LFCA: למד ניהול חשבונות משתמש – חלק 5

מדריכים

כמנהל מערכת Linux, תקצור לך משימה לוודא את זרימת הפעולות בטכנולוגיית המידע בארגונך. בהתחשב בעובכות של חלק מהפעולות בטכנולוגיית המידע, מנהל מערכות נושא רבות כובעים, כולל היותם מנהלי מסד נתונים או רשת.

מאמר זה הוא חלק 5 מסדרת ה-LFCA, כאן בחלק זה, תתעטף בפקודות כלליות לניהול מערכת בכדי ליצור ולנהל משתמשים במערכת Linux.

ניהול חשבונות משתמשים ב-Linux

אחת מהאחריותות העיקריות של מנהלי מערכות Linux היא ליצור ולנהל משתמשים במערכת Linux. לכל חשבון משתמש יש 2 מזהים ייחודיים: שם המשתמש ומזהה המשתמש (UID).

בגדר כללית, יש 3 קטגוריות עיקריות של משתמשים ב-Linux:

משתמש Root

משתמש ה-root הוא המשתמש החזק ביותר במערכת Linux ונוצר בדרך כלל במהלך ההתקנה. למשתמש root יש כוח מוחלט במערכת Linux או בכל מערכת דומה ל-UNIX אחרת. המשתמש יכול לגשת לכל הפקודות, קבצים ותיקיות ולשנות את המערכת לפי העדפתו.

המשתמש ראשי יכול לעדכן את המערכת, להתקין ולהסיר חבילות, להוסיף או להסיר משתמשים אחרים, להעניק או לשלול הרשאות, ולבצע כל משימת ניהול המערכת אחרת ללא כל הגבלות.

המשתמש הראשי יכול לבצע כמעט כל דבר במערכת. ההנחה במערכות Linux ודומות ל-UNIX היא שאתה מבין מאוד מה אתה עושה עם המערכת. עם זאת, המשתמש הראשי יכול בקלות לפגוע במערכת. מספיק שתבצע פקודה קטלנית, והמערכת תישבר.

מכיוון זה, נמלץ מאוד לא להריץ פקודות כמשתמש ראשי. במקום זאת, דרישה טובה מחייבת להגדיר משתמש sudo. כלומר, להעניק הרשאות sudo למשתמש רגיל כדי לבצע משימות מנהליות מסוימות ולהגביל חלק מהמשימות רק למשתמש ראשי.

משתמש רגיל

A regular user is a normal login user that can be created by a systems administrator. Usually, there is a provision to create one during the installation process. However, you can still create as many regular users as needed post-installation.

A regular user can only perform tasks and access files and directories for which they are authorized. If need be, a regular user can be granted elevated privileges to perform administrative-level tasks. Regular users can also be deleted or disabled when the need arises.

חשבון שירות

זהו חשבון לא מסוגל להתחבר שנוצר כאשר חבילת תוכנה מותקנת. חשבונות כאלה משמשים לשירותים להרצת תהליכים במערכת. הם לא מיועדים או מתוכננים לבצע משימות רגילות או מנהליות במערכת.

קבצי ניהול משתמש

מידע על משתמשים במערכת Linux מאוחסן בקבצים הבאים:

  • הקובץ /etc/passwd
  • ה/etc/group קובץ
  • ה/etc/gshadow קובץ
  • ה/etc/shadow קובץ

בואו נבין כל קובץ ומה הוא עושה:

קובץ /etc/passwd

ה/etc/passwd קובץ מכיל מידע רב על משתמשים שמכיל בשדות שונים. כדי לצפות בתוכן של הקובץ, פשוט השתמשו בפקודת cat כפי שמוצג.

$ cat /etc/passwd

הנה קטע מהפלט.

tecmint:x:1002:1002:tecmint,,,:/home/tecmint:/bin/bash

בואו נתמקד בשורה הראשונה ונתאר את השדות השונים. מהשמאל הרחוק, יש לנו את הבא:

  • השם משתמש: זהו שם המשתמש, במקרה זה, tecmint.
  • הסיסמא: העמודה השנייה מייצגת את הסיסמא המוצפנת של המשתמש. הסיסמא אינה מודפסת בטקסט פשוט, במקום זאת, משתמשים במיקום עם סימן x.
  • הUID: זהו מזהה משתמש ID. זהו מזהה ייחודי לכל משתמש.
  • הGID: זהו מזהה קבוצה.
  • A brief description or summary of the user.
  • זהו המסלול לספריית הבית של המשתמש. עבור משתמש טקמינט, יש לנו /home/tecmint.
  • זהו שפת הבימור. עבור משתמשים רגילים, זה בדרך כלל מיוצג כ/bin/bash. עבור חשבונות שירות כגון SSH או MySQL, זה בדרך כלל מיוצג כ/bin/false.

הקובץ /etc/group

הקובץ זה מכיל מידע על קבוצות המשתמשים. כשמופק משתמש, השפה מיידית יוצרת קבוצה המתאימה לשם המשתמש של המשתמש. זה ידוע כקבוצה הראשית. המשתמש מוסף לקבוצה הראשית ברגע היווצרותו.

לדוגמה, אם אתה יוצר משתמש בשם bob, המערכת יוצרת באופן אוטומטי קבוצה בשם bob ומוסיף את המשתמש bob לקבוצה.

$ cat /etc/group

tecmint:x:1002:

הקובץ /etc/group כולל 3 עמודות. משמאל לשמאל, יש לנו:

  • שם הקבוצה. כל שם קבוצה חייב להיות ייחודי.
  • סיסמת קבוצה. בדרך כלל מיוצגת על ידי מיקום x.
  • מזהה קבוצה (GID)
  • חברי קבוצה. אלו הם חברים השייכים לקבוצה. השדה נשאר ריק אם המשתמש הוא החבר היחיד בקבוצה.

הערה: משתמש יכול להיות חבר בקבוצות מרובות. כך גם קבוצה יכולה להכיל מספר רב של חברים.

כדי לאשר את הקבוצות שמשתמש שייך אליהן, הפעל את הפקודה:

$ groups username

לדוגמה, כדי לבדוק את הקבוצות שהמשתמש tecmint שייך אליהן, הפעל את הפקודה:

$ groups tecmint

התוצאה מאשרת כי המשתמש שייך לשתי קבוצות: tecmint ו-sudo.

tecmint : tecmint sudo

הקובץ /etc/gshadow

הקובץ זה מכיל סיסמאות מוצפנות או 'מצופנות' עבור חשבונות קבוצה ו, מסיבות אבטחה, לא ניתן לגשת אליו על ידי משתמשים רגילים. הוא קריא רק על ידי משתמש השורש ומשתמשים עם פריבילגיות sudo.

$ sudo cat /etc/gshadow

tecmint:!::

משמאל לשמאל, הקובץ מכיל את השדות הבאים:

  • שם הקבוצה
  • סיסמה קידוד קבוצה
  • מנהל הקבוצה
  • חברי הקבוצה

קובץ /etc/shadow

קובץ /etc/shadow מאחסן את הסיסמאות המשתמשים בפורמט מוצפן או מוצפן. שוב, השדות מופרדים בצורת מרכאות מרכאות ולוקחים את הפורמט המוצג.

$ sudo cat /etc/shadow

tecmint:$6$iavr8PAxxnWmfh6J$iJeiuHeo5drKWcXQ.BFGUrukn4JWW7j4cwjX7uhH1:18557:0:99999:7:::

הקובץ כולל 9 שדות. מהשמאל הרחוק יותר יש לנו:

  • השם משתמש: זהו שם ההתחברות שלך.
  • הסיסמא של המשתמש. זה מוצג בפורמט מוצפן או מוצפן.
  • השינוי הסיסמא האחרון. זהו התאריך מאז שהסיסמא שונתה ומחושב מאז תאריך האפוקליפסה. האפוקליפסה היא ה-1 בינואר 1970.
  • התקופת חובת סיסמא מינימלית. זהו המספר המינימלי של ימים שחייבים לחלוף לפני שניתן לקבוע סיסמא.
  • התקופת חובת סיסמא מקסימלית. זהו מספר הימים המקסימלי שלאחר מכן חייבת להשתנות סיסמא.
  • התקופת התראה. כפי שניתן לראות מהשם, זהו מספר הימים מהרגע שהסיסמא תפוג שמודעים למשתמש על תכונת הסיסמא.
  • התקופת חוסר פעילות. מספר הימים לאחר שהסיסמא פוג שחשבון המשתמש נחדל מלשנות את הסיסמא.
  • התאריך פגישה. התאריך שבו חשבון המשתמש פג.
  • שדה שמור. – זה נשאר ריק.

איך להוסיף משתמשים במערכת לינוקס

עבור ההפצות Debian ו־Ubuntu, נעשה שימוש בכלי ה־adduser להוספת משתמשים.

התחביר פשוט וישיר.

# adduser username

לדוגמה, כדי להוסיף משתמש בשם bob, הריצו את הפקודה

# adduser bob

מתוך הפלט, משתמש בשם ‘bob‘ נוצר ומתווסף לקבוצה חדשה בשם ‘bob‘. בנוסף, המערכת יוצרת גם ספריית בית ומעתיקה קבצי הגדרות אליה.

לאחר מכן, יתבקש ממך להזין את הסיסמה של המשתמש החדש ולאשר אותה. המסוף יבקש גם להזין את השם המלא של המשתמש ומידע אופציונלי אחר כגון מספר חדר וטלפון עבודה. המידע הזה אינו בהכרח נחוץ, ולכן אפשר לדלג עליו. לבסוף, לחצו על ‘Y’ כדי לאשר כי המידע שסופק נכון.

Add User in Ubuntu

עבור מערכות RHEL ו־מבוססות על CentOS, עלייכם להשתמש בפקודת useradd.

# useradd bob

לאחר מכן, עלייכם להגדיר את הסיסמה עבור המשתמש באמצעות הפקודה passwd כדלקמן.

# passwd bob
Add User in CentOS

כיצד למחוק משתמשים במערכת Linux

כדי למחוק משתמש מהמערכת, מומלץ לנעול את המשתמש כדי שלא יוכל להתחבר למערכת, כפי שמוצג.

# passwd -l bob

אם תרצו, תוכלו לגבות את קבצי המשתמש באמצעות פקודת tar.

# tar -cvf /backups/bob-home-directory.tar.bz2  /home/bob
Lock User Account in Linux

למחיקת המשתמש יחד עם ספריית הבית, השתמש בפקודת deluser כך:

# deluser --remove-home bob
Delete User in Linux

בנוסף, ניתן להשתמש בפקודת userdel כפי שמוצג.

# userdel -r bob

שתי הפקודות מסירות את המשתמש לגמרי יחד עם ספריות הבית שלהם.

מסקנה

זו הייתה סקירה של פקודות ניהול משתמשים שיהיו שימושיות במיוחד בעת ניהול חשבונות משתמשים בסביבת המשרד שלך. תנסה אותן מדי פעם כדי לחדד את מיומנויות ניהול המערכת שלך.

Source:
https://www.tecmint.com/linux-user-account-management/