Группы пользователей freebsd. FreeBSD: Управление учетными записями пользователей
Полномочия пользователей и файлов, принадлежащих им, формирует концепцию ОС UNIX. Так как FreeBSD является многопользовательской ОС и принадлежит к семейству ОС относящихся к общему названию UNIX, поэтому умение грамотно управлять пользователями позволит избежать различных неприятностей.
Учётные записи пользователей и групп хранятся в двух файлах:
В FreeBSD используется технология теневых паролей - это когда системные данные пользователей разделены на два файла:
1.файл /etc/master.passwd в котором находятся пароли в зашифрованном виде, он имеет права только на чтение и запись для пользователя root
2.файл /etc/passwd , созданный с помощью команды pwd_mkdb(8) (генерация базы с паролями) из файла /etc/master.passwd , он имеет права на чтение для группы и других пользователей, в нём пароли заменены на *. Также с помощью команды pwd_mkdb(8) из файла /etc/master.passwd создаются два файла - /etc/pwd.db и /etc/spwd.db (индексированные базы данных), они предназначены для ускорения поиска, в случае большого количества системных пользователей. Файл /etc/spwd.db является секретным как и файл /etc/master.passwd и имеет теже права доступа и владельца.
Рассмотрим синтаксис файла /etc/master.passwd:
| root:$1 $SJSDMXQE $LRpetLGNt5xO8k980r2om .:0 :0 ::0 :0 0 :0 ::0 :0 1 :1 ::0 :0 2 :5 ::0 :0 3 :7 ::0 :0 4 :65533 ::0 :0 5 :65533 ::0 :0 7 :13 ::0 :0 |
Каждая новая строка в файле описывает пользователя, она содержит в себе столбцы разделённые (:).
Столбцы по порядку:
1.name
- логин пользователя, который будет использоваться при входе в систему
2.password
- зашифрованный пароль в файле /etc/master.passwd и * в /etc/passwd
3.uid
- уникальный идентификатор пользователя.
4.gid
- уникальный идентификатор группы.
5.class
- класс настроек и установок, который берётся из файла /etc/login.conf
6.change
- время жизни пароля, т.е период через который
необходимо сменить пароль. Количество секунд с 1 января 1970. Проверить
на какую дату указывают секунды в поле можно с помощью команды: date -r seconds
, где seconds - значение поля.
7.expire
- время жизни аккуанта, после прошествия этого периода
времени он заблокируется, 1 января 1970. Проверить на какую дату
указывают секунды в поле можно с помощью команды: date -r seconds
, где seconds - значение поля.
8.gecos
- общая информация о пользователе
9.home dir
- домашний каталог пользователя
10.shell
- оболочка, которую будет использовать пользователь
При создании файла /etc/passwd
из файла /etc/master.passwd
поля class, change, expire
удаляются, а пароль заменяется на *.
Поле логина (name) не может начинаться с символа (-), так же не
советуется использовать прописные буквы в имени пользователя и разделять
логин символом (.), что может вызвать проблемы при работе с почтой. В
файле /etc/master.passwd
поле password
зашифровано, если
поле отсутствует, т.е вместо пароля стоит символ *, то доступ к машине
вы не получите. Для быстрого редактирования файла /etc/master.passwd
и без последующего применения команды pwd_mkdb(8)
применяется команда vipw(8)
, это тот же редактор vi(1)
, поэтому перед применение команды vipw(8)
ознакомьтесь с man страницей по vi(1)
.
Пример:
| # vipw root:$1 $SJSDMXQE $LRpetLGNt5xO8k980r2om .:0 :0 ::0 :0 :Charlie &:/root:/bin/csh toor:*:0 :0 ::0 :0 :Bourne-again Superuser:/root: daemon:*:1 :1 ::0 :0 :Owner of many system processes:/root:/usr/sbin/nologin operator:*:2 :5 ::0 :0 :System &:/:/usr/sbin/nologin bin:*:3 :7 ::0 :0 :Binaries Commands and Source:/:/usr/sbin/nologin tty:*:4 :65533 ::0 :0 :Tty Sandbox:/:/usr/sbin/nologin kmem:*:5 :65533 ::0 :0 :KMem Sandbox:/:/usr/sbin/nologin games:*:7 :13 ::0 :0 :Games pseudo-user:/usr/games:/usr/sbin/nologin |
При использовании (*) в /etc/master.passwd
вместо поля password
запрещается авторизация в системе так как символ (*) не может быть
зашифрованным паролем. Например, для временной блокировки пользователя,
можно использовать вместо поля password
в файле /etc/master.passwd
такую комбинацию *LOCKED* или добавить такую комбинацию в начало
пароля, если он существует, а при разблокировке просто её удалить, для
этого Вам понадобится команда vipw(8)
. Для того, чтобы посмотреть как блокировать аккуант с помощью командной строки прочтите man по команде pw(8)
.
Поле gecos
дающее общую информацию о пользователи, содержит в себе следующие поля, разделённые запятой:
Поле home_dir
, определяет путь к домашнему каталогу пользователя, владельцем которого он будет являться.
Поле shell
, определяет оболочку пользователя, список доступных оболочек для пользователя можно посмотреть в файле /etc/shells
.
Для пользователя root изменять текущую оболочку не рекомендуется, т.к в
случае аварии файловая система /usr может быть не примонтирована, в
следствии чего пользователь root не получит доступ к системе.
Если Вы хотите запретить доступ пользователя к системе, замените его оболочку на /sbin/nologin
. Данная программа более корректно, чем другие (пр.: /dev/null) обработает попытку входа пользователя.
При добавлении нового пользователя необходимо выбрать уникальное имя (login name) которое не будет встречаться в файле /etc/passwd и /etc/mail/aliases . Так же имя не должно начинаться с символа (-) и содержать в себе символ (.), и прописные буквы, так как могут возникнуть непредвиденные ситуации при работе с почтой. Новый пользователь получает уникальный id - UID и становится членом группы, имя которой совпадает с именем пользователя, в которой он будет один. Такая стратегия именования группы позволяет улучшить безопасность и гибкость при управлении доступом. UID и имя пользователя(login name) являются уникальными в системе и будут использоваться при осуществлении контроля доступа к файловой системе. После добавления пользователя в систему, в его домашний каталог копируются файлы .profile (выполняется при заходе пользователя в систему), если используется оболочка /bin/sh или.cshrc(при старте оболочки) и .login (при заходе пользователя в систему), если используется оболочка /bin/csh . Все эти файлы копируются из каталога /usr/share/skel .
В файле /etc/group
находятся все локальные группы
системы. Данный файл можно редактировать любым текстовым редактором на
Ваше усмотрение, т.е чтобы добавить группу достаточно отредактировать
вышеуказанный файл.
Файл состоит из отдельных строк, столбцы в которых
разделены с помощью специального символа (:). Строка состоит из
следующих столбцов или полей:
В данном файле, каждая строка, начинающаяся с символа (#) является комментарием.
Поле group
является именем группы, которое определяет доступ пользователям к файлам, являющимися членами данной группы. С полем group
ассоциируется поле gid, которое определяет уникальный идентификатор
группы. Два этих поля неразрывно связаны, точно также как имя
пользователя и его UID. Поле password
является необязательным, оно редко используется и поэтому символ (*) никак лучше подходит вместо шифрованного пароля. Поле member
содержит членов группы, виде имён пользователей разделённых между собой
с помощью сивола (,) - запятая. В группе может находится не
больше 200 пользователей. Максимальная длина строки в файле /etc/group
1024 символа.
Управление ресурсами пользователя и ограничения.
Управление ресурсами пользователя осуществляется с помощью классов, которые определяются в специальном файле /etc/login.conf , а также задаются пользователю при его добавлении. Если для пользователя не определён какой-либо класс, то ему присваивается класс - default. Каждый класс имеет набор характеристик в виде имя=значение. Для ускорения доступа к данным система непосредственно не читает файл /etc/login.conf , а вместо этого читает файл /etc/login.conf.db , который создаётся специальной командой cap_mkdb(1)
| cam_mkdb /etc/login.conf |
Поэтому после каждого изменения файла /etc/login.conf
не забывайте исполнять команду cap_mkdb(1)
Изменить или задать класс пользователю можно в файле /etc/master.passwd
, в котором для этого имеется специальное поле class
.
Это обсуждалось выше. Пользователь с UID = 0, т.е администратор системы
(root) не имеет действующего класса, к нему применяется запись root в /etc/login.conf
или класс default, если запись root отсутствует.
Пользователь может для себя создать индивидуальный файл с настройками ресурсов в домашнем каталоге под названием ~/login.conf
, этот файл использует тот же синтаксис, что и файл /etc/login.conf
,
но он содержит только запись id с именем. В этом файле
пользователь может только уменьшать предоставляемые ему ресурсы, но
никак не увеличивать.
В качестве разделителя полей в файле /etc/login.conf
используется символ (:). Первое поле в файле означает имя класса,
который в последующем будет применяться к тому или иному пользователю.
Каждое поле в файле /etc/login.conf
может принимать следующие значения:
b - байты
k - килобайты
m - мегабайты
g - гигабайты
t - терабайты
Возможно объединение значений с указанием соответствующих суффикосв: 1m30k
y - год
w - неделя
d - день
h - час
m - минуты
s - секунды
Возможно объединение значений с указанием соответствующих суффиксов: 2h30m
Ограничение ресурсов:
|
Ресурсы могут ограничиваться как мягкими, так и жёсткими
ограничениями, разница между ними состоит в том, что жёсткие
ограничения пользователь не сможет увеличивать, а мягкие сможет, но не
больше чем жёсткое значение. Для обозначения мягких и жёстких
ограничений используются специальные суффиксы -max
и -cur
. Пр: filesize-max
Окружение пользователя:
|
|
В опциях host.allow
и host.deny
разделителем хостов является запятая.
В опциях times.allow
и times.deny
записи разделяются запятой. Значения периодов времени записываются в 24 -х часовом формате, отделённых друг от друга дефисом.
Для примера: MoThSa0200-1300
Данная запись
расшифровывается следующим образом: доступ пользователю разрешён по
понедельникам, четвергам, субботам в период с 2 -ч часов ночи до часу
дня. Если обе опции в пользовательском классе отсутствуют, то доступ
разрешается в любое время. Если период времени разрешённый в опции times.allow
запрещается периодом времени в файле times.deny
, то приоритет имеет опция times.deny
.
В опциях ttys.allow и ttys.deny содержаться записи tty устройств, разделённые запятой (без префикса /dev/) и список ttygroups (смотрите getttyent(3) и ttys(5) ) к которым пользователь данного класса имеет или не имеет доступ. Если в опции нет ни одной записи, то пользователь имеет неограниченный доступ.
Параметры пароля такие как минимальная длинна (minpasswordlen) и параметр отвечающий за предупрждение, если пользователь вводит пароль только в нижнем регистре (minpasswordcase) не поддерживаются, для этих ограничений применяется pam модуль pam_passwdqc(8) .
Задание классов для системных пользователей является очень хорошим средством индивидуального ограничения пользователя, но используйте это средство осознанно и с осторожностью.
Для управления пользователями и группами будут полезны следующие команды:
Получил паспорт, после вклейки фотки, выгляжу лучше чем в 16:) Но сегодня не обо мне, а о пользователях во FreeBSD
0. Управление пользователями FreeBSD
1. Перенос пользователей с другого сервака
2. Работа с пакетами для конкретного пользователя
3. Меняем стандартный shell на самописный
4. Делаем удаленную консольку русской с UTF8
adduser
Добавить пользователя
-С конфигурирование профиля по умолчанию /etc/adduser.conf
Чтобы не отвечать каждый раз на одинаковые вопросы, делаем профиль и по нему создаем пользователей:)
Полезные параметры настройки для файла adduser.conf
defaultGroup
Имя группы по умолчанию, к которой будут добавляться новые пользователи (если значение не определено, для каждого пользователя будет создаваться его собственная группа)
defaultclass
Класс доступа по умолчанию
passwdtype
Может иметь значения nо (учетная запись останется заблокированной, пока root не назначит пароль), none (пароль не установлен), yes (пароль устанавливается при создании учетной записи) или random (будет назначен случайный пароль)
homeprefix
Каталог, где будут размещаться домашние каталоги пользователей (например, /home)
defaultshell
Командная оболочка, назначаемая по умолчанию (здесь можно указать любую командную оболочку из /etc/shells)
udotdir
Каталог, где находятся заготовки файлов пользователя, имена которых начинаются с символа «точка»
msgfile
Файл, содержащий текст электронного письма, отправляемого каждому пользователю сразу после создания учетной записи.
Файлы /etc/master.passwd, /etc/passwd, /etc/spwd.db и /etc/pwd.db хранят информацию об учетных записях пользователей.
Файл /etc/master.passwd является источником информации для аутентификации и содержит пароли пользователей в зашифрованном виде. Доступно только rooty. приоритетный файл.
В файле /etc/passwd перечислены все учетные записи без привилегированной информации (например, без зашифрованных паролей).
Файл /etc/spwd.db создается непосредственно из /etc/master.passwd и содержит секретную информацию о пользователях, этот файл доступен для чтения только пользователю root. Файл /etc/pwd.db доступен для чтения всем пользователям, но содержит ограниченный набор сведений, содержащихся в файле /etc/passwd.
pwd_mkdb
автоматически запускается для синхронизации между файлами, далее будет пример с использованием этой утилиты
passwd
изменение пароля простой пользователь
passwd имя_пользователя
смена пароля любого пользователя root
chpass
изменение учетных данных пользователя втч класс доступа
chpass имя_пользователя
под root
vipw
редактирует файл /etc/master.passwd напрямую
Каждой учетной записи соответствует отдельная строка в файле /etc/ master.passwd, которая состоит из 10 полей, разделенных двоеточиями. Это следующие поля:
Имя учетной записи:Зашифрованный пароль:Числовой идентификатор пользователя (UID):Числовой идентификатор группы (GID):Класс доступа:Срок действия пароля(в секундах с начала времен):Срок действия учетной записи:Личные данные(полное имя, адрес,телефон, итд):Домашний каталог пользователя:Командный интерпретатор
Пользователи с несуществующим домашним каталогом по умолчанию не могут заходить в систему, хотя такое поведение можно изменить с помощью параметра настройки requirehome в файле login.conf
rmuser
удаление пользователя
pw
управление пользователями
pw lock имя заблокировать учетку
id
узнать имя текущего пользователя
/etc/group инфо о групах
Каждая строка в файле /etc/group содержит четыре поля, разделенных двоеточиями: имя группы:пароль группы:числовой идентификатор группы:список членов группы.
Всякий раз, когда пользователь пытается войти в систему, FreeBSD проверяет содержимое файла /etc/login.access..
В файле /etc/login.access есть три поля, разделенных двоеточиями. Первое поле предоставляет (+) или отнимает (-) право на вход в систему; второе поле — список пользователей или групп; третье — список источников подключений. Можно также использовать выражения ALL (все) и ALL EXCEPT (все, за исключением) например
-:ALL EXCEPT wheel: console
-:ALL EXCEPT wheel:ALL EXCEPT 192.168.89.128 192.168.170.44
Описания классов доступа находятся в файле /etc/login.conf и определяют, какие данные и какие ресурсы могут предоставляться пользователям.
После редактирования login.conf необходимо обновить базу данных login, чтобы изменения вступили в силу:
# cap_mkdb /etc/login.conf
Переменные login.conf для ограничения ресурсов
cputime Максимальное время процессора, которое может использовать любой процесс
filesize Максимальный размер одного файла
datasize Максимальный объем памяти, который может потреблять один процесс для хранения данных
stacksize Максимальный объем стека, доступный одному процессу
coredumpsize Максимальный размер дампа памяти
memoryuse Максимальный объем памяти, который процесс может заблокировать
maxproc Максимальное количество процессов, которые могут быть одновременно запущены одним пользователем
openfiles Максимальное количество открытых файлов на один процесс
sbsize Максимальный размер буфера сокета, который может задействовать приложение пользователя
Имеется возможность задать текущие (current) ограничения на ресурсы — носят рекомендательный характер, и пользователь может менять их по своему желанию.
Для задания текущего ограничения добавьте -cur к имени переменной. Для установления жесткого лимита добавьте -max.
:mахрrос-сur: 30:\
:mахрrос-mах: 60:\
Задание параметров среды по умолчанию в login.conf
hushlogin Если присутствует в определении класса, системная информация не выдается при входе в систему.
ignorenologin Если присутствует в определении класса, пользователь может войти в систему, даже когда файл /var/run/nologin существует.
ftp-chroot Если присутствует в определении класса, пользователи при работе с FTP помещаются chroot-окружение.
manpath Список каталогов для переменной окружения $ MAN PATH.
nologin Если присутствует, пользователь не может войти в систему.
path Список каталогов для переменной окружения $РАТН.
priority Приоритет (nice) пользовательских процессов по умолчанию
setenv Список переменных окружения, разделенных запятыми, с их значениями.
umask Значение umask по умолчанию (см. builtin(1)). Это значение всегда должно начинаться с 0.
welcome Полный путь к файлу, содержащему приветственное сообщение.
shell Полный путь к командному процессору, который будет запущен после входа в систему. Эта запись подменяет командный процессор, указанный в /etc/master.passwd. Однако переменная окружения $SHELL будет указывать на командный процессор, заданный в файле паролей, поэтому окружение будет противоречивым. Изменение значения этой переменной — замечательный способ раздосадовать пользователей
term Тип терминала по умолчанию. Чуть ли не каждая программа, пытающаяся установить тип терминала, подменяет эту запись
timezone Значение по умолчанию переменной окружения $TZ.
Параметры настройки аутентификации:
minpasswordlength Задает минимальную длину пароля.
\:minpasswordlen=28:\
passwd_format Задает алгоритм, применяемый для шифрования паролей в /etc/master.passwd. Значение по умолчанию - md5. Другие допустимые значения — des (DES), blf (Blowfish) и nthash (Windows NT). DES наиболее полезен, когда необходимо иметь одинаковые пароли на компьютерах с различными операционными системами. Blowfish — очень ресурсоемкий алгоритм. Алгоритм nthash кака.
mixpasswordcase Если это свойство задано, то при следующем изменении паролей пользователи не смогут задавать в них только строчные буквы.
host.allow Пользователи в классе с этим значением могут применять rlogin и rsh. Такая установка настоятельно не рекомендуется.
host.deny Это значение используется при работе с rlogin и rsh. Избегайте их как несвежего мяса.
times.allow Определяет промежуток времени, когда пользователь может входить в систему. Для задания времени необходимо в полях, разделенных двоеточиями, указать дни и периоды времени. Дни обозначаются двумя первыми буквами названия дня недели (Su, Mo, Tu, We, Th, Fr и Sa). Время указывается в стандартном 24-часовом формате. Например, если пользователю разрешено входить в систему только по средам между 8.00 и 17.00, подойдет такая запись:
:times.allow=We8-17:\
times.deny Определяет промежуток времени, когда пользователю нельзя входить в систему.
Полный список флагов файлов chflags(1).
sappnd Системный флаг «только добавление», который может устанавливать только root. Этот флаг нельзя изменить, когда система работает на уровне безопасности 1 и выше.
schg Системный флаг «неизменяемости», нельзя редактировать, перемещать, заменять, который может устанавливать только root. Этот флаг нельзя изменить, когда система работает на уровне безопасности 1 и выше.
sunlnk Системный флаг «запрет на удаление», который может устанавливать только root. Этот флаг нельзя изменить, когда система работает на уровне безопасности 1 и выше.
uappnd Пользовательский флаг «только добавление», который может устанавливать только владелец файла или root. Как в случае с установленным системным флагом sappnd, в файл с флагом uappnd можно добавлять записи, однако этот файл нельзя удалять или редактировать. Владелец файла и root могут удалить этот флаг в любое время.
uchg Пользовательский флаг «неизменяемости», который может устанавливать только владелец файла или root.
uunlnk Пользовательский флаг «запрет на удаление», который может установить только владелец файла или root.
например
# chflags schg /boot/kernel/kernel
или рекурсивно
# chflags -R schg /bin
ls -lo просмотреть флаги файлов
снятие флага с помощью префикса no
# chflags noschg /boot/kernel/kernel
Уровень безопасности системы, вступающий в силу при начальной загрузке, можно задать с помощью параметра
kern_securelevel_enable=»YES»
kern_securelevel=0 в файле rc.conf.
Уровень безопасности -1 устанавливаемый по умолчанию,
Уровень безопасности 0 используется только в начале загрузки системы. Он не предлагает никаких специальных функций. Когда система переходит в многопользовательский режим, уровень безопасности автоматически увеличивается до 1. Установка kern_securelevel=0 в /etc/ rc.conf эквивалентна установке kern_securelevel=1. Однако это может быть полезно, если во время загрузки системы запускаются сценарии, которые не могут выполнять необходимые действия на более высоких уровнях безопасности.
Уровень безопасности 1
Системные флаги файлов не могут быть сняты.
Нельзя загружать и выгружать модули ядра
Программы не могут записывать данные напрямую в системную память через устройства /dev/mem или /dev/kmem.
Закрыт доступ к /dev/io.
На монтированные диски нельзя записывать данные напрямую, а значит, нельзя форматировать разделы. (Файлы можно записывать на диск через стандартный интерфейс ядра, нельзя лишь обращаться к диску, как к физическому устройству.)
Уровень безопасности 2 Это уровень 1+:
Нельзя записывать данные напрямую в монтированные и немонтированные файловые системы.
Системное время за раз можно изменить не более чем на 1 секунду.
Уровень безопасности 3 Это уровень 2+
не допускает изменений правил пакетного фильтра.
Дополнения:
A.
После переноса с одного сервака на другой учетных записей, за это отвечают(/etc/master.passwd и /etc/group.) записываем на новой машине полученные файлы в каталог /etc. И потом:
#pwd_mkdb master.passwd
B.
Настройка работы с пакетами /etc/csh…
PKG_TMPDIR задает каталог, в который распаковываются временные файлы
# setenv PKG_TMPDIR /home/user/garbage
PACKAGEROOT предпочитаемый FTP для скачки пакета
PACKAGESITE Это полный путь к хранилищу (репозитарию) пакетов. Применяется, если требуется использовать пакеты определенного «выпуска» или в системе есть локальное хранилище пакетов.
PKGDIR Этот каталог определяет место для размещения копий пакетов, загруженных командой pkg_add -Kr, и позволяет организовать хранение загруженных пакетов.
C.
Меняем стандартный шелл на самописный:)
1. В файлике /etc/shells добавляем строку с полным путем к нашему нестандартному шелу(для примера буду использовать /usr/bin/passwd).
2. Сохраняем
3. Создаем нового пользователя с помощью команды adduser
4. Во время создания когда спросят какой шелл хотим, смело выбирайте passwd(да, у нас появиться такой пунктик:))))
Можно конечно и поменять шелку у текущего, никто Вам этого не запрещает, в моем случае создавался новый пользователь.
D.
Руссификация консольки UTF-8
1. Включить в файл /etc/login.conf описание класса пользователей с поддержкой русского языка:
Russian_utf8|Russian Users Accounts UTF8:\ :charset=UTF-8:\ :lang=ru_RU.UTF-8:\ :tc=default:
2. Выполнить команду cap_mkdb /etc/login.conf
3. Воспользоваться программой pw:
# pw user mod -L russian_utf8
Ttyv0 "/usr/libexec/getty Pc" cons25r on secure ttyv1 "/usr/libexec/getty Pc" cons25r on secure ttyv2 "/usr/libexec/getty Pc" cons25r on secure ttyv3 "/usr/libexec/getty Pc" cons25r on secure ttyv4 "/usr/libexec/getty Pc" cons25r on secure ttyv5 "/usr/libexec/getty Pc" cons25r on secure ttyv6 "/usr/libexec/getty Pc" cons25r on secure ttyv7 "/usr/libexec/getty Pc" cons25r on secure
5. В файле /etc/rc.conf закомментировать строки(если есть):
#font8x8="koi8-r-8x8" #font8x14="koi8-r-8x14" #font8x16="koi8-r-8x16" #keymap="ru.koi8-r.win"
6. Прописать переменные в используемом шелле /etc/csh.cshrc:
Setenv LANG ru_RU.UTF-8 setenv LC_CTYPE ru_RU.UTF-8 setenv LC_COLLATE POSIX setenv LC_ALL ru_RU.UTF-8
Можно конечно добавлять и каждому конкретному пользователю, но это дело по вкусу:)
Добавить пользователя или группу можно несколькими способами (sysinstall, adduser, pw …). Рассмотрим самые популярные программы для управления пользователями в ОС freeBSD .
1. Добавление пользователей используя adduser
И так рассмотрим указанную выше программу adduser (за слешами будет // мой комментарий) :
#adduser
Username: test // указываем имя будующего пользователя
Full name: Test User // полное имя
Uid (Leave empty for default): // юзер АйДи (индификационный номер в системе) желательно оставить пстым, система сама назначит
Login group : // вносим пользователя в его группу. оставляем пустым
Login group is test. Invite test into other groups? : wheel // можно добавить пользователя в другую группу если есть необходимость
Login class : // оставим пустым
Shell (sh csh tcsh zsh nologin) : tcsh // выбираем ‘оболочку’ командной строки, лучше вписать tcsh, sh не удобен IMHO
Home directory : // домашняя папка можно разместить где удобно но лучше оставить по дефолту
Use password-based authentication? : // оставляем пустым
Use an empty password? (yes/no) : // пользователь с пустым паролем это не безопасно, выбор по умолчанию no
Use a random password? (yes/no) : // система может генерировать случайный пароль по умолчанию no
Enter password: // если вы отвергли 2 верхних пункта вам предложено ввести пароль самостоятельно
Enter password again: // повторите ввоб пароля
Lock out the account after creation? : // заблокировать учетную запись пользователя после создания
Username: test
Password: ****
Full Name: Test User
Uid: 1001
Class:
Groups: test wheel
Home: /home/test
Shell: /usr/local/bin/tcsh
Locked: no
OK? (yes/no): yes // если вышеуказанное совпадает с тем что вы хотели вводите yes
adduser: INFO: Successfully added (test) to the user database.
Add another user? (yes/no): no // предложение добавить еще пользователя, ненасытный, ему только пользователей подавай
Goodbye! // и вам не хворать
#
2. Удаление пользователей используя rmuser
И так добавить - добавили. Теперь нужно знать как удалить /> Помните «ломать - не строить!» Удалить куда проще чем добавить пользователя и назначить ему нужные настройки и права.
Удаляем следующей программой: rmuser
Что может эта программа:
- Удаление записи пользователя из crontab (если она присутствует).
- Удаляет задачи at , принадлежащие пользователю.
- Уничтожает все процессы, принадлежащие пользователю.
- Удаляет пользователя из локального файла паролей.
- Удаляет домашний каталог пользователя (если он принадлежит пользователю).
- Удаляет принадлежащую пользователю входящую почту из /var/mail .
- Удаляет все файлы, принадлежащие пользователю, из каталогов с временными файлами, например /tmp .
- Наконец, удаляет имя пользователя из всех групп, которым оно принадлежит, в /etc/group.
# rmuser test // удаляем пользователя test
Matching password entry:
test:*:1001:1001::0:0:Test User:/home/test:/usr/local/bin/tcsh
Is this the entry you wish to remove? y // перестраховка, того ли юзера вы собрались удалять
Remove user’s home directory (/home/test)? y // удалить пользовательскую папку со всем содержимым?
Updating password file, updating databases, done.
Updating group file: trusted (removing group test - personal group is empty) done.
Removing user’s incoming mail file /var/mail/test: done.
Removing files belonging to test from /tmp: done.
Removing files belonging to test from /var/tmp: done.
Removing files belonging to test from /var/tmp/vi.recover: done. // всё! пользователь ушел в мир иной и все папки за ним подчищены .
#
Если желаете что бы программа не грузила Вас всеми этими вопросами - используйте параметр -y (rmuser -y ) фактически мы соглашаемся на все условия.
3. Смена пароля программами passwd и chpass
Как изменить пароль у пользователя freeBSD? - спросите Вы. Элементарно! - ответит вам любой читавший дальше =).
Программки для смены пароля: passwd
и chpass
.
passwd
- это обычный способ изменения собственного пароля пользователя, или пароля другого пользователя суперпользователем.
Предствим на минутку что Вы простой юзер с именем test и хотите себе поменять пароль:
% passwd
Old password: // вводим старый пароль
New password: //вводим новый пароль
Retype new password: // повторяем новый пароль
passwd: updating the database…
passwd: done // готово пароль изменен
Теперь представим что Вы суперпользователь и хотите изменить пароль простому смертному юзеру:
# passwd test // обязательно укажите имя пользователя иначе измените свой пароль
Changing local password for test.
New password: // новый пароль (как видите старый пароль знать не нужно - преимущества суперюзера)
Retype new password: //повторим пароль
passwd: updating the database…
passwd: done // готово, хехе
Рассмотрим теперь более функциональную примочку - chpass
.
chpass
- может не только менять пароль пользователя, а и остальные его данные.
Только системные администраторы с правами суперпользователя могут изменять информацию и пароли других пользователей с помощью программы chpass
. Простые пользователи тоже могут использовать эту программу, но изменять позволено лишь небольшую часть этой информации, и только для своей учетной записи.
И так работа программы chpass
для суперюзера:
#Changing user database information for test .
Login: test
Password: *
Uid [#]: 1001
Gid [# or name]: 1001
Change :
Expire :
Class:
Home directory: /home/test
Shell: /usr/local/bin/tcsh
Full Name: Test User
Office Location:
Office Phone:
Home Phone:
Other information:
4. Управление пользователями и группами используя pw
Ну и самое вкусное в конце. pw
- это утилита командной строки для создания, удаления, модифицирования и отображения пользователей и групп. Она функционирует как внешний интерфейс к системным файлам пользователей и групп. У pw
очень мощный набор параметров командной строки, что делает это программу подходящей для использования в shell скриптах, но новым пользователям она может показаться более сложной, чем другие представленные здесь команды.
Добавим юзера test с помощью утилиты pw
:
# pw useradd test -s /bin/tcsh -c «Test user» -m -b /home -e 03-07-2011 -p 02-07-2011
Пояснение использованных ключей:
-s
– указывает какой терминал будет использоваться, поле shell
-с
– комментарии к созданному пользователю, поле gecos
-e
– время жизни аккуанта, поле expire. Формат поля аналогичен опции ‘-p’
-p
– время жизни пароля, поле change. Формат задания даты или времени таков:
dd-mm-yy, где dd – день, mm – месяц, yy – год. Или используется следующий
формат: +0mhdwoy, где m – минуты, h – часы, d – дни, w – недели, o – месяц, y - год
-m
– заставляет создать домашний каталог пользователя и скопировать в него стандартные файлы
и каталога /usr/share/skel
-b
– базовая директория в которой будет находится домашний каталог пользователя, поле home_dir
-L
– задаёт класс для пользователя из файла login.conf, поле class
Что бы создать группу noname и переместить в нее пользователя test используем следующую комбинацию:
# pw groupadd noname -M test
Что бы добавить пользователя test в уже существующую группу wheel используем:
# pw usermod test -g wheel
Расписывать все возможности pw можно долго. Основные возможности перед Вамм.
5. Перечень всех известных программ и утилит о управлению учетными записями и группами пользователей
Ну и в завершении перечислю все возможные приложения и утилиты для мониторинга/изменения/добавления пользователей и групп:
pw(8) – создание, удаление, изменение, отображение пользователей и групп;
adduser(8) – интерактивное добавление нового пользователя;
Создание пользователя
Работая в консоли FreeBSD Вы можете легко создать нового пользователя, используя команду aduser. Запуск команды вызывает интерактивный диалог, в котором запрашивается вся необходимая информация. Пользователь будет создан только после ответа на все вопросы системы.
Скриншот иллюстрирует все вопросы задаваемые командой adduser, мы добавили пользователя shitus.
Если вы хотите прервать создание учетной записи, нажмите ctrl+c.
Разберем что означает каждый пункт -
Username: Имя аккаунта
Full name: Настоящее имя пользователя
Uid: Пользовательский id (User ID), каждый пользователь получает уникальный цифровой id, начинающийся от 1000 и выше. Числа ниже 1000 зарезервированы за системой. Каждый новый пользователь получает уникальное число (ID), которое соответственно возрастает с каждым новым аккаунтом. Вы можете оставить эту опцию пусто, т.к. система автоматически добавит уникальный числовой номер для пользователя.
Login group: Пользовательская группа по умолчанию. В юниксовых системах нормально если пользователь состоит в своей собственной группе. Вы можете оставить эту опцию пустой, система сама добавит учетную запись в ее собственную группу по-умолчанию. Следующим щагом система запросит добавлять ли пользователя в другие группы - Login group is shitus. Invite shitus into other groups? Данный пункт оставляю на Ваше усмотрение, ибо задачи у учетных записей разные, например для повышения уровня доступа можно добавить в группу wheel, но я рекомендую глубоко подумать, чем добавлять в эту или в иную другую группу.
Login class: Класс пользователя, используется для гибкости администрования, по-умолчанию default, если вы не очень хорошо владеете вопросом, советую его не менять. Бывают еще например классы -root, standart и т.д.
Shell: устанавливает оболочку (shell или командный интерфейс). По-умолчанию это /bin/sh. Вы можете установить какой-либо другой, например bash. Это возможно проделать и позже, когда поймете, что конкретно Вам нужно от оболочки
Home directory: Домашняя папка, юзерская папка для хранения своих файлов. По умолчанию юзер имеет полные права только на нее. Все юзерские домашние папки располагаются в /usr/home, Вы также можете увидеть папку /home в корневой директории /, но это всего лишь символическая ссылка на /usr/home/
Home directory permissions : Оставляем по-дефолту, в комментариях особо не нуждается.
User password based authentication: Использовать аутентификацию по паролю, по-умолчанию стоит "yes", поэтому просто нажимаем ввод. Надеюсь никому не надо напоминать, что использование пароля обязательно!
Use an empty password: Пользователь может задать свой собственный пароль при первом входе, по умолчанию установлено в "No", что означает необходимость установить пароль сейчас.
Use a random password: По-умолчанию стоит "No". Если вы выбирете "Yes", то система сгенерирует случайный пароль для пользователя. Пароль будет показан после создания пользователя -
Adduser: INFO: Password for (shitus) is: ntFWk55HRq
Lock out the account after creation: Заблокировать аккаунт после создания, то бишь аккаунт будет создан, но залогиниться от него не получится, пока вы его не разблокируете.
После создания акканту, adduser покажет суммарную информацию о созданном пользователе. После чего последует запрос на создание еще одного пользователя.
Удаление пользователя из системы.
Для удаления пользоователя из системы в Freebsd используется команда rmuser с именем пользователя (его можно и не указывать, тогда команда следующим шагом его запросит). В нашем случае мы удаляем пользователя shitus и его домашнюю папку, вводим rmuser shitus и отвечаем на оба вопроса yes, пользователь удален.
Изменение пароля пользователя Freebsd
В FreeBSD два основных типа пользователей, root и обычный пользователь. Пользователь root имеет возможность изменять пароль любого обычного пользователя, но обычный пользователь может изменять только свой пароль.
Если вошли как root и желаете изменить пароль пользователя shmitus, то используем команду -
Passwd shmitus После ввода команды у Вас запросят новый пароль для пользователя, а также его подтверждение.
Для выполнения некоторых команд в системе FreeBSD требуется повышенные права (sudo ). В прошлой статья я уже рассматривал, сегодня разберемся, как создать пользователя во FreeBSD и выдать ему sudo права.
. Создание пользователя во FreeBSD
Для начала нам необходимо получить повышенные права (root ). Для этого выполним команду su и введем пароль от пользователя root :
Su Password: root@freebsd:/home/username #
Теперь переходим к созданию пользователя. Для это воспользуемся командой adduser :
# adduser
Username: sysadmin имя создаваемого пользователя Full name: Ivan Ivanov полное имя, можно оставить пусты, просто нажать Enter Uid (Leave empty for default): user id, можно ввести самому, начиная с номера 1001, либо нажать Enter, система выберет сама Login group : группа в которую входит создаваемый пользователь, по умолчанию совпадает с именем Login group is sysadmin. Invitesysadmin into other groups? : включить-ли пользователя в другие группы, если нет, жмем Enter Login class : класс пользователя, о них поговорим чуть позже, на данном этапе, жмем Enter Shell (sh csh tcsh nologin) : sh здесь предлагается выбрать системную оболочку, если вы не собираетесь давать данной учетной записи, удаленный доступ к системе, например через SSH, вписываем nologin, либо выбираем из предложенных вариантов, я обычно ставлю sh Home directory : назначаем домашнюю директорию, если значение по-умолчанию устраивает, жмем Enter Home directory permissions (Leave empty for default): права доступа на домашнюю директорию, что-бы оставить по-умолчанию, жмем Enter Use password-based authentication? : использовать-ли авторизацию по паролю Use an empty password? (yes/no) : можно-ли использовать пустые пароли Use a random password? (yes/no) : система предлагает сгенерировать вам пароль, если вы хотите согласиться, нужно написать yes на заключительном этапе создания учетной записи, будет показан сгенерированный пароль если предпочитаете ставить пароль вручную, жмите Enter Enter password: вводим пароль, имейте в виду, программа не покажет, что вы вообще что-либо вводите так что будьте внимательны Enter password again: повторный ввод пароля Lock out the account after creation? : заблокировать-ли учетную запись после создания
Если Вы планируете выдать в дальнейшем данному пользователю повышенные права, то сразу можно его при создании поместить в группу wheel
.
В принципе создание пользователя на этом завершено
. Настройка sudo (root права) пользователю во FreeBSD
Для начала нам необходимо установить sudo . Устанавливать будем из пакетов. Для начала обновим пакеты:
Pkg update
Теперь установим сам пакет sudo
Pkg install sudo
После установки у нас появится файл sudoers в директории /usr/local/etc. Давайте проверим, появился ли он?:
Да, файл есть, все хорошо. Данный файл создается с атрибутами «только чтение». Нам необходимо разрешить его редактирование:
# chmod u+w /usr/local/etc/sudoers
Давайте теперь отредактируем файл:
# mcedit /usr/local/etc/sudoers
находим файле строку root ALL=(ALL) ALL и под ней добавим нашего созданного пользователя:
... ## ## Runas alias specification ## ## ## User privilege specification ## root ALL=(ALL) ALL sysadmin ALL=(ALL) ALL ## Uncomment to allow members of group wheel to execute any command # %wheel ALL=(ALL) ALL ## Same thing without a password # %wheel ALL=(ALL) NOPASSWD: ALL ## Uncomment to allow members of group sudo to execute any command # %sudo ALL=(ALL) ALLДля того, чтобы разрешить всей группе права суперпользователя, необходимо просто раскомментировать строчку %wheel ALL=(ALL) NOPASSWD: ALL Если вы ее расскоментируете в том виде, в котором она есть, то при вызове команды от суперпользователя пароль запрашиваться не будет. Чтобы пароль запрашивался, уберите надпись NOPASSWD . На этом все. Теперь, для того, чтобы вызвать команду с повышенными правами необходимо вначале набрать su . Например:
$ su service zabbix-server restart
Вроде бы мы подробно рассмотрели, как создать нового пользователя в операционной системе FreeBSD и как добавить ему права суперпользователя. Если у Вас что-то не получается или остались вопросы — задавайте их в комментариях, постараемся ответить и помочь.