Получение информации о учётных записях пользователях
1. Список пользователей можно посмотреть в файле /etc/passwd командой:
less /etc/passwdДанная команда вернет всех пользователей, в том числе служебных. Для отображения только учетных записей пользователей можно ввести команду:
users2. Проверить существование пользователя и увидеть его идентификатор можно с помощью команды id:
id usernameМы должны увидеть что-то на подобие:
uid=1001(username) gid=1001(username) groups=1001(username),27(sudo)* учетная запись username существует, она находится в основной группе username и дополнительной sudo. Ее идентификатор 1001.
3. Также мы можем получить строку о пользователе из файла /etc/passwd:
getent passwd usernameМы увидим что-то такое:
username:x:1001:1001::/home/username:/bin/sh* наш пользователь username имеет идентификатор пользователя и группы 1001, его домашняя директория /home/username, командная оболочка /bin/sh.
Создание учётных записей пользователей
Синтаксис:
useradd <имя пользователя> [опции]* опции не являются обязательными при создании пользователя.
Пример:
useradd user* в данном примере создается учетная запись user.
Для учетной записи стоит сразу создать пароль:
passwd user* ОС попросит дважды ввести пароль.
Ключи (опции)
| Ключ | Описание и примеры |
|---|---|
| -b | Задает базовый каталог для домашнего каталога useradd user -b /var/home |
| -c | Создает комментарий для описания учетной записи useradd user -c «Новый пользователь» |
| -d | Полный путь к домашнему каталогу пользователя useradd user -d /home/newuser |
| -D | Позволяет показать или изменить настройки по умолчанию, которые будут применяться при последующем создании пользователей useradd user -Ds /bin/bash |
| -e | Дата, после которой учетная запись устареет. useradd user -e 2017-12-31 |
| -f | Число дней, после которого учетная запись с устаревшим паролем будет заблокирована useradd user -f 0 |
| -g | Задает основную группу useradd user -g altternativegroup |
| -G | Задает дополнительные группы useradd user -G wheel |
| -k | Путь к источнику скелета (файлы с шаблонами для нового пользователя) useradd user -k /var/skel |
| -m | При создании пользователя создать домашний каталог useradd user -m |
| -M | Не создавать домашний каталог useradd user -M |
| -N | Не создавать основную группу с таким же именем, как у пользователя useradd user -N |
| -o | Разрешает создание учетной записи с повторяющимся UID useradd user -u 15 -o |
| -p | Задает пароль useradd user -p pass |
| -r | Системная учетная запись (без домашнего каталога и с идентификаторами в диапазоне SYS_UID_MIN — SYS_UID_MAX из файла /etc/login.defs) useradd user -r |
| -R | Каталог, в который выполняется chroot useradd user -R /var/chroot/home |
| -s | Путь до оболочки командной строки useradd user -s /bin/csh |
| -u | Задает UID useradd user -u 666 |
| -U | Имя группы будет таким же, как у пользователя useradd user -U |
Актуальный список ключей можно получить командой useradd -h.
Редактирование учетных записей пользователей
Синтаксис:
usermod <имя пользователя> [опции]Пример:
usermod user -G wheel* эта команда добавит пользователя user в группу wheel
Удаление учетной записи пользователя
Синтаксис:
userdel <имя пользователя> [опции]Пример:
userdel userБлокировка учетной записи пользователя
1. Можно заблокировать пользователя, не удаляя его из системы:
usermod -L <имя пользователя>Пример:
usermod -L userЧтобы разблокировать пользователя, вводим:
usermod -U <имя пользователя>2. В некоторых системах Linux может использоваться pam-модуль tally. Он осуществляет подсчет количества неудачных попыток входа в систему. Также он может блокировать доступ при превышении данного количества.
Чтобы посмотреть счетчик для пользователя, вводим команду:
В версии постарше:
pam_tally2 --user=adminДля сброса счетчика (и блокировки, если она есть) вводим:
pam_tally2 --user=admin --resetРабота с группами пользователей
1. Добавление группы:
groupadd <группа> [опции]2. Редактирование:
groupmod <группа> [опции]3. Удаление группы:
groupdel <группа> [опции]4. Добавление пользователя в группу:
Выполняется через команду usermod:
usermod -a -G <группы через запятую> <пользователь>5. Удаление из группы:
Выполняется с помощью gpasswd:
gpasswd --delete <пользователь> <группы через запятую>Список пользователей
Посмотреть список пользователей можно в файле /etc/passwd:
cat /etc/passwdМы увидим что-то на подобие:
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
...Как правило, большая часть данных пользователей является системными — их UID меньше 1000 и больше 60000.
Более функциональная команда для отображения содержимого файла passwd — getent:
getent passwdМожно найти пользователя по идентификатору:
getent passwd 1000Получить список не системных пользователей:
getent passwd {1000..60000}Получить только список логинов не системных учетных записей:
getent passwd {1000..60000} | awk -F: '{ print $1}'Работа с паролями
Рассмотрим отдельно некоторые примеры работы с паролями пользователей.
1. Смена пароля для текущего пользователя:
passwd2. Смена пароля для конкретного пользователя:
passwd user* в данном случае замена будет выполняться для пользователя user.
3. Хэш пароля.
Пароли пользователей хранятся в файле /etc/shadow в виде хэша. Чтобы самим сгенерировать данный хэш (может понадобиться для ручного создания записи или с помощью cloud-init), выполняем команду:
mkpasswd -m sha-512Примеры работы с учетными записями
Рассмотрим несколько утилит, с помощью которых можно управлять учетными записями в Linux.
useradd
1. Создать пользователя, добавить его в группу и создать домашнюю директорию:
useradd user -G printer -m2. Создать учетную запись с возможностью получения привилений суперпользователя (командой sudo su):
useradd user -G wheel -m* для систем RPM.
useradd user -G sudo -m* для систем DEB.
3. Создать пользователя с определенными UID и GID (соответственно идентификаторы пользователя и группы):
useradd user -u 900 -g 950* группа с используемым идентификатором (в данном примере 950) уже должна быть создана заранее с использованием команды groupadd.
4. Создать пользователя и указать путь к домашней директории:
useradd user -d /home/new-user5. Создать учетную запись без возможности входа в систему:
useradd user -s /sbin/nologinusermod
1. Потребовать сменить пароль при следующем входе в систему:
chage -d 0 user2. Поменять пользователю основную группу:
usermod user -g newgroup3. Задать пользователю дополнительную группу с правами root:
usermod user -G sudo4. Добавить пользователя в группу:
usermod -a -G group user* в данном примере мы добавим пользователя user в группу group.
5. Сменить домашнюю директорию:
usermod -d /var/www/user user* данной командой мы меняем для пользователя user домашнюю директорию на /var/www/user.
chage
1. Автоматическая блокировка учетной записи:
chage -E 2023-05-01 user* данной командой мы указали, что учетная запись user перестанет действовать после 1 мая 2023 года.
Чтобы посмотреть информацию о дате окончания срока действия учетной записи вводим:
chage -l userСделать учетную запись бессрочной:
chage -E -1 userВозможные ошибки
sudo must be owned by uid 0 and have the setuid bit set
При попытке получить привилении командой:
sudo su… система возвращает ошибку:
sudo: /usr/bin/sudo must be owned by uid 0 and have the setuid bit setПричина: эта ошибка возникает, когда утилита sudo не имеет правильных прав доступа на вашей системе. В частности, она происходит, когда владелец файла /usr/bin/sudo не является пользователем root или когда установлен неправильный бит setuid на файле.
Решение: убедитесь, что вы вошли в систему с учетной записью, имеющей права администратора. Это можно сделать, войдя напрямую под пользователем root.
Выполняем команду, чтобы проверить права файла sudo:
ls -l /usr/bin/sudoЕсли владелец не является пользователем root, выполните следующую команду, чтобы изменить владельца файла:
chown root:root /usr/bin/sudoУбедитесь, что установлен правильный бит setuid на файле sudo, выполнив следующую команду:
chmod u+s /usr/bin/sudo