Użytkownicy - podstawy

 Każdy użytkownik jest jednoznacznie identyfikowany w systemie przez swoje konto użytkownika
 Każdy użytkownik ma przypisany numer UID (User ID)
 Istnieją trzy rodzaje użytkowników
o Zwykli użytkownicy (UID powyżej 1000) - konta pozwalające na dostęp użytkowników do systemu i bezpieczna w nim prace
o Użytkownicy systemowi (UID: 100-499) - konta tworzone podczas instalacji używane przez rozmaite usługi, narzędzia i
aplikacje aby zapewnić efektywna prace serwera
o Użytkownik root (UID 0) - wszechmocny administrator który może wszystko. Numery 0-99 są zarezerwowane dla systemu

Grupy - podstawy

 Każdej grupie jest przydzielony numer zwany GID (Group ID)

 Istnieją trzy typy grup
o grupy standardowe (GID >=100) - tworzone i zarządzane przez użytkownika root
o Grupy systemowe (GID <100) - używane przez system
o grupa root (gid = 0)
 Większość zwykłych użytkowników jest dodawana do grupy users.

Baza danych użytkowników i grup

 W przypadku wybrania Uwierzytelnianie lokalne do uwierzytelniania podczas instalacji informacje są przechowywane w

następujących plikach:
o /etc/passwd - plik z kontami użytkowników
o /etc/shadow - plik przechowuje informacje o hasłach i same hasła w postaci zaszyfrowanej
o /etc/group - plik przechowuje informacje o grupach
o /etc/gshadow - pik jest odpowiednikiem /etc/shadow dla grup

Elementy systemu zabezpieczenia plików

 kontrola dostępu do plików następuje poprzez:

o użytkowników (w systemie tworzone są indywidualne konta)
o grupy (każdy użytkownik musi należeć przynajmniej do jednej grupy czyli grupy domyślnej)
o własność (użytkownik który tworzy plik jest jego właścicielem, właściciel może być zmieniony przez roota)
o uprawnienia (określają dostęp do plików i katalogów
 polecenie last wyświetla informacje o logowaniu użytkowników
 polecenie who informacje o obecnie zalogowanym

Budowa pliku /etc/passwd

smerf:x:1005:100:smerfmadrala:/home/smerf:/bin/bash

 smerf - nazwa użytkownika

 x - hasło symbol x w tym polu oznacza, ze hasła w postaci zaszyfrowanej są przechowywane w pliku /etc/shadow
 1005 - UID - numer użytkownika
 100 - GID - numer grupy
 smerfmadrala – komentarz
 /home/smerf - katalog domowy
 /bin.bash - standardowa powloką

Budowa pliku /etc/shadow

1 2 3 4 5 6 7 8
miki: $2ao...: 15674: 10: 30: 3: 0: 15705:
tux: !: 15681: 0: 99999: 7: : : : :

 1 - nazwa użytkownika
 2 - zaszyfrowane hasło, znak ! w tym polu oznacza ze konto jest zablokowane, puste pole oznacza ze nie ma hasła do danego konta
 3 - data ostatniej zamiany hasła poda jako liczba dni które upłynęły od 1 stycznia 1974
 4 - minimalna liczba dni (0) po których hasło może zostać zmienione
 5 - maksymalna liczba dni (99999) po których hasło musi zostać zmienione
 6 - na ile dni przed wygaśnięciem hasła nastąpi ostrzeżenie użytkownika
 7 - ile dni po wygaśnięciu hasła użytkownik wciąż może się logować do systemu
 8- dzień w którym konto zostało zablokowane (w postaci daty uniksowej)
Budowa pliku /etc/group

video:x:33:geeko,miki,tux

 video -nazwa grupy

 x – hasło
 33 - numer GID
 geeko, miki ,tux - użytkownicy

Znak X w miejscu hasła oznacza że jest ono w wersji zaszyfrowanej, brak jakiegokolwiek znaku oznacza brak hasła. Jeżeli w miejscu hasła
występuje wykrzyknik lub gwiazdka to oznacza zablokowanie możliwości dołączenia się do grupy poprzez podanie hasła jeżeli użytkownik do
tej grupy nie należy

Zarzadzanie użytkownikami za pomocą trybu tekstowego

 useradd - parametr nazwa _użytkownika

o -m tworzy konto użytkownika z katalogiem domowym takim jak nazwa konta podanym po opcji -m useradd -m pracus
o -c - wypełniamy pole komentarza (np. smerf pracus) useradd -c "smerf pracus" pracus
o -u – tworzy konta użytkownika o podanym identyfikatorze ( UID – 2001 ) useradd -u 2001 smerf
o -g - definiuje podstawowa grupę użytkownika useradd -g smerfy ważniak
o -e - opcja ta pozwala na ustalanie daty ważności konta (np. w dniu 2012-12-31)
-useradd -m -e 2012-12-31 maruda
o -p opcja pozwala stworzenie użytkownika wraz z hasłem. hasło musi być zaszyfrowane wiec tworzymy go polecenie
mkpasswd
 userdel - usuwa użytkownika userdel pracus
o - r powoduje usuniecie katalogu domowego użytkownika userdel -r pracus
 usermod- modyfikuje parametry konta, modyfikacje niektórych parametrów związanych z użytkownikiem (np. jego UDI, grupa,
powłoką)
o -d zmienia katalog domowy użytkownika
usermod -d /home/nowymaruda -m maruda - zmienia katalog domowy użytkownika maruda z poprzedniej lokalizacji na
/home/nowymaruda
o -u - zmienia numer UDI użytkownika
usermod -u 500 maruda - zmienia numer UID użytkownika maruda na 5000
 passwd - zmienia hasło użytkownikowi passwd nazwa_uzytkownika
o -S aktualny status zalogowanego użytkownika
o -l - blokowanie konta użytkownika
o -u - zdejmowanie blokady
o -x - ustawia max liczbę dni ważności hasła po tym czasie należy zmienić hasło
o -w - określa czas przed wygaśnięciem hasła kiedy użytkownik jest o tym powiadomiony
o -n - ustawia minimalna liczbę dni które musza upłynąć by użytkownik mógł zmienić hasło
o -i - blokuje konto po wygaśnięciu hasła
o -e - wymuszenie zmiany hasła przy następnym logowaniu

/etc/skel

 katalog z profilem domyślnym dla użytkownika. Dzięki temu administrator może stworzyć pliki które dostarcza użytkownikowi
przyjaznego środowiska

/etc/default/useradd

 plik zawiera ustawiania domyślnych wartości dla programu useradd. Są one pobierane gdy nie poda się samemu niektórych
parametrów

Znaczenie opcji

 group - grupa podstawowa do której będzie należał tworzony użytkownik

 home - ścieżka gdzie będą składowane katalogi domowe użytkowników
 inactive - liczba dni bezczynnych po wygaśnięciu hasła przez zablokowanie konta (-1 blokuje ta opcje)
 expire - data (dni od 1 stycznia 1970) kiedy konto traci ważność
 shell - ścieżka do powłoki logowania
 skel - ścieżka szkieletu katalogu domowego
 groups - pozostałe grupy do których będzie należał użytkownik
 create_mail_spool - zmienna specyfikuje czy katalog składowania poczty ma być tworzony automatycznie

/etc/login.defc- konfiguracja logowania

 pass_max_days - liczba dni do wygaśnięcia hasła

 pass_min_days - minimalna liczba dni miedzy zmianami hasła
 pass_warn_age - liczba dni przez które będzie pokazywane ostrzeżenie o wygaśnięciu hasła
Zarzadzanie grupami

 groupadd - pozwala utworzyć nowa grupę

o groupadd -g 500 kaczki - tworzy grupę numerze gid 500 o nazwie kaczki
o groupadd smerfy - tworzy grupę o nazwie smerfy
 groupdel - pozwala na usuniecie grupy z systemu
o groupdel kaczki - usuwa grupę o nazwie kaczki
 gpasswd - ustawia lub zmienia hasło dla kont grupowych
o gpasswd -r powoduje usuniecie hasła do konta grupowego
o gpasswd -d - usuwa użytkownika z grupy
o gpasswd -a - dodaje użytkownika do grupy
 groupmod - służy do modyfikacji ustawień związanych z grupami
o groupmod -n kaczki kury - zmienia nazwę grupy kury kaczki
o groupmod -A tux kaczki - dodaje użytkownika tux do grupy kaczki
o groupmod -g - zmienia numer grupy

Komunikaty wyświetlane podczas logowania

Aby zmodyfikować treść komunikatu, musimy edytować następujące pliki:

 /etc/issue - plik odpowiadający za komunikat podczas logowania się użytkownika do systemu\

 /etc/issue.net - plik służący do konfiguracji komunikatu ukazującego się użytkownikowi logującemu się z sieci

Aby zmodyfikować treść komunikatu, musimy edytować następujące pliki:

 /etc/motd - tzw. motto dnia, ukazujące się użytkownikom logującym się w danym dniu do systemu

Zarzadzanie użytkownikami, grupami i uprawnieniami

Jeżeli chcemy sprawdzić jakie atrybuty ma dany plik wpisujemy ls -l

Pierwszy znak oznacza zawsze typ pliku

- Zwykły plik
d Katalog
l Dowiązanie symboliczne
c Plik urządzenia znakowego
b Plik urządzenia blokowego

Charakterystyka uprawnień dla obiektu plik

 r | 4 (read):
o uprawnienie to pozwala na odczyt pliku
o w stosunku do katalogów pozwala na zobaczenie co znajduje się wewnątrz katalogu
 w | 2 (write):
o uprawnienie to pozwala na modyfikacje plików, zmianę zawartości i nadpisywanie
o w stosunku od katalogu - możemy w nim przenosi i usuwać pliki, nawet w przypadku nieposiadania uprawnień do zapisu
poszczególnych plików
 x | 1 (eXecute (wykonanie)):
o uprawnienie to pozwala na wykonanie pliku przez system np. zawierającego skrypt
o w stosunku do katalogu, uprawnienie to pozwoli na przejść do określonego katalogu. Razem z uprawnieniem odczytu
pozwala na przeszukiwanie katalogu

Prawa dostepu

 chmod - zmiana uprawnień

o polecenie zmiany prawnie posiada opcje odnośnie właściciela "u", grupy "g", innych "o" lub wszystkich "a"
o jeżeli wykorzystamy opcje -R (recursie) w danym katalogu, zmiana uprawnień nadanych dla danego katalogu będzie
przeniesiona na wszystkie pliki i podkatalogi w tym katalogu
 Możemy podawać uprawniania w formach:
o chmod 640 plik
o chmod u=rw,g=,0=r plik
o chmod u+x plik

Prawa dostępu - przykłady

 chmod u+x plik -właścicielowi dodawane jest prawo (x) wykonania

 chmod g=rw plik-grupie nadawane są jawne prawa(r) odczytu oraz (w) zapisu
 chmod u=rwx,g=rw,o=r plik-właściciel otrzymuje wszystkie (rwx) uprawniania, grupa uprawniania odczytu i zapisu (rw), natomiast
reszta siata uprawniania odczytu (r)
 chmod u=rwx -właściciel otrzymuje wszystkie (rwx) uprawniania
 chmod a+x plik-wszyscy otrzymają prawo wykonywania (x)
Modyfikacja domyślnych uprawnień dostępu

Tworząc nowy plik lub katalog dostaje on automatycznie prawa zgodnie z maska trybu dostepu do pliku

Polecenie unmask wydane bez parametrów pokazuje aktualna maskę

Dla pliku Dla katalogu

Domyślne prawa 666 777
Maska 022 022
Prawa dostępu 644 755

Zmiana właściciela i grupy - chown

 chown - zmienia właściciela i grupę pliku

o chown nowy_wlasciciel plik - Zmiany tylko właściciela
o chown .nowa_grupa plik - zmiana tylko grupy
o chown nowy wlasciciel.nowa_grupa plik - zmiana właściciela i grupy

Zmiana grupy

 chgrp - zmienia grupę użytkowników pliku

o chgrp nowagrupa plik - zmiana grupy

Konfiguracja uprawnień specjalnych

 Set User ID
o s - uprawnienia SUID (4000) - używamy wówczas gdy mamy plik wykonywalny którego normalny użytkownik nie powinien
wykonywać ale musi (np. wykonanie skryptu, kopii bezpieczeństwa)
 polecenie ma następująca składnie:
o chmod u+s plik
o chmod 4755 plik
 Litera „S” zastępuje „x” w sekcji właściciela
 SGID
o s uprawnienia SGID (2000) - bit ten zmienia identyfikator grupy w czasie wykonywania pliku. Jest bardzo podobny do bitu
SUID lecz zmienia uprawnienia do grupy
 Plik z ustawionym bitem SGID może wykonywać normalny użytkownik tak jakby był członkiem grupy do której należy dany plik
 polecenie ma następująca składnie
o chmod g+s
o chmod 2777 plik
 Litera „S” zastępuje „x” w sekcji grupa

Sticky bit, zwane tez bitem lepkości

 t - bit lepkości (1000) - działanie tego uprawnienia zależy od tego czy dotyczy pliku czy też katalogu
 w katalogach uniemożliwia użytkownikowi usuwanie plików z folderów w których maja uprawnienia zapisu, o ile nie są właścicielami
pików
 w przypadku zastosowania uprawnienia do pliku ten bit przykleja się do pliku. Gdy plik z takim bitem jest po raz pierwszy otwierany
lub uruchamiany zostaje załadowany do pamięci albo pliku wymiany dzięki czemu działa szybciej niż gdyby był uruchamiany z dysku
 „t”- plik wykonywalny
 „T”- plik niewykonywalny
 Litera „t” zastępuje „x” w sekcji inni użytkownicy