Product SiteDocumentation Site

8.4. Bruker og gruppers databaser

The list of users is usually stored in the /etc/passwd file, while the /etc/shadow file stores hashed passwords. Both are text files, in a relatively simple format, which can be read and modified with a text editor. Each user is listed there on a line with several fields separated with a colon (“:”).

MERK Redigere systemfiler

Systemfilene, som er nevnt i dette kapitlet, er alle rene tekstfiler, og kan redigeres med en tekstredigerer. Tatt i betraktning betydningen deres for kjernesystemets funksjonalitet, er det alltid en god idé å ta ekstra forholdsregler når du redigerer systemfiler. Først, lag alltid en kopi eller backup av en systemfil før du åpner eller endrer den. For det andre, på tjenere eller maskiner der mer enn én person som potensielt kan få tilgang til samme fil samtidig, ta ekstra forholdsregler for å beskytte filen mot å bli ødelagt.
For dette formålet er det nok å bruke vipw-kommandoen for å redigere /etc/passwd-filen, eller vigr for å redigere /etc/group. Disse kommandoene låser den aktuelle filen før du kjører tekstredigereren (vi som standard, om ikke EDITOR miljøvariabelen har blitt endret). -s-valget i disse kommandoene tillater redigering av den overensstemmende shadow-filen.

DET GRUNNLEGGENDE Crypt, en enveisfunksjon

crypt er en enveisfunksjon som endrer en streng (A) til en annen streng (B) på en måte som A ikke kan avledes fra B. Den eneste måten å identifisere A på er å teste alle mulige verdier, og sjekke hver og en for å avgjøre om funksjonsendringen vil produsere B eller ikke. Den bruker opp til 8 karakterer som inndata (streng A), og genererer en streng på 13, utskriftsbare, ASCII-karakterer (streng B).

8.4.1. Brukerliste: /etc/passwd

Her er listen med feltene i /etc/passwd-filen:
  • login, for eksempel rhertzog;
  • passord: Dette er et passord kryptert med en enveis funksjon (crypt), som støtter seg på DES, MD5, SHA-256, eller SHA-512. Spesialverdien «x» indikerer at det krypterte passordet er lagret i /etc/shadow;
  • uid: unikt nummer som identifiserer hver bruker;
  • gid: unikt nummer for brukerens hovedgruppe (Debian lager en bestemt gruppe for hver bruker som standard);
  • GECOS: datafelt som vanligvis inneholder brukerens fulle navn;
  • innloggingsmappe, tildelt til brukeren for oppbevaring av sine personlige filer (miljøvariabelen $HOME peker generelt hit);
  • program som skal kjøres ved pålogging. Dette er vanligvis en kommandofortolker (skall), som gir brukeren frie hender. Hvis du angir /bin/false (som ikke gjør noe, og returnerer kontrollen umiddelbart), kan ikke brukeren logge inn.

DET GRUNNLEGGENDE Unix-gruppe

En Unix-gruppe er en enhet som omfatter flere brukere slik at de enkelt kan dele filer ved hjelp av det integrerte tillatelsesystemet (ved å dra nytte av de samme rettigheter). Man kan også begrense bruken av visse programmer til en bestemt gruppe.

8.4.2. Den skjulte og krypterte passordfilen: /etc/shadow

/etc/shadow-filen inneholder de følgende feltene:
  • login;
  • krypterte passord;
  • flere felt håndterer passordopphør.

DOKUMENTASJON /etc/passwd, /etc/shadow og /etc/group-filformater

Disse formatene er dokumentert i de følgende manualsidene: passwd(5), shadow(5), og group(5).

SIKKERHET /etc/shadow-filsikkerhet

/etc/shadow, unlike its alter-ego, /etc/passwd, cannot be read by regular users. Any hashed password stored in /etc/passwd is readable by anybody; a cracker could try to “break” (or reveal) a password by one of several “brute force” methods which, simply put, guess at commonly used combinations of characters. This attack — called a "dictionary attack" — is no longer possible on systems using /etc/shadow.

8.4.3. Å modifisere en eksisterende konto eller passord

The following commands allow modification of the information stored in specific fields of the user databases: passwd permits a regular user to change their password, which in turn, updates the /etc/shadow file; chfn (CHange Full Name), reserved for the super-user (root), modifies the GECOS field. chsh (CHange SHell) allows the user to change their login shell; however, available choices will be limited to those listed in /etc/shells; the administrator, on the other hand, is not bound by this restriction and can set the shell to any program of their choosing.
Til slutt, chage (CHange AGE)-kommandoen tillater administratoren å endre passordets utløpsinnstillinger (-l bruker-valget vil liste de gjeldende innstillingene). Du kan også tvinge utløpet for et passord ved å bruke passwd -e bruker-kommandoen, som vil kreve at brukerne endrer sitt passord neste gang de logger inn.

8.4.4. Deaktivere en konto

Du trenger kanskje å «deaktivere en konto» (låse ut en bruker), som disiplinærtiltak, i forbindelse med en undersøkelse, eller rett og slett i tilfelle av en langvarig eller definitivt fravær fra en bruker. En deaktivert konto betyr at brukeren ikke kan logge inn eller få tilgang til maskinen. Kontoen er fortsatt intakt på maskinen, og ingen filer eller data blir slettet; Den er simpelthen utilgjengelig. Dette oppnås ved hjelp av kommandoen passwd -l bruker (lock). Å reetablere kontoen er gjort på samme måte, med -u-valget (unlock).

FOR VIDEREKOMMENDE NSS og systemdatabaser

I stedet for å bruke de vanlige filene for å administrere lister over brukere og grupper, kan du bruke andre typer databaser, for eksempel LDAP eller db, ved hjelp av en passende NSS (Name Service Switch)-modul. Modulene som brukes er oppført i /etc/nsswitch.conf-filen, under passwd, shadow og group-inngangene. Se Seksjon 11.7.3.1, «Oppsett av NSS» for et spesifikt eksempel på at LDAP bruker en NSS-modul.

8.4.5. Gruppeliste: /etc/group

Grupper er listet i /etc/group-filen, en enkel tekstdatabase i et format som ligner det til /etc/passwd-filen, med de følgende feltene:
  • gruppenavn;
  • passord (valgfritt): Denne brukes bare til å bli med i en gruppe når man ikke er et vanlig medlem (med newgrp, eller sg-kommandoer, se sidestolpe DET GRUNNLEGGENDE Å arbeide med flere grupper);
  • gid: unikt gruppeidentifikasjonsnummer;
  • medlemsliste: liste over navn på brukere som er medlemmer av gruppen, atskilt med komma.

DET GRUNNLEGGENDE Å arbeide med flere grupper

Hver bruker kan være medlem av mange grupper; en av dem er deres «hovedgruppe». En brukers hovedgruppe er, som standard, laget under det første brukeroppsettet. Som standard tilhører hver fil en bruker som oppretter dem, så vel som deres hovedgruppe. Dette er ikke alltid ønskelig; for eksempel når brukeren skal jobbe i en mappe som også deles av en annen enn sin egen hovedgruppe. I dette tilfellet må brukeren endre sin viktigste gruppe ved å bruke en av følgende kommandoer: newgrp, som starter en nytt skall, eller sg, som bare utfører en kommando ved å bruke den angitte alternative gruppen. Disse kommandoene tillater også brukeren å delta i en gruppe som de ikke hører hjemme i. Dersom gruppen er passordbeskyttet, må de oppgi det riktige passordet før kommandoen blir utført.
Alternativt kan brukeren sette setgid-bit på katalogen, noe som fører til at filene som er opprettet i den mappen automatisk hører til den riktige gruppen. For mer informasjon, se sidestolpe SIKKERHET setgid katalog og sticky bit.
id-kommandoen viser brukerens nåværende tilstand med sin personlige identifikator (uid-variabel), nåværende hovedgruppe (gid-variabel), og listen med grupper som de hører til (groups-variabel).
The addgroup and delgroup commands add or delete a group, respectively. The groupmod command modifies a group's information (its gid or identifier). The command gpasswd group changes the password for the group, while the gpasswd -r group command deletes it.

TIPS getent

Kommandoen getent (hent oppføringer) sjekker systemdatabasen på standardmåten, ved hjelp av de aktuelle bibliotekfunksjoner, som igjen kaller på NSS-moduler satt opp i /etc/nsswitch.conf-filen. Kommandoen tar ett eller to argumenter: Navnet på databasen som skal sjekkes, og en mulig søkenøkkel. Således vil kommandoen getent passwd rhertzog gi informasjon fra brukerdatabasen om brukeren rhertzog.