Product SiteDocumentation Site

8.4. پایگاه‌داده‌های کاربران و گروه‌ها

The list of users is usually stored in the /etc/passwd file, while the /etc/shadow file stores hashed passwords. Both are text files, in a relatively simple format, which can be read and modified with a text editor. Each user is listed there on a line with several fields separated with a colon (“:”).

یادداشت ویرایش فایل‌های سیستمی

فایل‌های سیستمی که در این فصل به آن‌ها اشاره شده همگی از نوع متنی بوده که می‌توانند با استفاده از یک ویرایشگر متن تغییر یابند. با در نظر گرفتن اهمیت آن‌ها برای عملکرد صحیح سیستم، ایده خوبی است که هنگام ویرایش آن‌ها برخی نکات را مد نظر قرار دهیم. ابتدا، قبل از ویرایش یک فایل سیستمی، حتما یک رونوشت از آن تهیه کنید. سپس در سرورهایی که بیش از یک کاربر ممکن است در هر لحظه این فایل‌ها را مشاهده یا ویرایش کند، گام‌های دیگری برای جلوگیری از خراب شدن این فایل‌ها باید برداشته شوند.
به این منظور، تنها کافی است از دستور vipw برای ویرایش فایل /etc/passwd و از دستور vigr برای ویرایش فایل /etc/group استفاده کرد. این دستورات قبل از بازکردن ویرایشگر، فایل را قفل می‌کنند (ویرایشگر متن پیش‌فرض vi است، مگر توسط متغیر محلی EDITOR تغییر کرده باشد). گزینه -s در این دستورات امکان ویرایش فایل shadow مربوطه را می‌دهد.

بازگشت به مقدمات Crypt، تابعی یک-طرفه

crypt یک تابع یک-طرفه است که رشته‌ای مانند A را به رشته B تبدیل می‌کند به صورتی که رشته A از B نتواند به دست آید. تنها راه شناسایی A بررسی تمام گزینه‌های موجود است تا بتوان تشخیص داد آیا تبدیل انجام شده توسط تابع منجر به تولید B می‌شود یا خیر. تا ۸ کاراکتر را در ورودی استفاده کرده (رشته A و رشته‌ای شامل ۱۳ کاراکتر قابل چاپ با کد اسکی را تولید می‌کند (رشته B).

8.4.1. فهرست کاربران: /etc/passwd

فیلدهای مورد استفاده در فایل /etc/passwd عبارتند از:
  • نام کاربری، برای نمونه rhertzog؛
  • گذرواژه: این گذرواژه‌ای است که توسط تابع crypt و مبتنی بر استانداردهای DES، MD5، SHA-256 یا SHA-512 تولید شده است. مقدار ویژه “x” به این معنا است که گذرواژه رمزگذاری شده در فایل /etc/shadow قرار دارد؛
  • uid: شناسه منحصربفرد هر کاربر؛
  • gid: شناسه منحصربفرد گروه هر کاربر (دبیان به صورت پیش‌فرض برای هر کاربر یک گروه خاص قرار می‌دهد)؛
  • GECOS: فید داده‌ای که معمولا نام کامل کاربر را شامل می‌شود؛
  • دایرکتروی حساب کاربری، که برای ذخیره‌سازی فایل‌های شخصی هر کاربر اختصاص می‌یابد (متغیر محلی $HOME معمولا به اینجا اشاره می‌کند)؛
  • برنامه‌ای که هنگام ورود کاربر اجرا می‌شود. این معمولا یک مفسر خط‌فرمان (پوسته) است که کنترل آزاد را در اختیار کاربر می‌گذارد. اگر گزینه /bin/false را استفاده کنید به این معنا است که کاربر نمی‌تواند لاگین کند.

بازگشت به مقدمات گروه در یونیکس

یک گروه یونیکس شامل موجودیتی مستقل از مجموعه کاربرانی است که می‌توانند طبق یک سری مجوزهای خاص عملیات یکسانی را روی سیستم انجام دهند. همچنین می‌توانید استفاده از یک سری برنامه‌ها را برای یک گروه خاص منع کنید.

8.4.2. فایل رمزگذاری‌شده و مخفی گذرواژه‌ها: /etc/shadow

فایل /etc/shadow شامل فیلدهای زیر است:
  • نام کاربری؛
  • گذرواژه رمزگذاری‌شده؛
  • تعدادی فیلد که مدت زمان اعتبار گذرواژه را تعیین می‌کنند.

مستندات قالب فایل‌های /etc/passwd، /etc/shadow و /etc/group

این قالب‌ها در صفحات راهنمای مربوط به خود مستندسازی شده‌اند: passwd(5) shadow(5) و group(5)

امنیت امنیت فایل /etc/shadow

/etc/shadow, unlike its alter-ego, /etc/passwd, cannot be read by regular users. Any hashed password stored in /etc/passwd is readable by anybody; a cracker could try to “break” (or reveal) a password by one of several “brute force” methods which, simply put, guess at commonly used combinations of characters. This attack — called a "dictionary attack" — is no longer possible on systems using /etc/shadow.

8.4.3. تغییر یک حساب کاربری موجود یا گذرواژه آن

The following commands allow modification of the information stored in specific fields of the user databases: passwd permits a regular user to change their password, which in turn, updates the /etc/shadow file; chfn (CHange Full Name), reserved for the super-user (root), modifies the GECOS field. chsh (CHange SHell) allows the user to change their login shell; however, available choices will be limited to those listed in /etc/shells; the administrator, on the other hand, is not bound by this restriction and can set the shell to any program of their choosing.
در نهایت، دستور chage یا CHange AGE به مدیرسیستم امکان تغییر زمان اعتبار گذرواژه را می‌دهد (گزینه -l user تنظیمات فعلی را نمایش می‌دهد). می‌توانید برای مجبور کردن کاربر به تغییر گذرواژه خود از دستور passwd -e user استفاده کنید تا در هنگام ورود بعدی به سیستم، گذرواژه جدید را وارد کند.

8.4.4. غیرفعال‌سازی یک حساب‌کاربری

ممکن است بخواهید “یک حساب‌کاربری را غیرفعال کنید” (قفل‌کردن یک کاربر)، به عنوان یک عمل انضباطی، به منظور تحقیقات بیشتر روی یک موضوع یا در صورتی که کاربر مدت زمان طولانی حضور نداشته باشد. یک حساب‌کاربری غیرفعال‌شده به این معنی است که وی نمی‌تواند وارد سیستم شود و به آن دسترسی داشته باشد. محتویات این حساب‌کاربری بدون کوچکترین تغییری روی سیستم باقی می‌مانند؛ تنها به سادگی دسترسی به آن وجود ندارد. این کار با استفاده از دستور passwd -l user انجام می‌شود (lock). فعال‌سازی مجدد آن نیز با استفاده از گزینه -u در همان دستور صورت می‌گیرد (unlock).

مطالعه بیشتر NSS و پایگاه‌داده‌های سیستم

بجای استفاده از فایل‌های معمولی برای ذخیره‌سازی فهرستی از کاربران و گروه‌ها، می‌توانید از سایر پایگاه‌داده‌ها برای اینکار استفاده کنید مانند LDAP یا db با استفاده از یک ماژول NSS مناسب. ماژول‌های مورد استفاده در فایل /etc/nsswitch.conf فهرست می‌شوند، درست زیر مدخل‌های passwd، shadow و group. برای یک نمونه مشخص از کاربرد ماژول NSS توسط LDAP قسمت قسمت 11.7.3.1, “پیکربندی NSS” را مشاهده کنید.

8.4.5. فهرست گروه: /etc/group

گروه‌ها در فایل /etc/group فهرست می‌شوند، یک پایگاه‌داده ساده متنی درست مانند /etc/passwd که شامل فیلدهای زیر است:
  • نام گروه؛
  • گذرواژه (اختیاری): این فیلد برای الحاق یک گروه استفاده می‌شود که یک عضو معمولی به حساب نمی‌آید (با دستورات newgrp یا sg، قسمت بازگشت به مقدمات کار با چندین گروه را مشاهده کنید)؛
  • gid: شناسه منحصربفرد هر گروه؛
  • فهرست اعضا: فهرستی از نام کاربرانی که عضو این گروه هستند، که با کاما جدا شده‌اند.

بازگشت به مقدمات کار با چندین گروه

هر کاربر می‌تواند عضو چندین گروه باشد؛ یکی از آن‌ها “گروه اصلی” است. گروه اصلی هر کاربر، به صورت پیش‌فرض، هنگام پیکربندی اولیه حساب‌کاربری بوجود آمده است. به صورت پیش‌فرض، هر فایلی که کاربر ایجاد می‌کند به وی و گروهش اختصاص دارد. این عمل همیشه مطلوب نیست؛ برای نمونه، زمانی که کاربر باید در دایرکتروی کار کند که شامل گروه دیگری باشد. در این مورد، کاربر باید گروه اصلی‌اش را با استفاده از دستورات newgrp، که یک پوسته جدید را اَغاز می‌کند یا sg یک دستور را با توجه به گروه جایگزین وارد شده اجرا می‌کند. این دستورات یه کاربر امکان می‌دهند که به گروه جدید دیگری اضافه شوند. اگر گروه با استفاده از گذرواژه محافظت شود، باید قبل از اینکه دستور اجرا شود آن را وارد کنند.
به علاوه، کاربر می‌تواند بیت setgid را روی دایرکتوری تنظیم کند، که منجر می‌شود فایل‌های ایجاد شده روی آن دایرکتوری به صورت خودکار به گروه درستی اختصاص یابند. برای جزئیات بیشتر، قسمت امنیت دایرکتوری setgid همراه با sticky bit را مشاهده کنید.
دستور id وضعیت فعلی یک کاربر را نمایش می‌دهد، به همراه شناسه منحربفرد وی (متغیر uid)، گروه اصلی فعلی (متغیر gid) و فهرستی از گروه‌ها که کاربر به متعلق به آن‌هاست (متغیر groups).
The addgroup and delgroup commands add or delete a group, respectively. The groupmod command modifies a group's information (its gid or identifier). The command gpasswd group changes the password for the group, while the gpasswd -r group command deletes it.

نکته getent

دستور getent یا get entries به شیوه‌ای استاندارد به بررسی پایگاه‌داده‌های سیستم می‌پردازد، با استفاده از توابع کتابخانه‌ای مناسب، که در بازگشت با استفاده از فراخوانی ماژول‌های NSS موجود در فایل /etc/nsswitch.conf اطلاعات را باز می‌گرداند. دستور یک یا دو پارامتر می‌گیرد: نام پایگاه‌داده‌ای که قصد بررسی دارد و یک کلیدواژه احتمالی برای جستجو. بنابراین، دستور getent passwd rhertzog اطلاعات پایگاه‌داده کاربری را برای کاربر rhertzog بدست می‌آورد.