:$1 $SJSDMXQE $LRpetLGNt5xO8k980r2om .: 0 :0 ::0 :0 :Charlie &:/root:/bin/cshtoor:*: 0 :0 ::0 :0 :Bourne-again Superutente:/root: demone:*: 1 :1 ::0 :0 :Proprietario di molti processi di sistema:/root:/usr/sbin/nologin operator:*: 2 :5 ::0 :0 :Sistema &:/:/usr/sbin/nologin bin:*: 3 :7 ::0 :0 :Comandi binari e sorgente:/:/usr/sbin/nologin tty:*: 4 :65533 ::0 :0 :Tty Sandbox:/:/usr/sbin/nologin kmem:*: 5 :65533 ::0 :0 :KMem Sandbox:/:/usr/sbin/nologingames:*: 7 :13 ::0 :0 :Pseudo utente di giochi:/usr/games:/usr/sbin/nologin |
Quando si utilizza (*) in /etc/master.passwd invece di un campo parola d'ordine l'autorizzazione nel sistema è vietata perché il simbolo (*) non può essere una password crittografata. Ad esempio, per bloccare temporaneamente un utente, è possibile utilizzare al posto del campo parola d'ordine in archivio /etc/master.passwd tale combinazione *LOCKED* o aggiungi tale combinazione all'inizio della password, se esiste, e allo sblocco, eliminala semplicemente, per questo è necessario il comando vipw(8) . Per vedere come bloccare un account usando la riga di comando, leggi la pagina man di pw(8).
Campo geco fornendo informazioni generali sugli utenti, contiene i seguenti campi, separati da una virgola:
Campo home_dir, definisce il percorso della home directory dell'utente, di cui sarà il proprietario.
Campo guscio, definisce la shell dell'utente, l'elenco delle shell disponibili per l'utente può essere trovato nel file /etc/shell. Non è consigliabile che l'utente root modifichi la shell corrente, perché in caso di arresto anomalo, il file system /usr potrebbe non essere montato, di conseguenza l'utente root non potrà accedere al sistema.
Se vuoi impedire a un utente di accedere al sistema, cambia la sua shell in /sbin/nologin. Questo programma è più corretto di altri (es: /dev/null) elaborerà un tentativo di accesso dell'utente.
Quando si aggiunge un nuovo utente, è necessario selezionare un nome univoco (nome di accesso) che non sarà trovato nel file /etc/passwd e /etc/mail/alias. Inoltre, il nome non deve iniziare con il simbolo (-) e contenere il simbolo (.) e le lettere maiuscole, poiché potrebbero verificarsi situazioni impreviste quando si lavora con la posta. Il nuovo utente riceve un ID univoco - UID e diventa un membro del gruppo il cui nome corrisponde al nome utente in cui sarà solo. Questa strategia di denominazione dei gruppi migliora la sicurezza e la flessibilità nel controllo degli accessi. L'UID e il nome di accesso sono univoci nel sistema e verranno utilizzati per controllare l'accesso al file system. Dopo aver aggiunto un utente al sistema, i file vengono copiati nella sua home directory .profilo(viene eseguito all'accesso dell'utente) se viene utilizzata la shell /bin/sh o .cshrc (all'avvio della shell) e .Accedere(quando l'utente effettua il login) se si utilizza una shell /bin/csh. Tutti questi file vengono copiati dalla directory /usr/condividi/skel.
In archivio /ecc/gruppo si trovano tutti i gruppi locali del sistema. Questo file può essere modificato con qualsiasi editor di testo a tua scelta, ovvero per aggiungere un gruppo, basta modificare il file sopra.
Il file è costituito da righe separate, le cui colonne sono separate da un carattere speciale (:). Una riga è composta dalle seguenti colonne o campi:
In questo file, ogni riga che inizia con un carattere (#) è un commento.
Campo gruppoè il nome di un gruppo che definisce l'accesso per gli utenti ai file che sono membri di questo gruppo. con campo gruppo un campo gid associato che specifica un identificatore di gruppo univoco. Questi due campi sono indissolubilmente collegati, proprio come il nome utente e l'UID. Campo parola d'ordineè facoltativo, è usato raramente e quindi il carattere (*) non è una scelta migliore di una password crittografata. Campo membro contiene i membri del gruppo, sotto forma di nomi utente separati tra loro tramite il carattere (,) - virgola. Un gruppo non può contenere più di 200 utenti. Lunghezza massima della riga in un file /ecc/gruppo 1024 caratteri.
Gestione delle risorse utente e restrizioni.
Le risorse utente vengono gestite utilizzando classi definite in un file speciale /etc/login.conf e sono anche impostati sull'utente quando viene aggiunto. Se non viene definita alcuna classe per l'utente, gli viene assegnata la classe predefinita. Ogni classe ha un insieme di caratteristiche nella forma nome=valore. Per velocizzare l'accesso ai dati, il sistema non legge direttamente il file /etc/login.conf, e invece legge il file /etc/login.conf.db, creato dal comando speciale cap_mkdb(1).
| cam_mkdb /etc/login.conf |
Quindi dopo ogni modifica di file /etc/login.conf non dimenticare di eseguire il comando cap_mkdb(1).
È possibile modificare o impostare la classe utente nel file /etc/master.passwd, che ha un campo speciale per questo classe. Questo è stato discusso sopra. Un utente con UID = 0, ovvero l'amministratore di sistema (root) non ha una classe valida, la voce root in /etc/login.conf o il valore predefinito della classe se non è presente alcuna voce di root.
L'utente può creare un file individuale con le impostazioni delle risorse nella directory home chiamata ~/login.conf, questo file utilizza la stessa sintassi del file /etc/login.conf, ma contiene solo una voce ID con il nome. In questo file, l'utente può solo ridurre le risorse a lui fornite, ma non aumentarle in alcun modo.
Come separatore di campo in un file /etc/login.conf viene utilizzato il carattere (:). Il primo campo del file indica il nome della classe, che verrà successivamente applicato a un determinato utente.
Ogni campo nel file /etc/login.conf può assumere i seguenti valori:
b - byte
k - kilobyte
m - megabyte
g - gigabyte
t - terabyte
È possibile combinare i valori con i suffissi corrispondenti: 1m30k
y - anno
w - settimana
d - giorno
h - ora
m - minuti
s - secondi
È possibile combinare i valori con l'indicazione dei suffissi corrispondenti: 2h30m
Limite risorse:
|
Le risorse possono essere limitate da entrambi i limiti soft e hard, la differenza tra loro è che l'utente non può aumentare i limiti hard, ma l'utente può aumentare i limiti soft, ma non più del valore hard. I suffissi speciali vengono utilizzati per indicare i limiti soft e hard. -max e -cur. Es: dimensione file-max
Ambiente utente:
|
|
In Opzioni ospite.consenti e host.nega il separatore host è una virgola.
In Opzioni volte.consenti e volte.nega i record sono separati da una virgola. I valori dei periodi di tempo sono scritti nel formato di 24 ore, separati l'uno dall'altro da un trattino.
Ad esempio: MoThSa0200-1300 Questa voce viene decifrata come segue: l'utente può accedere il lunedì, giovedì, sabato dalle 2:00 alle 13:00. Se nella classe personalizzata mancano entrambe le opzioni, l'accesso è consentito in qualsiasi momento. Se il periodo di tempo è consentito nell'opzione volte.consenti vietato dal periodo di tempo in archivio volte.nega, l'opzione ha la priorità volte.nega.
In Opzioni ttys.allow e ttys.deny contengono voci di dispositivo tty separate da virgole (senza il prefisso /dev/) e un elenco di ttygroup (vedi getttyent(3) e ttys(5) ) a cui l'utente di questa classe ha o non ha accesso. Se non è presente alcuna voce nell'opzione, l'utente ha accesso illimitato.
Le opzioni della password come la lunghezza minima (minpasswordlen) e l'opzione per avvisare se l'utente inserisce una password solo in minuscolo (minpasswordcase) non sono supportate, il modulo pam pam_passwdqc(8) viene utilizzato per queste restrizioni.
L'impostazione di classi per gli utenti del sistema è un ottimo mezzo per limitare un utente individualmente, ma utilizzare questo strumento consapevolmente e con attenzione.
I seguenti comandi sono utili per la gestione di utenti e gruppi:
Per eseguire alcuni comandi sul sistema FreeBSD diritti elevati richiesti sudo). Nell'ultimo articolo che ho già considerato, oggi scopriremo come creare un utente in FreeBSD e darglielo sudo diritti.
. Creare un utente in FreeBSD
Per prima cosa dobbiamo ottenere diritti elevati ( radice). Per fare ciò, esegui il comando su e inserire la password dell'utente radice:
Su Password: [email protetta]:/home/nome utente #
Passiamo ora alla creazione di un utente. Per questo utilizziamo il comando Aggiungi utente:
#Aggiungi utente
Username: sysadmin nome dell'utente da creare Nome completo: Ivan Ivanov nome completo, puoi lasciarlo vuoto, basta premere Enter Uid (Lascia vuoto per default): user id, puoi inserirlo tu stesso, partendo dal numero 1001, o premere Invio, il sistema selezionerà il gruppo di accesso stesso: Il gruppo a cui appartiene l'utente creato, per impostazione predefinita, è lo stesso del gruppo di accesso è sysadmin. Invitesysadmin in altri gruppi? : se includere l'utente in altri gruppi, in caso contrario, premere Invio Classe di accesso : classe utente, ne parleremo un po' più avanti, a questo punto, premere Invio Shell (sh csh tcsh nologin): sh qui viene richiesto per selezionare una shell di sistema, se non hai intenzione di dare a questo account l'accesso remoto al sistema, ad esempio tramite SSH, inserisci nologin o scegli tra le opzioni proposte, di solito metto sh Home directory : assegna la home directory, se il valore predefinito è adatto, premere Invio Autorizzazioni directory home (Lascia vuoto per impostazione predefinita): diritti di accesso alla directory home, per lasciarla per impostazione predefinita, premere Invio Utilizzare l'autenticazione basata su password? : usa l'autorizzazione della password Usa una password vuota? (sì/no): puoi usare password vuote Utilizzare una password casuale? (sì/no): il sistema propone di generare una password per te, se vuoi essere d'accordo devi scrivere sì nella fase finale della creazione dell'account verrà mostrata la password generata se si preferisce impostare la password manualmente, premere Invio Inserisci password: inserire la password, tieni presente che il programma non mostrerà che hai inserito nulla, quindi fai attenzione Inserisci di nuovo la password: reinserisci la password Bloccare l'account dopo la creazione? : se bloccare l'account dopo la creazione
Se prevedi di concedere diritti elevati a questo utente in futuro, puoi inserirlo immediatamente in un gruppo durante la creazione ruota.
In linea di principio, la creazione dell'utente viene completata su questo
. Configurare sudo (diritti di root) per un utente in FreeBSD
Per prima cosa dobbiamo installare sudo. Installeremo dai pacchetti. Innanzitutto, aggiorniamo i pacchetti:
aggiornamento del pacchetto
Ora installiamo il pacchetto sudo stesso
pkg install sudo
Dopo l'installazione, avremo un file sudoers nella directory /usr/local/etc. Controlliamo se si è presentato?:
Sì, il file c'è, è tutto a posto. Questo file viene creato con attributi di sola lettura. Dobbiamo consentire la modifica:
# chmod u+w /usr/local/etc/sudoers
Modifichiamo il file ora:
# mcedit /usr/local/etc/sudoers
trova la riga root ALL=(ALL) ALL nel file e aggiungi il nostro utente creato sotto di essa:
... ## ## Specifica dell'alias Runas ## ## ## Specifica dei privilegi dell'utente ## radice TUTTI=(TUTTI) TUTTI amministratore di sistema TUTTI=(TUTTI) TUTTI## Annulla il commento per consentire ai membri del gruppo wheel di eseguire qualsiasi comando # %wheel ALL=(ALL) ALL ## Stessa cosa senza password # %wheel ALL=(ALL) NOPASSWD: ALL ## Togli il commento per consentire ai membri del gruppo sudo di esegui qualsiasi comando # %sudo ALL=(ALL) ALLPer consentire all'intero gruppo i diritti di superutente, devi solo decommentare la riga %wheel ALL=(ALL) NOPASSWD: ALL Se rimuovi il commento nella forma in cui si trova, quando chiami il comando dal superutente, la password non verrà richiesta. Per richiedere una password, rimuovere l'iscrizione NOPASSWD. È tutto. Ora, per invocare un comando elevato, devi prima digitare su. Per esempio:
$ su servizio riavvio del server zabbix
Sembra che abbiamo considerato in dettaglio come creare un nuovo utente nel sistema operativo FreeBSD e come aggiungervi i diritti di superutente. Se qualcosa non funziona per te o se hai domande, chiedile nei commenti, cercheremo di rispondere e aiutarti.
Nei sistemi Unix, esiste una certa gerarchia di utenti. Dovrebbe essere chiaro che nel sistema è presente un utente principale con tutti i diritti: root. Gli altri utenti sono in qualche modo limitati nei loro diritti. Quindi esiste una regola: lavorare nel sistema con un utente limitato e solo per eseguire attività amministrative passare al superutente root. Ogni utente nel sistema ha la propria home directory, dove tutte le impostazioni personali sono memorizzate sotto forma di file di configurazione, per impostazione predefinita questa directory si trova in /usr/home, a cui conduce il collegamento simbolico /home. In parole povere, per installare software, gestire processi di sistema, apportare modifiche ai file di sistema, configurare la rete, montare dischi, dovrai passare al superutente root. E per le normali attività quotidiane (lavorare con i documenti, Internet, multimedia, ecc.), basta un semplice utente. Se ignori questa regola e utilizzi l'account root per le attività quotidiane, la vulnerabilità del sistema aumenta di un ordine di grandezza, poiché tutti i processi verranno avviati con diritti di superutente, ad esempio un browser avviato in questo modo è un grave disprezzo per regole di sicurezza del sistema. Un utente malintenzionato che utilizza un qualche tipo di vulnerabilità del browser potrebbe teoricamente ottenere il pieno controllo del sistema. Ad esempio, un approccio così scorretto alla sicurezza, come il funzionamento di un browser Internet con pieni diritti, è implementato nei sistemi operativi della famiglia Windows (in realtà, non esiste una normale separazione dei diritti degli utenti), il che porta ad una semplice meccanismo per sconfiggere il sistema semplicemente entrando in un sito infetto. Per ridurre al minimo tali possibilità, dovresti lavorare nel sistema come utente e passare al superutente root solo quando necessario.
Ciascun utente del sistema può appartenere a uno o più gruppi. L'appartenenza a un determinato gruppo conferisce all'utente diritti aggiuntivi. Ad esempio, affinché il nostro utente possa passare a superutente, dovrebbe essere inserito nel gruppo wheel, questo è il gruppo di amministratori di sistema del sistema a cui appartiene root. Nel sistema, ogni utente (e gruppo) ha il proprio numero di identificazione, mentre l'utente root e il gruppo ruota hanno identificatori zero. Il sistema ha anche molti utenti che non sono in grado di connettersi al sistema e non dispongono di una password di autorizzazione per le esigenze del sistema. Un esempio è un utente ftp, un normale server ftp è in esecuzione per suo conto. Ci sono molti di questi utenti.
Quindi, il nostro compito è creare un utente: un amministratore di sistema, con l'autorizzazione della password e la possibilità di accedere al sistema. Per fare ciò, accediamo come superutente root e digitiamo il comando:
#Aggiungi utente
Dopo l'esecuzione, sul display apparirà la seguente finestra di dialogo per l'immissione dei dati. Le richieste si susseguono, è necessario inserire i dati necessari e premere "invio":
Nome utente: Alessio - digitiamo il nome utente (in questo caso "alex"), che verrà utilizzato per accedere al sistema
Nome completo: Alessio - digitiamo il nome completo, questo nome apparirà nel profilo personale dell'utente, puoi saltarlo semplicemente premendo "invio"
Uid (lascia vuoto per impostazione predefinita):- in questa riga puoi forzare il numero identificativo dell'utente, nel nostro caso basta premere "invio", presentando il sistema stesso per assegnare un identificativo libero
Gruppo di accesso : ruota - in questa riga devi inserire il gruppo a cui apparterrà l'utente nel sistema, per impostazione predefinita il nome del gruppo è simile al nome utente, tale gruppo non avrà diritti aggiuntivi e il nostro compito è creare un amministratore di sistema , quindi inseriamo il nome degli amministratori del gruppo di sistema "wheel" e premiamo "enter"
Il gruppo di accesso è ruota. Invitare Alex in altri gruppi? :- saltiamo anche questa richiesta, questa è una richiesta se vale la pena rendere l'utente membro di qualsiasi altro gruppo nel sistema, nel nostro caso è sufficiente un solo gruppo "ruota", che abbiamo già indicato sopra
Classe di accesso: - saltiamo anche questa richiesta, considereremo la modifica di questo parametro più avanti nell'articolo sulla russificazione, infatti in questa riga puoi impostare immediatamente la classe utente "russo" per determinare la localizzazione - layout e lingua dell'utente
Shell (sh csh tcsh nologin): - questa richiesta significa la scelta del processore dei comandi della console, che in realtà interpreta i comandi digitati sulla tastiera, il processore dei comandi predefinito per l'utente è sh, quindi saltiamo questo parametro premendo "invio" , considereremo la modifica del processore dei comandi nei futuri articoli sul sito
Directory principale: - in questa riga puoi forzare la home directory dell'utente, in questo caso siamo soddisfatti di questa posizione, quindi premi nuovamente "invio"
Autorizzazioni della home directory (lascia vuoto per impostazione predefinita):- in questa riga puoi forzare i diritti di accesso alla directory dell'utente, nel nostro caso lasciamo tutto anche "di default" premendo "invio"
Utilizzare l'autenticazione basata su password? :- se utilizzare una password per autorizzare un utente nel sistema, di default è “sì” (si), se la risposta è “no” (no), allora non potremo entrare nel sistema in modo regolare, quindi premiamo “invio”, rispondendo così “sì”
Utilizzare una password vuota? (si No) :- se lasciare una password vuota per l'autorizzazione dell'utente, in questo caso, se la risposta è “sì”, allora sarà possibile entrare nel sistema senza password, cosa inaccettabile, quindi premiamo “invio”, rispondendo così “ no”, poiché l'impostazione predefinita è "no" (no)
Utilizzare una password casuale? (si No) :- se assegnare una password casuale all'utente, nel nostro caso saltiamo anche questa domanda premendo "invio" e quindi rispondendo "no" (no), perché imposteremo noi stessi la password
Inserire la password: - in questa riga è necessario inserire la password dell'utente, che gli sarà assegnata, mentre l'inserimento dei caratteri non verrà visualizzato in alcun modo nella riga
Inserisci di nuovo la password: - ripetere l'immissione della password
Bloccare l'account dopo la creazione? :- anche a questa domanda si dovrebbe rispondere “no” (no), perché. la domanda dice "Devo bloccare l'account dopo la creazione?", premere "invio"
Successivamente, il profilo utente apparirà sullo schermo con una richiesta:
Nome utente: Alessio
Parola d'ordine: *****
Nome completo: Alessio
ID: 1001
classe:
Gruppi: ruote
Casa: /casa/alex
Modalità casa:
Conchiglia: /bin/sh
Bloccato: no
OK? (si No):
Quando richiesto, digita “yes” (yes) e premi “enter”, se digiti “no” (no), l'utente non verrà creato. Quindi digitiamo "sì" e premiamo "invio":
OK? (sì/no): si
adduser: INFO: Aggiunto con successo (alex) al database degli utenti.
Sul display apparirà la seguente richiesta:
Aggiungere un altro utente? (sì/no): no - dovrebbe già essere risposto negativamente, dice "Devo aggiungere un altro utente?".
Arrivederci!
Ora sarà possibile entrare nel sistema digitando il login - "alex" e la password specificata durante il processo di creazione dell'utente. Affinché un utente nel gruppo di ruote possa passare alla modalità superutente root, digitare il comando seguente:
$ su
Parola d'ordine:
E dopo aver digitato la password del superutente root, l'account cambierà. Il ritorno dalla modalità superutente in questo caso viene eseguito dal comando:
#Uscita
Inoltre, digitando nuovamente questo comando dalla modalità utente verrai disconnesso dal sistema.
Questo completa il processo di aggiunta di un utente.
Esistono diversi modi per aggiungere un utente o un gruppo ( sysinstall, adduser, pw...). Diamo un'occhiata ai più popolari programmi di gestione degli utenti di freeBSD.
1. Aggiunta di utenti utilizzando Aggiungi utente
E quindi considera il programma adduser sopra (le barre saranno // il mio commento):
#Aggiungi utente
nome utente: test // specifica il nome del futuro utente
Nome e cognome: Utente di prova // nome completo
Uid (lascia vuoto per impostazione predefinita):// ID utente (numero di identificazione nel sistema) è preferibile lasciare vuoto, il sistema assegnerà
gruppo di accesso:// aggiunge l'utente al suo gruppo. lasciare in bianco
Il gruppo di accesso è di prova. Invitare il test in altri gruppi? : wheel // puoi aggiungere l'utente a un altro gruppo, se necessario
Classe di accesso:// lasciare vuoto
Shell (sh csh tcsh zsh nologin): tcsh // seleziona la 'shell' della riga di comando, è meglio inserire tcsh, sh non è conveniente IMHO
Directory principale:// La cartella home può essere posizionata dove conveniente, ma è meglio lasciarla per impostazione predefinita
Utilizzare l'autenticazione basata su password? :// lasciare vuoto
Utilizzare una password vuota? (si No) :// l'utente con password vuota non è sicuro, la scelta predefinita è no
Utilizzare una password casuale? (si No) :// il sistema può generare una password predefinita casuale n
Inserire la password:// se hai rifiutato i primi 2 elementi ti verrà chiesto di inserire tu stesso la password
Inserisci di nuovo la password:// ripetere l'immissione della password
Bloccare l'account dopo la creazione? :// blocca l'account utente dopo la creazione
Nome utente: test
Parola d'ordine: ****
Nome completo: utente di prova
ID: 1001
classe:
Gruppi: ruote di prova
Casa: /casa/test
Shell: /usr/local/bin/tcsh
Bloccato: no
OK? (si No): yes // se quanto sopra corrisponde a quello che volevi, inserisci yes
adduser: INFO: Aggiunto (test) con successo al database utente.
Aggiungere un altro utente? (si No): no // offri di aggiungere un altro utente, insaziabile, dagli utenti solo
Arrivederci!// divertiti anche tu
#
2. Eliminazione di utenti utilizzando utente
E quindi aggiungi - aggiunto. Ora devi sapere come rimuovere /> Ricorda "break - non costruire!" L'eliminazione è molto più semplice che aggiungere un utente e assegnargli le impostazioni e i diritti necessari.
Elimina con il seguente programma: utente
Cosa può fare questo programma:
- Rimuovere la voce dell'utente da crontab (se presente).
- Rimuove le attività di proprietà dell'utente.
- Elimina tutti i processi di proprietà dell'utente.
- Rimuove un utente dal file della password locale.
- Rimuove la directory home dell'utente (se di proprietà dell'utente).
- Rimuove la posta in arrivo di proprietà dell'utente da /var/mail.
- Rimuove tutti i file di proprietà dell'utente dalle directory di file temporanei, come /tmp.
- Infine, rimuove il nome utente da tutti i gruppi a cui appartiene in /etc/group.
# prova utente// elimina test utente
Inserimento password corrispondente:
test:*:1001:1001::0:0:Utente di prova:/home/test:/usr/local/bin/tcsh
È questa la voce che desideri rimuovere? y // riassicurazione, se si intende eliminare l'utente
Rimuovere la directory home dell'utente (/home/test)? y // eliminare la cartella utente con tutto il contenuto?
Aggiornamento file password, aggiornamento database, fatto.
Aggiornamento del file di gruppo: attendibile (rimozione del test di gruppo - il gruppo personale è vuoto) eseguito.
Rimozione del file di posta in arrivo dell'utente /var/mail/test: fatto.
Rimozione dei file appartenenti a test da /tmp: fatto.
Rimozione dei file appartenenti a test da /var/tmp: fatto.
Rimozione dei file appartenenti a test da /var/tmp/vi.recover: fatto. // tutto! l'utente è andato in un altro mondo e tutte le cartelle dietro di lui sono state ripulite.
#
Se vuoi che il programma non ti carichi con tutte queste domande - usa il parametro -y (rmuser -y) infatti, accettiamo tutte le condizioni.
3. Modifica della password tramite programmi passwd e chpass
Come cambiare la password di un utente freeBSD? - tu chiedi. Elementare! - chiunque legga oltre ti risponderà =).
Programmi per cambiare la password: passwd e chpass.
passwdè il modo usuale per modificare la password di un utente o la password di un altro utente da parte del superutente.
Immagina per un momento di essere un semplice utente di nome test e di voler cambiare la tua password:
% passwd
vecchia password:// inserisci la vecchia password
Nuova password://inserire una nuova password
Ridigita la nuova password:// ripetere la nuova password
passwd: aggiornamento del database...
passwd: done // done password modificata
Ora immaginiamo che tu sia un superutente e desideri cambiare la password per un semplice utente mortale:
# passwd test// assicurati di includere un nome utente altrimenti cambia la password
Modifica della password locale per il test.
Nuova password:// nuova password (come puoi vedere, non è necessario conoscere la vecchia password - vantaggi del superutente)
Ridigita la nuova password://Ripeti la password
passwd: aggiornamento del database...
passwd: fatto // fatto, eheh
Considera ora una lozione più funzionale: chpass.
chpass- può modificare non solo la password dell'utente, ma anche il resto dei suoi dati.
Solo gli amministratori di sistema con diritti di superutente possono modificare le informazioni e le password di altri utenti utilizzando il programma chpass. Anche gli utenti ordinari possono utilizzare questo programma, ma solo una piccola parte di queste informazioni può cambiare e solo per il loro account.
E così il lavoro del programma chpass per il superutente:
#Modifica delle informazioni del database utente per il test.
Accedere: test
Parola d'ordine: *
Uid[#]: 1001
Gid [# o nome]: 1001
Modificare :
Scadenza:
classe:
directory home:/casa/prova
Guscio:/usr/local/bin/tcsh
Nome e cognome: utente di prova
posizione dell'ufficio:
Telefono dell'ufficio:
Telefono di casa:
Altre informazioni:
4. Gestisci utenti e gruppi utilizzando pw
Bene, la parte migliore è alla fine. pw è un'utilità della riga di comando per creare, eliminare, modificare e visualizzare utenti e gruppi. Funziona come un'interfaccia esterna per i file di sistema dell'utente e del gruppo. pw ha un set molto potente di opzioni della riga di comando, che lo rende adatto all'uso negli script di shell, ma i nuovi utenti potrebbero trovarlo più complesso degli altri comandi qui presentati.
Aggiungiamo l'utente di prova usando l'utilità pw:
# pw useradd test -s/bin/tcsh -c utente di prova -m -b/casa -e 03-07-2011-p 02-07-2011
Spiegazione delle chiavi utilizzate:
-S- indica quale terminale verrà utilizzato, il campo della shell
-Insieme a– commenti all'utente creato, campo gecos
-e– durata dell'account, campo di scadenza. Il formato del campo è lo stesso dell'opzione '-p'
-p– durata password, cambia campo. Il formato per specificare una data o un'ora è il seguente:
gg-mm-aa, dove gg è il giorno, mm è il mese, aa è l'anno. Oppure usa quanto segue
formato: +0mhdwoy, dove m sono i minuti, h sono le ore, d sono i giorni, w sono le settimane, o è il mese, y è l'anno
-m- fa sì che l'utente crei la home directory dell'utente e vi copi i file standard
e la directory /usr/share/skel
-b– la directory di base in cui si troverà la directory home dell'utente, il campo home_dir
-L– imposta la classe per l'utente dal file login.conf, il campo classe
Per creare un gruppo di nomi e spostarvi l'utente di prova, utilizzare la seguente combinazione:
#pwgroupaggiungi senza nome -M test
Per aggiungere l'utente di prova al gruppo di ruote già esistente, utilizzare:
# pw mod utente test -g ruota
Puoi dipingere tutte le possibilità di pw per molto tempo. Caratteristiche principali prima di Wammu.
5. Elenco di tutti i programmi e le utilità conosciuti per la gestione di account e gruppi di utenti
Bene, in conclusione, elencherò tutte le possibili applicazioni e utilità per il monitoraggio/modifica/aggiunta di utenti e gruppi:
pw(8) - creare, eliminare, modificare, visualizzare utenti e gruppi;
adduser(8) - aggiunta interattiva di un nuovo utente;
rmuser(8) - rimuove un utente dal sistema;
