Перейти к содержанию

Резюме

Резюме главы (Chapter Review)

Мы начали эту главу с обсуждения необходимости базового уровня безопасности файловой системы в Linux. Мы рассмотрели сценарий, в котором несколько пользователей на одной системе могли получать доступ к файлам друг друга, и проблемы, возникающие в результате. Чтобы предотвратить такие проблемы, нужно сначала контролировать, кто может получить доступ к системе, а затем — что они могут делать после входа.

Первая задача решается с помощью учётных записей пользователей Linux. При наличии учётных записей пользователи должны ввести действительное имя пользователя и пароль (так называемые учётные данные, credentials) перед получением доступа к системе. Это называется «входом в систему», или аутентификацией (authentication). Операционная система Linux настраивает среду на основе имени пользователя, выполнившего вход. Пользователи получают доступ к своему домашнему каталогу и персонализированной среде рабочего стола. По умолчанию домашние каталоги пользователей расположены в /home, кроме суперпользователя root, домашний каталог которого — /root. Просмотреть информацию о конкретном пользователе можно с помощью команды finger имя_пользователя в командной строке оболочки.

Кроме того, у каждой учётной записи пользователя Linux есть уникальный числовой идентификатор — идентификатор пользователя (UID). Никакие два пользователя на одной системе не могут иметь одинаковый UID. В некоторых дистрибутивах, например openSUSE, UID стандартных пользователей начинаются с 1000. В других дистрибутивах, например Fedora, — с 500. Независимо от дистрибутива UID суперпользователя root всегда равен 0. Просмотреть UID пользователя (а также членство в группах) можно с помощью команды id имя_пользователя.

Мы также рассмотрели различные места хранения учётных записей в Linux. При локальной аутентификации (local authentication) учётные записи хранятся в /etc/passwd и /etc/shadow. При использовании LDAP-аутентификации учётные записи хранятся в иерархической службе каталогов, совместимой с LDAP. При использовании NIS-аутентификации файлы учётных записей распределяются между несколькими системами с помощью службы NIS. При аутентификации через домен Windows учётные записи хранятся в центральной базе данных на контроллере домена Windows (или Linux Samba).

Для экзамена LPIC-1/Linux+ необходимо знать только метод локальной аутентификации. В этой конфигурации файл /etc/passwd содержит информацию об учётных записях, а файл /etc/shadow — зашифрованные пароли пользователей. Файл /etc/passwd хранит записи в следующем формате:

Имя_пользователя:Пароль:UID:GID:Полное_имя:Домашний_каталог:Оболочка

Файл /etc/passwd содержит как стандартные, так и системные учётные записи. Стандартные учётные записи используются для входа в систему. Системные учётные записи не могут использоваться для входа — они применяются системными службами для доступа к файловой системе.

Файл /etc/shadow хранит информацию о паролях пользователей в следующем формате:

Имя_пользователя:Пароль:Дата_изменения:Мин_дней:Макс_дней:Дней_предупреждения:Дней_блокировки:Истекает

Файлы /etc/passwd и /etc/shadow должны оставаться синхронизированными. Для этого следует избегать прямого редактирования этих файлов в текстовом редакторе, а вместо этого использовать утилиты управления пользователями и паролями. Для проверки файлов можно использовать команду pwck. Если файлы рассинхронизированы, для добавления учётных записей из /etc/passwd в /etc/shadow можно использовать команду pwconv.

Затем мы рассмотрели утилиты командной строки для управления учётными записями. Для добавления пользователя применяется утилита useradd. Если при создании пользователя не указывать никаких параметров, используются значения по умолчанию из файлов /etc/default/useradd и /etc/login.defs.

Для установки пароля пользователя можно использовать утилиту passwd. Для просмотра состояния учётной записи — параметр –S команды passwd. Для изменения существующей учётной записи применяется утилита usermod. Для удаления учётной записи — userdel. По умолчанию userdel не удаляет домашний каталог пользователя; для этого следует использовать параметр –r.

Затем мы перешли к обсуждению групп Linux. Группы упрощают системное администрирование, позволяя объединять пользователей, которым требуется одинаковый уровень доступа к файлам и каталогам. Группы Linux хранятся в /etc/group в следующем формате:

Группа:Пароль:GID:Пользователи

В некоторых дистрибутивах пароли групп хранятся в /etc/group, в других — в отдельном зашифрованном файле /etc/gshadow, аналогично тому, как пользовательские учётные записи хранятся в /etc/passwd и /etc/shadow. Группы создаются с помощью команды groupadd. Если при этом не указывать никаких параметров, группа создаётся с параметрами по умолчанию из /etc/login.defs.

Для добавления пользователей в группу следует использовать параметр –A команды groupmod. Для удаления групп применяется команда groupdel.

Быстрое повторение (Accelerated Review)

  • Необходимо контролировать, кто может получить доступ к системе Linux и что пользователи могут делать с файлами и каталогами в файловой системе после входа.
  • Для аутентификации в системе пользователь должен ввести имя пользователя и пароль (учётные данные).
  • Linux восстанавливает пользовательские настройки при входе в систему — домашний каталог и среду рабочего стола.
  • По умолчанию домашние каталоги пользователей создаются в /home.
  • Домашний каталог суперпользователя root/root.
  • Для просмотра информации об учётной записи можно использовать команду finger.
  • Каждая учётная запись пользователя Linux имеет уникальный числовой идентификатор — UID.
  • UID суперпользователя root равен 0.
  • Начальный UID для стандартных пользователей — 1000 в одних дистрибутивах и 500 в других.
  • Для просмотра UID пользователя можно использовать команду id.
  • С системой Linux можно использовать разные методы аутентификации.
  • Для экзамена LPIC-1/Linux+ необходимо знать метод локальной аутентификации.
  • При локальной аутентификации учётные записи хранятся в /etc/passwd и /etc/shadow.
  • Файл /etc/passwd хранит информацию об учётных записях.
  • Файл /etc/shadow хранит зашифрованные пароли пользователей.
  • Для проверки синхронизации /etc/passwd и /etc/shadow можно использовать утилиту pwck.
  • Для копирования отсутствующих пользователей из /etc/passwd в /etc/shadow можно использовать pwconv.
  • Для добавления пользователей в систему Linux используется утилита useradd.
  • При запуске без параметров useradd использует системные значения по умолчанию из /etc/default/useradd и /etc/login.defs.
  • Для установки пароля пользователя используется утилита passwd.
  • Утилита passwd также может использоваться для проверки состояния учётной записи.
  • Для изменения существующей учётной записи используется утилита usermod.
  • Для удаления существующей учётной записи используется утилита userdel.
  • По умолчанию userdel не удаляет домашний каталог пользователя, если не указан параметр –r.
  • Группы Linux позволяют упростить администрирование путём объединения похожих учётных записей.
  • Учётные записи групп хранятся в /etc/group.
  • В некоторых дистрибутивах пароли групп хранятся в /etc/gshadow.
  • Для добавления новой группы в систему используется утилита groupadd.
  • Для добавления или удаления пользователей из существующей группы используется утилита groupmod.
  • Для удаления существующей группы используется утилита groupdel.