Перейти до змісту

Керування користувачами

У цьому розділі ви дізнаєтесь, як керувати користувачами.


Цілі: у цьому розділі майбутні адміністратори Linux дізнаються, як:

✔ додати, видалити або змінити групу;
✔ додати, видалити або змінити користувача;
✔ зрозуміти файли, пов’язані з користувачами та групами, і навчитися ними керувати;
✔ змінити власника або власника групи файлу;
✔ захистити облікові записи користувачів;
✔ змінити ідентифікатор.

🏁 користувачі

Знання: ⭐ ⭐
Складність: ⭐ ⭐

Час читання: 30 хвилин


Загальні положення

Кожен користувач повинен мати групу, яка називається основною групою користувача.

Кілька користувачів можуть входити до однієї групи.

Групи, відмінні від основної, називаються додатковими групами користувача.

Важливо

Кожен користувач має основну групу і може бути запрошений до однієї або кількох додаткових груп.

Групи та користувачі керуються їхніми унікальними числовими ідентифікаторами GID та UID.

  • UID: Ідентифікатор користувача. Унікальний ідентифікатор користувача.
  • GID: Ідентифікатор групи. Унікальний ідентифікатор групи.

І UID, і GID розпізнаються ядром, а це означає, що суперадміністратор не обов’язково є root користувачем, якщо uid=0 є суперадміністратором.

Файли, пов’язані з користувачами/групами:

  • /etc/passwd
  • /etc/shadow
  • /etc/group
  • /etc/gshadow
  • /etc/skel/
  • /etc/default/useradd
  • /etc/login.defs

Важливо

Ви завжди повинні використовувати команди адміністрування, а не редагувати файли вручну.

Примітка

Деякі команди в цьому розділі вимагають прав адміністратора. За домовленістю ми вказуватимемо команду sudo, коли команди мають виконуватися з правами адміністратора. Щоб приклади працювали правильно, переконайтеся, що ваш обліковий запис має право використовувати команду sudo.

Управління групою

Змінені файли, додані рядки:

  • /etc/group
  • /etc/gshadow

Команда groupadd

Команда groupadd додає групу до системи.

groupadd [-f] [-g GID] group

Приклад:

sudo groupadd -g 1012 GroupeB
Опція Опис
-g GID GID групи для створення.
-f Система обирає GID, якщо ідентифікатор, указаний параметром -g, уже існує.
-r Створює системну групу з GID від SYS_GID_MIN до SYS_GID_MAX. Ці дві змінні визначено в /etc/login.defs.

Правила іменування груп:

  • Без наголосів і спеціальних символів;
  • Відрізняється від імені існуючого користувача або системних файлів.

Примітка

У Debian адміністратор повинен використовувати, за винятком сценаріїв, призначених для перенесення на всі дистрибутиви Linux, команди addgroup і delgroup, як зазначено в man:

$ man addgroup
 ОПИС
 adduser і addgroup додають користувачів і групи до системи відповідно до параметрів командного рядка та конфігураційної інформації
 в /etc/adduser.conf. Вони є більш дружніми інтерфейсами для низькорівневих інструментів, таких як програми useradd, groupadd і usermod,
 за замовчуванням, вибираючи значення UID та GID, що відповідають політиці Debian, створюючи домашній каталог зі скелетною конфігурацією,
 запуск спеціального сценарію та інші функції.

Команда groupmod

Команда groupmod дозволяє вам змінити існуючу групу в системі.

groupmod [-g GID] [-n nom] group

Приклад:

sudo groupmod -g 1016 GroupP

sudo groupmod -n GroupC GroupB
Опція Опис
-g GID Новий GID групи, яку потрібно змінити.
-n name Нове ім'я.

Можна змінити назву групи, її GID або обидва одночасно.

Після модифікації файли, що належать до групи, мають невідомий GID. Їх потрібно перепризначити новому GID.

sudo find / -gid 1002 -exec chgrp 1016 {} \;

Команда groupdel

Команда groupdel видаляє наявну групу в системі.

groupdel group

Приклад:

sudo groupdel GroupC

Порада

При видаленні групи можуть виникнути дві умови:

  • Якщо користувач має унікальну основну групу, і ви виконуєте команду groupdel для цієї групи, вам буде запропоновано, що в групі є певний користувач, і його не можна видалити.
  • Якщо користувач належить до додаткової групи (а не основної групи для користувача), і ця група не є основною групою для іншого користувача в системі, тоді команда groupdel видалить групу без додаткових підказки.

Приклади:

$ sudo useradd test
$ id test
uid=1000(test) gid=1000(test) group=1000(test)
$ sudo groupdel test
groupdel: cannot remove the primary group of user 'test'

$ sudo usermod -g users -G test test
$ id test
uid=1000(test) gid=100(users) group=100(users),1000(test)
$ sudo groupdel testb

Підказка

Коли ви видаляєте користувача за допомогою команди userdel -r, відповідна основна група також видаляється. Ім'я основної групи зазвичай збігається з ім'ям користувача.

Підказка

Кожна група має унікальний GID. Групу можуть використовувати кілька користувачів як додаткову групу. За домовленістю GID суперадміністратора дорівнює 0. GIDS, зарезервовані для деяких служб або процесів, це 201-999, які називаються системними групами або псевдогрупами користувачів. GID для користувачів зазвичай більше або дорівнює 1000. Вони пов’язані з /etc/login.defs, про який ми поговоримо пізніше.

# Comment line ignored
shell > cat  /etc/login.defs
MAIL_DIR        /var/spool/mail
UMASK           022
HOME_MODE       0700
PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_MIN_LEN    5
PASS_WARN_AGE   7
UID_MIN                  1000
UID_MAX                 60000
SYS_UID_MIN               201
SYS_UID_MAX               999
GID_MIN                  1000
GID_MAX                 60000
SYS_GID_MIN               201
SYS_GID_MAX               999
CREATE_HOME     yes
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512

Підказка

Оскільки користувач обов’язково є частиною групи, найкраще створювати групи перед додаванням користувачів. Або в групі не буде жодного користувача.

Файл /etc/group

Цей файл містить інформацію про групу (розділену :).

$ sudo tail -1 /etc/group
GroupP:x:516:patrick
  (1)  (2)(3)   (4)
  • 1: Назва групи.
  • 2: Пароль групи позначається x. Пароль групи зберігається в /etc/gshadow.
  • 3: GID.
  • 4: Додаткові користувачі в групі (за винятком унікального основного користувача).

Примітка

Кожен рядок у файлі /etc/group відповідає групі. Інформація про основного користувача зберігається в /etc/passwd.

Файл /etc/gshadow

Цей файл містить інформацію про безпеку груп (розділених :).

$ sudo grep GroupA /etc/gshadow
GroupA:$6$2,9,v...SBn160:alain:rockstar
   (1)      (2)            (3)      (4)
  • 1: Назва групи.
  • 2: Зашифрований пароль.
  • 3: Ім'я адміністратора групи.
  • 4: Додаткові користувачі в групі (за винятком унікального основного користувача).

Увага

Ім’я групи в /etc/group і /etc/gshadow має відповідати один одному, тобто кожен рядок у файлі /etc/group має мати відповідний рядку у файлі /etc/gshadow.

! у паролі означає, що він заблокований. Таким чином, жоден користувач не може використовувати пароль для доступу до групи (оскільки членам групи він не потрібен).

Управління користувачами

Визначення

Користувач визначається наступним чином у файлі /etc/passwd:

  • 1: Логін;
  • 2: ідентифікація пароля, x вказує, що користувач має пароль, зашифрований пароль зберігається у другому полі /etc/shadow;
  • 3: UID;
  • 4: GID первинної групи;
  • 5: Коментарі;
  • 6: Домашній каталог;
  • 7: Оболонка (/bin/bash, /bin/nologin, ...).

Є три типи користувачів:

  • root(uid=0): системний адміністратор;
  • користувачі системи (uid є одним із 201~999): використовується системою для керування правами доступу до програми;
  • звичайний користувач(uid>=1000): інший обліковий запис для входу в систему.

Змінені файли, додані рядки:

  • /etc/passwd
  • /etc/shadow

Команда useradd

Команда useradd додає користувача.

useradd [-u UID] [-g GID] [-d directory] [-s shell] login

Приклад:

sudo useradd -u 1000 -g 1013 -d /home/GroupC/carine carine
Опція Опис
-u UID UID користувача, який потрібно створити.
-g GID GID основної групи. GID тут також може бути ім'ям групи.
-G GID1,[GID2]... GID додаткових груп. GID тут також може бути ім'ям групи. Можна вказати декілька додаткових груп, розділених комами.
-d каталог Створює домашній каталог.
-s оболонка Визначає оболонку користувача.
-c КОМЕНТАР Додає коментар.
-U Додає користувача до групи з однаковою назвою, створеної одночасно. Якщо не вказано, створення групи з такою ж назвою відбувається під час створення користувача.
-M Не створює домашній каталог користувача.
-r Створює системний обліковий запис.

Під час створення обліковий запис не має пароля та заблокований.

Для розблокування облікового запису необхідно призначити пароль.

Під час виклику команди useradd без будь-яких параметрів для нового користувача встановлюються наступні параметри за замовчуванням:

  • Створюється домашній каталог з іменем, яке збігається з іменем користувача;
  • Буде створено первинну групу з іменем, яке збігається з іменем користувача;
  • Користувачеві призначається типова оболонка, яка вказує на /bin/bash;
  • Значення UID користувача та основної групи GID виводяться автоматично. Зазвичай це унікальне значення від 1000 до 60 000.

Примітка

Налаштування і значення за замовчуванням отримані від наступних файлів конфігурацій:

/etc/login.defs і /etc/default/user/add

$ sudo useradd test1

$ tail -n 1 /etc/passwd
test1:x:1000:1000::/home/test1:/bin/bash

$ tail -n 1 /etc/shadow
test1:!!:19253:0:99999:7
:::

$ tail -n 1 /etc/group ; tail -n 1 /etc/gshadow
test1:x:1000:
test1:!::

Правила іменування облікових записів:

  • Без наголосів, великих літер або спеціальних символів;
  • Незважаючи на те, що ви можете використовувати ім'я користувача у RockyLinux, ми не рекомендуємо його використовувати;
  • Необов’язково: установіть параметри -u, -g, -d та -s під час створення.
  • Відрізняється від імені існуючої групи або системного файлу;
  • Ім'я користувача може містити до 32 символів.

Важливо

Має бути створено дерево домашніх каталогів, за винятком останнього каталогу.

Останній каталог створюється командою useradd, яка використовує можливість скопіювати файли з /etc/skel до нього.

Користувач може належати до кількох груп на додаток до основної групи.

Приклад:

sudo useradd -u 1000 -g GroupA -G GroupP,GroupC albert

Примітка

У Debian вам доведеться вказати опцію -m, щоб примусово створити каталог входу, або встановити змінну CREATE_HOME у файлі /etc/login.defs. У всіх випадках адміністратор повинен використовувати команди adduser і deluser, як зазначено в man, за винятком сценаріїв, призначених для переносу на всі дистрибутиви Linux:

$ man useradd
 ОПИС
     **useradd** — це низькорівнева утиліта для додавання користувачів. У Debian адміністратори зазвичай повинні використовувати **adduser(8)**
      замість цього.

Значення за замовчуванням для створення користувача.

Модифікація файлу /etc/default/useradd.

useradd -D [-b directory] [-g group] [-s shell]

Приклад:

sudo useradd -D -g 1000 -b /home -s /bin/bash
Опція Опис
-D Встановлює значення за замовчуванням для створення користувача.
-b каталог Встановлює каталог для входу за замовчуванням.
-g група Встановлює групу за замовчуванням.
-s оболонка Встановлює оболонку за замовчуванням.
-f Встановлює кількість днів після закінчення терміну дії пароля до вимкнення облікового запису.
-e Встановлює дату відключення облікового запису.

Команда usermod

Команда usermod дозволяє змінити користувача.

usermod [-u UID] [-g GID] [-d directory] [-m] login

Приклад:

sudo usermod -u 1044 carine

Параметри, ідентичні команді useradd.

Опція Опис
-m Пов’язана з опцією -d. Переміщує вміст старого каталогу входу до нового. Якщо старий домашній каталог не існує, створення нового домашнього каталогу не відбувається; створення нового домашнього каталогу відбувається, коли він не існує.
-l login Змінює ім'я для входу. Після того, як ви змінили ім’я для входу, вам також потрібно змінити ім’я домашнього каталогу, щоб воно відповідало йому.
-e YYYY-MM-DD Змінює термін дії облікового запису.
-L Блокує обліковий запис назавжди. Тобто він додає ! на початку поля пароля /etc/shadow.
-U Розблоковує обліковий запис.
Додає додаткові групи користувача, які слід використовувати разом із опцією -G.
-G Змінює додаткові групи користувача, щоб перезаписати попередні додаткові групи.

Порада

Для внесення змін користувач має бути відключений і не мати запущених процесів.

Після зміни ідентифікатора файли, що належать користувачу, матимуть невідомий UID. Потрібно перепризначити новий UID.

Де 1000 – це старий UID, а 1044 – новий. Приклади:

sudo find / -uid 1000 -exec chown 1044: {} \;

Блокування та розблокування облікового запису користувача. Приклади:

$ usermod -L test1
$ grep test1 /etc/shadow
test1:!$6$n.hxglA.X5r7X0ex$qCXeTx.kQVmqsPLeuvIQnNidnSHvFiD7bQTxU7PLUCmBOcPNd5meqX6AEKSQvCLtbkdNCn.re2ixYxOeGWVFI0:19259:0:99999:7
:::

$ usermod -U test1

Різницю між параметрами -aG і -G можна пояснити за допомогою наступного приклада:

$ sudo useradd test1
$ sudo passwd test1
$ sudo groupadd groupA ; sudo groupadd groupB ; sudo groupadd groupC ; sudo groupadd groupD
$ id test1
uid=1000(test1) gid=1000(test1) groups=1000(test1)

$ sudo gpasswd -a test1 groupA
$ id test1
uid=1000(test1) gid=1000(test1) groups=1000(test1),1002(groupA)

$ sudo usermod -G groupB,groupC test1
$ id test1 
uid=1000(test1) gid=1000(test1) groups=1000(test1),1003(groupB),1004(groupC)

$ sudo usermod -aG groupD test1
$ id test1
uid=1000(test1) gid=1000(test1) groups=1000(test1),1003(groupB),1004(groupC),1005(groupD)

Команда userdel

Команда userdel дозволяє видалити обліковий запис користувача.

sudo userdel -r carine
Опція Опис
-r Видаляє домашній каталог користувача та поштові файли, розташовані в каталозі /var/spool/mail/

Підказка

Для видалення користувач має вийти з системи та не мати запущених процесів.

Команда userdel видаляє відповідні рядки в /etc/passwd, / etc/shadow, /etc/group, /etc/gshadow. Як згадувалося вище, userdel -r також видалить відповідну первинну групу користувача.

Файл /etc/passwd

Цей файл містить інформацію про користувача (розділену :).

$ sudo head -1 /etc/passwd
root:x:0:0:root:/root:/bin/bash
(1)(2)(3)(4)(5)  (6)    (7)
  • 1: Логін;
  • 2: ідентифікація пароля, x вказує, що користувач має пароль, зашифрований пароль зберігається у другому полі /etc/shadow;
  • 3: UID;
  • 4: GID первинної групи;
  • 5: Коментарі;
  • 6: Домашній каталог;
  • 7: Оболонка (/bin/bash, /bin/nologin, ...).

Файл /etc/shadow

Цей файл містить інформацію про безпеку користувачів (розділену :).

$ sudo tail -1 /etc/shadow
root:$6$...:15399:0:99999:7
:::
 (1)    (2)  (3) (4) (5) (6)(7,8,9)
  • 1: Логін.
  • 2: Зашифрований пароль. Використовує алгоритм шифрування SHA512, визначений ENCRYPT_METHOD /etc/login.defs.
  • 3: час останньої зміни пароля, формат позначки часу, у днях. Так звана часова позначка базується на 1 січня 1970 року як стандартному часі. Щоразу, коли минає один день, мітка часу дорівнює +1.
  • 4: Мінімальний термін дії пароля. Тобто проміжок часу між двома змінами пароля (щодо третього поля), у днях. Визначається PASS_MIN_DAYS /etc/login.defs, за умовчанням дорівнює 0, тобто коли ви змінюєте пароль вдруге, обмежень немає. Але якщо він дорівнює 5, це означає, що змінювати пароль не можна протягом 5 днів, а лише через 5 днів.
  • 5: Максимальний термін дії пароля. Тобто термін дії пароля (що стосується третього поля). Визначається PASS_MAX_DAYS /etc/login.defs.
  • 6: кількість днів попередження до закінчення терміну дії пароля (пов’язано з п’ятим полем). Типовим значенням є 7 днів, визначених PASS_WARN_AGE /etc/login.defs.
  • 7: Кількість пільгових днів після закінчення терміну дії пароля (пов’язано з п’ятим полем).
  • 8: Термін дії облікового запису, формат позначки часу, у днях. Зверніть увагу, що термін дії облікового запису відрізняється від терміну дії пароля. У разі закінчення терміну дії облікового запису користувач не має права входу. У разі закінчення терміну дії пароля користувачеві заборонено ввійти за допомогою свого пароля.
  • 9: Зарезервовано для майбутнього використання.

Важливо

Для кожного рядка у файлі /etc/passwd має бути відповідний рядок у файлі /etc/shadow.

Для перетворення позначки часу та дати зверніться до такого формату команди:

# Мітка часу перетворюється на дату, «17718» вказує позначку часу, яку потрібно заповнити.
$ date -d "1970-01-01 17718 days"

# Дата перетворюється на позначку часу, «2018-07-06» вказує на дату, яку потрібно заповнити.
$ echo $(($(date --date="2018-07-06" +%s)/86400+1))

Власники файлів

Важливо

Усі файли обов'язково належать одному користувачеві та одній групі.

Основною групою користувача, який створює файл, за замовчуванням є група, якій належить файл.

Команди модифікації

Команда chown

Команда chown дозволяє змінити власників файлу.

chown [-R] [-v] login[:group] file

Приклади:

sudo chown root myfile

sudo chown albert:GroupA myfile
Опція Опис
-R Рекурсивно змінює власників каталогу та всіх файлів у каталозі.
-v Відображає виконані зміни.

Щоб змінити лише користувача-власника:

sudo chown albert file

Щоб змінити лише групу власників:

sudo chown :GroupA file

Зміна користувача та групи власників:

sudo chown albert:GroupA file

У наступному прикладі призначена група буде основною групою вказаного користувача.

sudo chown albert: file

Змінити власника і групу всіх файлів в каталозі

sudo chown -R albert:GroupA /dir1

команда chgrp

Команда chgrp дозволяє змінити власника групи файлу.

chgrp [-R] [-v] груповий файл

Приклад:

sudo chgrp group1 file
Опція Опис
-R Повторно змінюйте групи каталогу та всі файли під каталогом.
-v Відображає виконані зміни.

Примітка

Можна застосувати до файлу, власника і групи власників, приймаючи як посилання на файли з іншого файлу:

chown [options] --reference=RRFILE FILE

Наприклад:

chown --reference=/etc/groups /etc/passwd

Гостьовий менеджмент

Команда gpasswd

Команда gpasswd дозволяє керувати групою.

gpasswd [option] group

Приклади:

$ sudo gpasswd -A alain GroupA
[alain]$ gpasswd -a patrick GroupA
Опція Опис
-a USER Додає користувача до групи. Для додаткового користувача ця група є додатковою групою.
-A USER,... Встановлює список користувачів з правами адміністратора.
-d USER Видаляє користувача з групи.
-M USER,... Встановлює список учасників групи.

Команда gpasswd -M діє як модифікація, а не доповнення.

# gpasswd GroupeA
New Password:
Re-enter new password:

Примітка

Окрім використання gpasswd -a для додавання користувачів до групи, ви також можете використовувати usermod -G або usermod -AG, згадані раніше.

Команда id

Команда id відображає назви груп користувача.

id USER

Приклад:

$ sudo id alain
uid=1000(alain) gid=1000(GroupA) groupes=1000(GroupA),1016(GroupP)

Команда newgrp

Команда newgrp може вибрати групу з додаткових груп користувача як нову тимчасову основну групу користувача. Команда newgrp кожного разу, коли ви змінюєте основну групу користувача, створює нову дочірню оболонку(дочірній процес). Будьте обережні! Дочірня оболонка та підоболонка відрізняються.

newgrp [secondarygroups]

Приклад:

$ sudo useradd test1
$ sudo passwd test1
$ sudo groupadd groupA ; sudo groupadd groupB 
$ sudo usermod -G groupA,groupB test1
$ id test1
uid=1000(test1) gid=1000(test1) groups=1000(test1),1001(groupA),1002(groupB)
$ echo $SHLVL ; echo $BASH_SUBSHELL
1
0

$ su - test1
$ touch a.txt
$ ll
-rw-rw-r-- 1 test1 test1 0 10月  7 14:02 a.txt
$ echo $SHLVL ; echo $BASH_SUBSHELL
1
0

# Generate a new child shell
$ newgrp groupA
$ touch b.txt
$ ll
-rw-rw-r-- 1 test1 test1  0 10月  7 14:02 a.txt
-rw-r--r-- 1 test1 groupA 0 10月  7 14:02 b.txt
$ echo $SHLVL ; echo $BASH_SUBSHELL
2
0

# You can exit the child shell using the `exit` command
$ exit
$ logout
$ whoami
root

Безпека

Команда passwd

Команда passwd використовується для керування паролем.

passwd [-d] [-l] [-S] [-u] [login]

Приклади:

sudo passwd -l albert

sudo passwd -n 60 -x 90 -w 80 -i 10 patrick
Опція Опис
-d Назавжди видаляє пароль. Лише для root (uid=0).
-l Назавжди блокує обліковий запис користувача. Лише для root (uid=0).
-S Відображає стан рахунку. Лише для root (uid=0).
-u Назавжди розблоковує обліковий запис користувача. Лише для root (uid=0).
-e Термін дії пароля закінчується назавжди. Лише для root (uid=0).
-n DAYS Визначає мінімальний термін дії пароля. Постійна зміна. Лише для root (uid=0).
-x DAYS Визначає максимальний термін дії пароля. Постійна зміна. Лише для root (uid=0).
-w DAYS Визначає час попередження до закінчення терміну дії. Постійна зміна. Лише для root (uid=0).
-i DAYS Визначає затримку перед дезактивацією після закінчення терміну дії пароля. Постійна зміна. Лише для root (uid=0).

Використовуйте password -l, тобто додайте "!!" на початку поля пароля користувача, що відповідає /etc/shadow.

Приклад:

  • Ален змінює свій пароль:
[alain]$ passwd
  • root змінює пароль Алана
sudo passwd alain

Примітка

Команда passwd доступна користувачам для зміни пароля (запитується старий пароль). Адміністратор може змінити паролі всіх користувачів без обмежень.

Їм доведеться дотримуватися обмежень безпеки.

При управлінні обліковими записами користувачів shell може бути корисно встановити типовий пароль після створення користувача.

Це можна зробити, передавши пароль команді passwd.

Приклад:

sudo echo "azerty,1" | passwd --stdin philippe

Увага

Пароль введений в зашифрований текст, passwd піклується про його шифрування.

Команда chage

Команда chage змінює інформацію про закінчення терміну дії пароля користувача.

chage [-d date] [-E date] [-I days] [-l] [-m days] [-M days] [-W days] [login]

Приклад:

sudo chage -m 60 -M 90 -W 80 -I 10 alain
Опція Опис
-I DAYS Визначає дні затримки перед деактивацією, термін дії пароля закінчився. Постійна зміна.
-l Відображає деталі політики.
-m DAYS Визначає мінімальний термін дії пароля. Постійна зміна.
-M DAYS Визначає максимальний термін дії пароля. Постійна зміна.
-d LAST_DAY Визначає кількість днів після останньої зміни пароля. Ви можете використовувати стиль часової позначки дня або стиль YY-MM-DD. Постійна зміна.
-E EXPIRE_DATE Термін дії облікового запису. Ви можете використовувати стиль часової позначки дня або стиль YY-MM-DD. Постійна зміна.
-W WARN_DAYS Час попередження до закінчення терміну дії. Постійна зміна.

Приклади:

# Команда `chage` також пропонує інтерактивний режим.
$ sudo hage

# Параметр `-d` примусово змінює пароль під час входу.
$ sudo chage -d 0 philippe

Управління обліковими записами користувачів із chage

Розширене управління

Файли конфігурації:

  • /etc/default/useradd
  • /etc/login.defs
  • /etc/skel

Примітка

Редагування файлу /etc/default/useradd виконується командою useradd.

Інші файли мають бути змінені в текстовому редакторі.

Файл /etc/default/useradd

Цей файл містить налаштування даних за замовчуванням.

Порада

Під час створення користувача, якщо параметри не вказано, система використовує значення за замовчуванням, визначені в /etc/default/useradd.

Цей файл змінюється командою useradd -D (useradd -D, введений без будь-яких інших параметрів, відображає вміст /etc/default/useradd > файл).

Shell > grep -v ^# /etc/default/useradd 
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
Параметри Коментар
GROUP Визначає стандартний GID основної групи.
HOME Визначає шлях до каталогу верхнього рівня домашнього каталогу звичайного користувача.
INACTIVE Кількість пільгових днів після закінчення терміну дії пароля. Відповідає 7-му полю файлу /etc/shadow. Значення -1 означає, що функцію пільгового періоду вимкнено.
EXPIRE Термін дії облікового запису. Відповідає 8-му полю файлу /etc/shadow.
SHELL Інтерпретатор команд.
SKEL Скелетний каталог каталогу входу.
CREATE_MAIL_SPOOL Створення поштової скриньки у /var/spool/mail/.

Якщо під час створення користувачів вам не потрібна первинна група з однаковою назвою, ви можете зробити це:

Shell > useradd -N test2
Shell > id test2
uid=1001(test2) gid=100(users) groups=100(users)

Файл /etc/login.defs

# Comment line ignored
shell > cat  /etc/login.defs
MAIL_DIR        /var/spool/mail
UMASK           022
HOME_MODE       0700
PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_MIN_LEN    5
PASS_WARN_AGE   7
UID_MIN                  1000
UID_MAX                 60000
SYS_UID_MIN               201
SYS_UID_MAX               999
GID_MIN                  1000
GID_MAX                 60000
SYS_GID_MIN               201
SYS_GID_MAX               999
CREATE_HOME     yes
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512

UMASK 022: це означає, що дозвіл на створення файлу становить 755 (rwxr-xr-x). Проте з міркувань безпеки GNU/Linux не має дозволу x для новостворених файлів. Це обмеження стосується root (uid=0) і звичайних користувачів (uid>=1000). Наприклад:

Shell > touch a.txt
Shell > ll
-rw-r--r-- 1 root root     0 Oct  8 13:00 a.txt

HOME_MODE 0700: Права звичайної домашньої теки користувача. Не працює для домашнього каталогу root.

Shell > ll -d /root
dr-xr-x---. 10 root root 4096 Oct  8 13:12 /root

Shell > ls -ld /home/test1/
drwx------ 2 test1 test1 4096 Oct  8 13:10 /home/test1/

USERGROUPS_ENAB yes: «Коли ви видаляєте користувача за допомогою команди userdel -r, відповідна основна група також видаляється.» Чому? Це і є причиною.

Каталог /etc/skel

Коли створюється користувач, створюється його домашній каталог і файли середовища. Ви можете розглядати файли в каталозі /etc/skel/ як шаблони файлів, необхідні для створення користувачів.

Ці файли автоматично копіюються з каталогу /etc/skel.

  • .bash_logout
  • .bash_profile
  • .bashrc

Всі файли та каталоги, що розміщені в цій теці, будуть скопійовані в дерево користувачів після їх створення.

Зміна ідентифікації

Команда su

Команда su дозволяє змінити ідентифікатор підключеного користувача.

su [-] [-c command] [login]

Приклади:

$ sudo su - alain
[albert]$ su - root -c "passwd alain"
Опція Опис
- Завантажує повне середовище користувача.
-c команда Виконує команду під ідентифікацією користувача.

Якщо логін не вказано, він буде root.

Звичайним користувачам доведеться ввести пароль для нової ідентифікації.

Порада

Ви можете використати команду exit/logout, щоб вийти з користувачів, яких було переключено. Слід зазначити, що після зміни користувача не буде нової дочірньої оболонки або підоболонки, наприклад:

$ whoami
root
$ echo $SHLVL ; echo $BASH_SUBSHELL
1
0

$ su - test1
$ echo $SHLVL ; echo $BASH_SUBSHELL
1
0

Увага, будь ласка! su і su - відрізняються, як показано в наступному прикладі:

$ whoami
test1
$ su root
$ pwd
/home/test1

$ env
...
USER=test1
PWD=/home/test1
HOME=/root
MAIL=/var/spool/mail/test1
LOGNAME=test1
...
$ whoami
test1
$ su - root
$ pwd
/root

$ env
...
USER=root
PWD=/root
HOME=/root
MAIL=/var/spool/mail/root
LOGNAME=root
...

Отже, якщо ви хочете змінити користувача, не забудьте не втратити -. Оскільки необхідні файли змінних середовища не завантажуються, під час запуску деяких програм можуть виникнути проблеми.