Het autorisatie- en gebruikersmodel dat wordt gebruikt in besturingssysteem FreeBSD en de meeste systemen UNIX-familie vrij eenvoudig en op één niveau. Niet zoals Windows met zijn geneste groepen :-).
Er zijn slechts twee soorten gebruikers in FreeBSD: gewone gebruikers en de superuser root. Nou ja, en dienovereenkomstig een vlakke ruimte van groepen.
Op het eerste gezicht lijkt dit schema misschien minder praktisch dan het Windows-schema. Maar toch heeft elk van de regelingen zijn voor- en nadelen. Het complexe hiërarchische systeem van groepen, gebruikers en machtigingen van Windows zorgt voor meer flexibiliteit in het toegangsbeleid, maar vergroot ook de kans dat er iets mis kan gaan. En er is een grote kans op het maken van een fout, waarvan de mate sterk kan variëren. Het zou prima zijn als de baas geen toegang zou krijgen tot zijn map. Wat als iedereen toegang zou krijgen tot gesloten documenten?
Iedere vaste gebruiker FreeBSD-systemen heeft beperkte bevoegdheden en heeft een aangewezen opslaglocatie voor bestanden ( thuismap). Wanneer we op afstand verbinding maken met een computer, zijn we daar meestal een gewone gebruiker. We bevinden ons meteen in onze thuismap, waarin we bestanden kunnen wijzigen. En dat is alleen maar omdat wij hun eigenaar zijn.
Om jezelf als superuser voor te doen, gebruik je de opdracht su. U moet het superuser-wachtwoord invoeren, dit is de “sleutel tot alle deuren” van ons systeem. Zodra we toegang krijgen op superuser-niveau, hebben we de mogelijkheid om bestanden op onze computer te maken of te verwijderen die we op geen enkel Windows-systeem kunnen krijgen.
Het is belangrijk om te onthouden dat wanneer u als root in het systeem werkt, u aan verhoogde beveiligingsmaatregelen moet voldoen. Het systeem zal niet twijfelen aan de competentie van de root, als hij zegt dat belangrijke mappen moeten worden verwijderd, dan is dit noodzakelijk.
Om de su-opdracht uit te voeren, moet u lid zijn van een groep genaamd “wheel”. Deze groep omvat de gebruikers die geautoriseerd zijn om superuser te worden.
“Wie zijn al deze mensen?”
Er is nog een functie. Naast geregistreerde gebruikers (mensen die verbinding maken met het systeem) zijn er ook automatische gebruikers (bin, daemon, Nobody, Operator, www en anderen). Deze accounts bestaan om er enkele te bezitten systeem processen. Het is belangrijk om hier te begrijpen dat elk proces, net als een bestand, eigendom moet zijn van een bepaalde gebruiker en dat alle processen beperkt zijn door de bevoegdheden van de gebruikers waartoe ze behoren.
Gebruikers hebben nooit rechtstreeks toegang tot hun bestanden. Alles wat de gebruiker met zijn bestanden doet met behulp van opdrachten, wordt feitelijk namens de gebruiker door een proces uitgevoerd. Processen werken op bestanden of andere processen. Processen van de ivan-gebruiker kunnen alleen werken met bestanden en processen die eigendom zijn van de ivan-gebruiker. De toegang kan worden geweigerd als een van deze processen probeert het bestand of proces van gebruiker Andrey te wijzigen.
Waar zijn pseudo-gebruikers voor? Laten we ons voorstellen dat de gebruiker Ivan plotseling een superuser werd. Alle processen die namens Ivan worden uitgevoerd, hebben absolute macht over de processen van een andere gebruiker. Wat als een van deze processen een speciaal configuratiebestand leest en systeemparameters wijzigt? Wat als iemand door een bug toegang zou kunnen krijgen tot een configuratiebestand of op een andere manier potentieel onveilige parameters zou kunnen doorgeven aan een programma dat met absolute rechten draait? Het systeem kan vernietigd worden. Geen vragen of onnodige waarschuwingen. Daarom moet elke dienst worden gelanceerd namens een specifieke pseudo-gebruiker en worden “opgesloten” in de ruimte van zijn “bezittingen” om niet per ongeluk de rest van het systeem te beschadigen.
Waar zijn groepen voor?
Elke gebruiker behoort tot een specifieke primaire groep, die doorgaans dezelfde naam heeft als de gebruiker. In feite is de gebruiker het enige lid van zijn primaire groep. Maar niets weerhoudt ons ervan een groep aan te maken, bijvoorbeeld ftpusers, en daar gebruikers aan toe te voegen. Overigens kan alleen de root-superuser het gebruikerseigendom beheren.
Over het algemeen moeten groepen voorzien bepaalde gebruikers mogelijkheid samenwerking met sommige bestanden of processen. Het is immers onwenselijk voor verschillende mensenéén account heeft gebruikt om toegang te krijgen tot bestanden, is het onwenselijk dat iemand anders hetzelfde wachtwoord kent. En groepen kunnen verschillende gebruikers gelijke rechten geven.
Er zijn verschillende manieren om een gebruiker of groep toe te voegen ( sysinstall, adduser, pw ...). Laten we het meest overwegen populaire programma's voor gebruikersbeheer in freeBSD OS.
1. Gebruikers toevoegen met gebruiker toevoegen
En laten we dus eens kijken naar het hierboven genoemde adduser-programma (na de schuine strepen zal er zijn // mijn commentaar):
#gebruiker toevoegen
Gebruikersnaam: test // specificeer de naam van de toekomstige gebruiker
Volledige naam: Testgebruiker // volledige naam
Uid (standaard leeg laten): // het is raadzaam om de ID-gebruiker (identificatienummer in het systeem) leeg te laten, het systeem wijst deze zelf toe
Inloggen groep: // voeg de gebruiker toe aan zijn groep. laat het leeg
Inloggroep is test. Test uitnodigen voor andere groepen? : wiel // indien nodig kunt u een gebruiker aan een andere groep toevoegen
Inloggen klasse://laat het leeg
Shell (sh csh tcsh zsh nologin) : tcsh // selecteer de opdrachtregel 'shell', het is beter om tcsh in te voeren, sh is niet handig IMHO
Thuismap: // de thuismap kan overal worden geplaatst, maar het is beter om deze als standaard te laten staan
Wachtwoordgebaseerde authenticatie gebruiken? : //laat het leeg
Een leeg wachtwoord gebruiken? (ja/nee): // gebruiker met leeg wachtwoord is niet veilig, standaardselectie is nee
Een willekeurig wachtwoord gebruiken? (ja/nee): // het systeem kan genereren willekeurig wachtwoord standaard nr
Wachtwoord invoeren: // als u de bovenste 2 items heeft afgewezen, wordt u gevraagd het wachtwoord zelf in te voeren
Voer het wachtwoord opnieuw in: // voer het wachtwoord opnieuw in
Het account vergrendelen na het aanmaken? : // blok rekening gebruiker na creatie
Gebruikersnaam: test
Wachtwoord: ****
Volledige naam: Testgebruiker
Uid: 1001
Klas:
Groepen: testwiel
Thuis: /home/test
Shell: /usr/local/bin/tcsh
Vergrendeld: nee
OK? (ja/nee): Ja // als het bovenstaande overeenkomt met wat je wilde, voer dan ja in
adduser: INFO: Succesvol toegevoegd (test) aan de gebruikersdatabase.
Nog een gebruiker toevoegen? (ja/nee): Nee // voorstel om nog een gebruiker toe te voegen, onverzadigbaar, geef hem gewoon gebruikers :)
Tot ziens!// en je wordt niet ziek
#
2. Gebruikers verwijderen met rmuser
En dus toevoegen - toegevoegd. Nu moet je weten hoe je het moet verwijderen :) Onthoud: “breken is niet bouwen!” Verwijderen is veel eenvoudiger dan een gebruiker toevoegen en hem de benodigde instellingen en rechten toewijzen.
Verwijderen volgende programma: rmuser
Wat dit programma kan doen:
- Een gebruikersinvoer verwijderen uit crontab (indien aanwezig).
- Verwijdert bij taken die eigendom zijn van de gebruiker.
- Doodt alle processen die eigendom zijn van de gebruiker.
- Verwijdert een gebruiker uit het lokale wachtwoordbestand.
- Verwijdert de homedirectory van de gebruiker (als de gebruiker deze bezit).
- Verwijdert inkomende e-mail die eigendom is van de gebruiker uit /var/mail .
- Verwijdert alle bestanden die eigendom zijn van de gebruiker uit mappen met tijdelijke bestanden, bijvoorbeeld /tmp .
- Verwijdert ten slotte de gebruikersnaam uit alle groepen waartoe deze behoort in /etc/group.
# rmuser-test // verwijder gebruikerstest
Overeenkomende wachtwoordinvoer:
test:*:1001:1001::0:0:Testgebruiker:/home/test:/usr/local/bin/tcsh
Is dit de vermelding die u wilt verwijderen? j // herverzekering, of u de juiste gebruiker gaat verwijderen
De thuismap van de gebruiker verwijderen (/home/test)? j // verwijderen aangepaste map met alle inhoud?
Wachtwoordbestand bijwerken, databases bijwerken, klaar.
Groepsbestand bijwerken: vertrouwd (groepstest verwijderen - persoonlijke groep is leeg) klaar.
Het inkomende e-mailbestand /var/mail/test van de gebruiker verwijderen: klaar.
Bestanden die bij test horen verwijderen uit /tmp: klaar.
Bestanden die bij test horen verwijderen uit /var/tmp: klaar.
Bestanden verwijderen die bij test horen uit /var/tmp/vi.recover: klaar. // Alle! de gebruiker is naar een andere wereld gegaan en alle mappen achter hem zijn gewist.
#
Als je wilt dat het programma je niet met al deze vragen belast, gebruik dan de parameter -y (rmuser -y). In feite gaan we akkoord met alle voorwaarden.
3. Het wachtwoord wijzigen door programma's wachtwoord En chpass
Hoe verander ik het wachtwoord voor een freeBSD-gebruiker? - vraag je. Elementair! - iedereen die verder leest, zal je antwoorden =).
Programma's voor het wijzigen van wachtwoorden: passwd en chpass.
wachtwoord- Dit de gebruikelijke manier het wijzigen van het eigen wachtwoord van de gebruiker, of het wachtwoord van een andere gebruiker als superuser.
Laten we ons even voorstellen dat u een eenvoudige gebruiker bent met de naam test en uw wachtwoord wilt wijzigen:
% wachtwoord
Oud wachtwoord: // binnenkomen Oud wachtwoord
Nieuw wachtwoord: //binnenkomen Nieuw wachtwoord
Typ het nieuwe wachtwoord opnieuw: // herhaal nieuw wachtwoord
wachtwoord: het bijwerken van de database…
wachtwoord: klaar // gedaan wachtwoord gewijzigd
Laten we ons nu voorstellen dat u een superuser bent en het wachtwoord van een gewone sterfelijke gebruiker wilt wijzigen:
# passwd-test // Zorg ervoor dat u een gebruikersnaam opgeeft, anders wijzigt u uw wachtwoord
Lokaal wachtwoord wijzigen voor test.
Nieuw wachtwoord: // nieuw wachtwoord (zoals u kunt zien, hoeft u het oude wachtwoord niet te kennen - de voordelen van een superuser)
Typ het nieuwe wachtwoord opnieuw: // herhaal het wachtwoord
wachtwoord: het bijwerken van de database…
wachtwoord: klaar // klaar, hehe
Laten we nu een meer functionele gadget overwegen: chpass.
chpass— kan niet alleen het wachtwoord van de gebruiker wijzigen, maar ook zijn andere gegevens.
Alleen systeembeheerders met superuser-rechten kan informatie en wachtwoorden van andere gebruikers wijzigen met behulp van het chpass-programma. Gewone gebruikers kunnen dit programma ook gebruiken, maar wijzigingen zijn alleen toegestaan een klein deel deze informatie, en alleen voor uw account.
En dit is hoe het chpass-programma werkt voor een superuser:
#Gebruikersdatabase-informatie wijzigen voor test.
Login: test
Wachtwoord: *
Uid[#]: 1001
Gid [# of naam]: 1001
Wijziging:
Verlopen:
Klas:
Thuismap:/huis/test
Schelp:/usr/local/bin/tcsh
Volledige naam: Testgebruiker
Kantoorlocatie:
Kantoortelefoon:
Thuistelefoon:
Overige informatie:
4. Gebruikers en groepen beheren met behulp van pw
Nou ja, het beste deel zit aan het einde. pw is een opdrachtregelhulpprogramma voor het maken, verwijderen, wijzigen en weergeven van gebruikers en groepen. Het functioneert als een externe interface voor gebruikers- en groepssysteembestanden. pw heeft een zeer krachtige set opdrachtregelopties, waardoor het geschikt is voor gebruik in shellscripts, maar nieuwe gebruikers vinden het wellicht complexer dan de andere hier gepresenteerde opdrachten.
Laten we de gebruikerstest toevoegen met behulp van het pw-hulpprogramma:
# pw useradd-test -s/bin/tcsh -C"Testgebruiker" -m -b/thuis -e 03-07-2011-P 02-07-2011
Verklaring van de gebruikte toetsen:
-S– geeft aan welke terminal zal worden gebruikt, shell-veld
-Met– opmerkingen voor de aangemaakte gebruiker, gecos-veld
-e– levensduur van account, veld verlopen. Het veldformaat is vergelijkbaar met de optie '-p'
-P– levensduur van wachtwoord, veld wijzigen. Het formaat voor het opgeven van de datum of tijd is:
dd-mm-jj, waarbij dd dag is, mm maand en jj jaar. Of het volgende wordt gebruikt
formaat: +0mhdwoy, waarbij m – minuten, h – uren, d – dagen, w – weken, o – maand, y – jaar
-M– zorgt ervoor dat de homedirectory van de gebruiker wordt aangemaakt en dat standaardbestanden ernaar worden gekopieerd
en map /usr/share/skel
-B– de basismap waarin de thuismap van de gebruiker zich zal bevinden, het veld home_dir
-L– stelt de klasse voor de gebruiker in vanuit het login.conf-bestand, klasseveld
Om een groep noname aan te maken en de gebruikerstest ernaar te verplaatsen, gebruikt u de volgende combinatie:
#pwgroupadd geen naam -M test
Om een gebruikerstest toe te voegen aan een bestaande wiel groep wij gebruiken:
# pw gebruikersmod test -G wiel
Het zou lang duren om alle kenmerken van pw te beschrijven. Belangrijkste kansen die voor u liggen.
5. Lijst met alle bekende programma's en hulpprogramma's voor het beheren van accounts en gebruikersgroepen
Nou ja, uiteindelijk zal ik alles opsommen mogelijke toepassingen en hulpprogramma's voor het monitoren/wijzigen/toevoegen van gebruikers en groepen:
pw(8) – aanmaken, verwijderen, wijzigen, weergeven van gebruikers en groepen;
De autoriteit van gebruikers en de bestanden waarvan zij eigenaar zijn, vormen het concept van het UNIX-besturingssysteem. Omdat FreeBSD een besturingssysteem voor meerdere gebruikers is en tot de besturingssysteemfamilie behoort gemeenschappelijke naam UNIX, dus de mogelijkheid om gebruikers vakkundig te beheren, zal u helpen verschillende problemen te voorkomen.
Gebruikers- en groepsaccounts worden in twee bestanden opgeslagen:
/etc/master.passwd– dit bestand slaat gebruikersgegevens en hun wachtwoorden in gecodeerde vorm op.
/etc/groep– dossierverantwoordelijke voor groepen
FreeBSD maakt gebruik van schaduwwachtwoordtechnologie - dit is wanneer gebruikerssysteemgegevens in twee bestanden worden verdeeld:
1.bestand /etc/master.passwd die gecodeerde wachtwoorden bevat, heeft alleen lees- en schrijfrechten voor de rootgebruiker
2.bestand /etc/passwd, gemaakt met behulp van de opdracht pwd_mkdb(8) (genereren van een database met wachtwoorden) vanuit een bestand /etc/master.passwd, het heeft leesrechten voor de groep en andere gebruikers, wachtwoorden worden vervangen door *. Gebruik ook de opdracht pwd_mkdb(8) uit het bestand /etc/master.passwd er worden twee bestanden gemaakt - /etc/pwd.db En /etc/spwd.db(geïndexeerde databases), ze zijn ontworpen om zoekopdrachten te versnellen, in het geval dat grote hoeveelheid systeem gebruikers. Bestand /etc/spwd.db is geheim, net als het bestand /etc/master.passwd en heeft dezelfde toegangsrechten en eigenaar.
Denk aan de syntaxis van het bestand /etc/master.passwd:
| root:$1 $SJSDMXQE $LRpetLGNt5xO8k980r2om .: 0 :0 ::0 :0 0 :0 ::0 :0 1 :1 ::0 :0 2 :5 ::0 :0 3 :7 ::0 :0 4 :65533 ::0 :0 5 :65533 ::0 :0 7 :13 ::0 :0 |
Elk nieuwe lijn in het bestand beschrijft de gebruiker, het bevat kolommen gescheiden door (:).
Kolommen op volgorde:
1.naam– gebruikersaanmelding die wordt gebruikt bij het inloggen op het systeem
2.wachtwoord– gecodeerd wachtwoord in /etc/master.passwd en * in /etc/passwd
3.vloeistof– unieke gebruikersidentificatie.
4.zucht– unieke groepsidentificatie.
5.klas– een klasse instellingen en instellingen, die is overgenomen uit het bestand /etc/login.conf
6.wijziging– levensduur van het wachtwoord, d.w.z. de periode waarna het wachtwoord moet worden gewijzigd. Het aantal seconden sinds 1 januari 1970. U kunt controleren naar welke datum de seconden in het veld verwijzen met behulp van het commando: date –r seconden , waarbij seconden de veldwaarde is.
7.verlopen– de levensduur van het account, nadat deze periode is verstreken, wordt het geblokkeerd, 1 januari 1970. U kunt controleren welke datum de seconden in het veld aangeven met behulp van het commando: date –r seconden , waarbij seconden de waarde is van het veld.
8.geco's– algemene informatie over de gebruiker
9.thuis richt– de thuismap van de gebruiker
10.schelp– de shell die de gebruiker gaat gebruiken
Bij het maken van een bestand /etc/passwd uit bestand /etc/master.passwd velden klasse, wijzigen, verlopen worden verwijderd en het wachtwoord wordt vervangen door *.
Het inlogveld (naam) mag niet beginnen met een symbool (-); het wordt ook afgeraden om hoofdletters in de gebruikersnaam te gebruiken en de login te scheiden met een symbool (.), wat problemen kan veroorzaken bij het werken met mail. In bestand /etc/master.passwd veld wachtwoord gecodeerd, als het veld ontbreekt, d.w.z. in plaats van het wachtwoord staat er een *-symbool, dan krijgt u geen toegang tot de machine. Om snel een bestand te bewerken /etc/master.passwd en zonder daaropvolgend gebruik van het pwd_mkdb(8) commando wordt het vipw(8) commando gebruikt, dit is dezelfde vi(1) editor, dus lees voordat je het vipw(8) commando gebruikt man-pagina's ze heeft vi(1) .
Voorbeeld:
| # vipw root:$1 $SJSDMXQE $LRpetLGNt5xO8k980r2om .: 0 :0 ::0 :0 :Charlie &:/root:/bin/csh toor:*: 0 :0 ::0 :0 :Bourne-opnieuw Superuser:/root: daemon:*: 1 :1 ::0 :0 :Eigenaar van veel systeemprocessen:/root:/usr/sbin/nologin operator:*: 2 :5 ::0 :0 :Systeem &:/:/usr/sbin/nologin bin:*: 3 :7 ::0 :0 :Binaire opdrachten en bron:/:/usr/sbin/nologin tty:*: 4 :65533 ::0 :0 :Tty Sandbox://:/usr/sbin/nologin kmem:*: 5 :65533 ::0 :0 :KMem Sandbox://:/usr/sbin/nologin-spellen:*: 7 :13 ::0 :0 :Games pseudo-gebruiker:/usr/games:/usr/sbin/nologin |
Bij gebruik van (*) in /etc/master.passwd in plaats van een veld wachtwoord Autorisatie in het systeem is verboden omdat het symbool (*) geen gecodeerd wachtwoord kan zijn. Als u bijvoorbeeld een gebruiker tijdelijk wilt blokkeren, kunt u in plaats van het veld gebruiken wachtwoord in het bestand /etc/master.passwd een dergelijke combinatie *LOCKED* of voeg een dergelijke combinatie toe aan het begin van het wachtwoord, als deze bestaat, en verwijder deze eenvoudigweg bij het ontgrendelen, hiervoor heeft u het vipw(8) commando nodig. Om te zien hoe u een account kunt blokkeren via de opdrachtregel, leest u de manpagina voor het pw(8)-commando.
Veld geco's geven algemene informatie over gebruikers, bevat de volgende velden, gescheiden door komma's:
naam– volledige naam van de gebruiker
kantoor– kantoornummer
wtelefoon– werktelefoon
htelefoon– huistelefoon
Veld thuis_dir, definieert het pad naar de homedirectory van de gebruiker, waarvan hij de eigenaar zal zijn.
Veld schelp, definieert de shell van de gebruiker; de lijst met beschikbare shells voor de gebruiker is te vinden in het bestand /etc/shells. Voor de rootgebruiker wordt het wijzigen van de huidige shell niet aanbevolen, omdat bij een calamiteit het bestandssysteem /usr mogelijk niet wordt aangekoppeld, waardoor de rootgebruiker geen toegang heeft tot het systeem.
Als u een gebruiker de toegang tot het systeem wilt ontzeggen, vervangt u zijn shell door /sbin/nologin. Dit programma zal een inlogpoging van een gebruiker correcter verwerken dan andere (bijvoorbeeld: /dev/null).
Wanneer u een nieuwe gebruiker toevoegt, moet u een unieke loginnaam selecteren die niet in het bestand zal verschijnen /etc/passwd En /etc/mail/aliassen. Ook mag de naam niet beginnen met het symbool (-) en het symbool (.) en hoofdletters bevatten, aangezien dit tot problemen kan leiden onvoorziene situaties bij het werken met post. De nieuwe gebruiker krijgt een unieke ID - UID en wordt lid van een groep waarvan de naam overeenkomt met de gebruikersnaam waarin hij alleen zal zijn. Deze strategie voor groepsnaamgeving verbetert de beveiliging en flexibiliteit bij toegangscontrole. De UID en de inlognaam zijn uniek in het systeem en worden gebruikt om de toegang te controleren bestandssysteem. Nadat een gebruiker aan het systeem is toegevoegd, worden de bestanden naar zijn thuismap gekopieerd .profiel(uitgevoerd wanneer de gebruiker inlogt), of de shell /bin/sh of .cshrc is (wanneer de shell start) en .login(wanneer de gebruiker inlogt) als er een shell wordt gebruikt /bin/csh. Al deze bestanden worden uit de map gekopieerd /usr/share/skel.
In bestand /etc/groep alle lokale groepen van het systeem zijn gelokaliseerd. Dit bestand kan door iedereen worden bewerkt teksteditor naar eigen goeddunken, d.w.z. om een groep toe te voegen, bewerkt u gewoon het bovenstaande bestand.
Het bestand bestaat uit afzonderlijke regels, waarvan de kolommen gescheiden zijn met behulp van speciaal karakter(:). Een rij bestaat uit de volgende kolommen of velden:
groep– titel of groepsnaam
wachtwoord– gecodeerd wachtwoord voor de groep
zucht– uniek groepsnummer
lid– leden van deze groep
In dit bestand is elke regel die begint met een (#)-symbool een commentaar.
Veld groep is de naam van een groep die bepaalt of gebruikers die lid zijn van deze groep toegang hebben tot bestanden. Met veld groep geassocieerd met het gid-veld, dat de unieke identificatie van de groep definieert. Deze twee velden zijn onlosmakelijk met elkaar verbonden, net als de gebruikersnaam en zijn UID. Veld wachtwoord is optioneel, wordt zelden gebruikt en daarom is het teken (*) geen betere keuze dan een gecodeerd wachtwoord. Veld lid bevat groepsleden, in de vorm van gebruikersnamen, van elkaar gescheiden door het symbool (,) – komma. Een groep kan niet meer dan 200 gebruikers hebben. Maximale lengte regels in het bestand /etc/groep 1024 tekens.
Beheer en beperkingen van gebruikersbronnen.
Gebruikersbronnen worden beheerd met behulp van klassen die zijn gedefinieerd in speciaal bestand /etc/login.conf, en worden ook aan de gebruiker gegeven wanneer hij hem toevoegt. Als er geen klasse voor de gebruiker is gedefinieerd, wordt aan deze de klasse – standaard toegewezen. Elke klasse heeft een reeks kenmerken in de vorm naam=waarde. Om de gegevenstoegang te versnellen, leest het systeem het bestand niet rechtstreeks /etc/login.conf, maar leest in plaats daarvan het bestand /etc/login.conf.db, die wordt aangemaakt speciaal elftal cap_mkdb(1)
| cam_mkdb /etc/login.conf |
Daarom na elke bestandswijziging /etc/login.conf vergeet niet cap_mkdb(1) uit te voeren
U kunt een klasse voor een gebruiker in het bestand wijzigen of instellen /etc/master.passwd, die hiervoor een speciaal veld heeft klas. Dit werd hierboven besproken. Een gebruiker met UID = 0, d.w.z. de systeembeheerder (root) heeft geen geldige klasse, de root-invoer in /etc/login.conf of de standaardklasse als er geen root-invoer is.
De gebruiker kan een individueel bestand met broninstellingen maken in de thuismap genaamd ~/login.conf, gebruikt dit bestand dezelfde syntaxis als het bestand /etc/login.conf maar het bevat alleen een ID-vermelding met de naam "ik". In dit bestand kan de gebruiker alleen de hem ter beschikking gestelde bronnen verminderen, maar op geen enkele manier vergroten.
Als veldscheidingsteken in een bestand /etc/login.conf Het symbool (:) wordt gebruikt. Het eerste veld in het bestand betekent de naam van de klasse die vervolgens op een bepaalde gebruiker wordt toegepast.
Elk veld in het bestand /etc/login.conf kan accepteren volgende waarden:
bool– als de parameter Booleaans is, kan deze de volgende waarden aannemen: waar of onwaar; Schrijf de optie gewoon in een bestand /etc/login.conf zonder een expliciete waarde op te geven, betekent waar. Als u false wilt definiëren, moet u dit expliciet opgeven.
bestand– de optie neemt de waarde als pad naar het bestand;
programma– de optie neemt de waarde als pad naar het uitvoerbare bestand of programma;
lijst– de optie accepteert waarden in de vorm van een door komma's of spaties gescheiden lijst;
pad– de optie accepteert padwaarden gescheiden door een komma of spatie. Tilde (~) breidt uit naar de thuismap van de gebruiker;
nummer – numerieke waarde, in decimaal, hexadecimaal of octaal.
snaar– in de vorm van een string;
maat- maat. De standaardwaarde is in bytes. Mag de volgende achtervoegsels accepteren om maateenheden aan te duiden:
b – bytes
k – kilobytes
m – megabytes
g – gigabytes
t – terabytes
Het is mogelijk om waarden te combineren door de bijbehorende achtervoegsels aan te geven: 1m30k
tijd– tijdsperiode, standaard uitgedrukt in seconden. Als achtervoegsel worden de volgende aanduidingen gebruikt:
y – jaar
w – week
d – dag
u – uur
m – minuten
s – seconden
Het is mogelijk om waarden te combineren door de overeenkomstige achtervoegsels aan te geven: 2u30m
onbeperkt– geen beperkingen
Resourcelimiet:
|
Bronnen kunnen worden beperkt door zowel zachte als harde limieten. Het verschil hiertussen is dat de gebruiker de harde limieten niet kan verhogen, maar de gebruiker kan wel de zachte limieten verhogen, maar niet meer dan de harde waarde. Er worden speciale achtervoegsels gebruikt om zachte en harde beperkingen aan te duiden –max En –cur. Bijvoorbeeld: bestandsgrootte-max
Gebruikersomgeving:
|
|
Bij opties host.allow En host.weigeren Het hostscheidingsteken is een komma.
In opties keer.toestaan En tijden.ontkennen vermeldingen worden gescheiden door komma's. Tijdsperiodewaarden worden geschreven in 24-uursnotatie, van elkaar gescheiden door een koppelteken.
Bijvoorbeeld: MoThSa0200-1300 Deze vermelding wordt als volgt ontcijferd: gebruikerstoegang is toegestaan op maandag, donderdag en zaterdag van 02.00 uur tot 13.00 uur. Als beide opties ontbreken in de gebruikersklasse, is toegang op elk gewenst moment toegestaan. Als de tijdsperiode is toegestaan in de optie keer.toestaan verboden door de tijdsperiode in het bestand tijden.ontkennen, dan heeft de optie prioriteit tijden.ontkennen.
In opties ttys.allow En ttys.deny bevat door komma's gescheiden tty-apparaatgegevens (zonder het /dev/ voorvoegsel) en een lijst met ttygroups (zie getttyent(3) en ttys(5) ) waartoe een gebruiker van een bepaalde klasse wel of geen toegang heeft. Als er geen vermeldingen in de optie zijn, heeft de gebruiker onbeperkte toegang.
Wachtwoordparameters zoals de minimumlengte (minpasswordlen) en de parameter die verantwoordelijk is voor een waarschuwing als de gebruiker het wachtwoord alleen in kleine letters invoert (minpasswordcase) worden niet ondersteund; de pam-module pam_passwdqc(8) wordt voor deze beperkingen gebruikt.
Het instellen van klassen voor systeemgebruikers is een zeer goede manier om de gebruiker individueel te beperken, maar gebruik dit hulpmiddel bewust en met voorzichtigheid.
De volgende opdrachten zijn handig voor het beheren van gebruikers en groepen:
Er zijn verschillende manieren om een gebruiker of groep toe te voegen ( sysinstall, adduser, pw ...). Laten we eens kijken naar de meest populaire programma's voor het beheren van gebruikers in het freeBSD besturingssysteem.
1. Gebruikers toevoegen met gebruiker toevoegen
En laten we dus eens kijken naar het hierboven genoemde adduser-programma (na de schuine strepen zal er zijn // mijn commentaar):
#gebruiker toevoegen
Gebruikersnaam: test // specificeer de naam van de toekomstige gebruiker
Volledige naam: Testgebruiker // volledige naam
Uid (standaard leeg laten): // het is raadzaam om de ID-gebruiker (identificatienummer in het systeem) leeg te laten, het systeem wijst deze zelf toe
Inloggen groep: // voeg de gebruiker toe aan zijn groep. laat het leeg
Inloggroep is test. Test uitnodigen voor andere groepen? : wiel // indien nodig kunt u een gebruiker aan een andere groep toevoegen
Inloggen klasse://laat het leeg
Shell (sh csh tcsh zsh nologin) : tcsh // selecteer de opdrachtregel 'shell', het is beter om tcsh in te voeren, sh is niet handig IMHO
Thuismap: // de thuismap kan overal worden geplaatst, maar het is beter om deze als standaard te laten staan
Wachtwoordgebaseerde authenticatie gebruiken? : //laat het leeg
Een leeg wachtwoord gebruiken? (ja/nee): // gebruiker met leeg wachtwoord is niet veilig, standaardselectie is nee
Een willekeurig wachtwoord gebruiken? (ja/nee): // het systeem kan standaard een willekeurig wachtwoord genereren nr
Wachtwoord invoeren: // als u de bovenste 2 items heeft afgewezen, wordt u gevraagd het wachtwoord zelf in te voeren
Voer het wachtwoord opnieuw in: //typ het wachtwoord opnieuw
Het account vergrendelen na het aanmaken? : // gebruikersaccount vergrendelen na aanmaken
Gebruikersnaam: test
Wachtwoord: ****
Volledige naam: Testgebruiker
Uid: 1001
Klas:
Groepen: testwiel
Thuis: /home/test
Shell: /usr/local/bin/tcsh
Vergrendeld: nee
OK? (ja/nee): Ja // als het bovenstaande overeenkomt met wat je wilde, voer dan ja in
adduser: INFO: Succesvol toegevoegd (test) aan de gebruikersdatabase.
Nog een gebruiker toevoegen? (ja/nee): Nee // bied aan om nog een gebruiker toe te voegen, onverzadigbaar, geef hem gewoon gebruikers
Tot ziens!// en je wordt niet ziek
#
2. Gebruikers verwijderen met rmuser
En dus toevoegen - toegevoegd. Nu moet je weten hoe je moet verwijderen /> Onthoud: “breken is niet bouwen!” Verwijderen is veel eenvoudiger dan een gebruiker toevoegen en hem de benodigde instellingen en rechten toewijzen.
We verwijderen het met het volgende programma: rmuser
Wat dit programma kan doen:
- Een gebruikersinvoer verwijderen uit crontab (indien aanwezig).
- Verwijdert bij taken die eigendom zijn van de gebruiker.
- Doodt alle processen die eigendom zijn van de gebruiker.
- Verwijdert een gebruiker uit het lokale wachtwoordbestand.
- Verwijdert de homedirectory van de gebruiker (als de gebruiker deze bezit).
- Verwijdert inkomende e-mail die eigendom is van de gebruiker uit /var/mail .
- Verwijdert alle bestanden die eigendom zijn van de gebruiker uit tijdelijke bestandsmappen zoals /tmp.
- Verwijdert ten slotte de gebruikersnaam uit alle groepen waartoe deze behoort in /etc/group.
# rmuser-test // verwijder gebruikerstest
Overeenkomende wachtwoordinvoer:
test:*:1001:1001::0:0:Testgebruiker:/home/test:/usr/local/bin/tcsh
Is dit de vermelding die u wilt verwijderen? j // herverzekering, of u de juiste gebruiker gaat verwijderen
De thuismap van de gebruiker verwijderen (/home/test)? j // de gebruikersmap met alle inhoud verwijderen?
Wachtwoordbestand bijwerken, databases bijwerken, klaar.
Groepsbestand bijwerken: vertrouwd (groepstest verwijderen - persoonlijke groep is leeg) klaar.
Het inkomende e-mailbestand /var/mail/test van de gebruiker verwijderen: klaar.
Bestanden die bij test horen verwijderen uit /tmp: klaar.
Bestanden die bij test horen verwijderen uit /var/tmp: klaar.
Bestanden verwijderen die bij test horen uit /var/tmp/vi.recover: klaar. // Alle! de gebruiker is naar een andere wereld gegaan en alle mappen achter hem zijn gewist.
#
Als je wilt dat het programma je niet met al deze vragen belast, gebruik dan de parameter -y (rmuser -y). In feite gaan we akkoord met alle voorwaarden.
3. Het wachtwoord wijzigen door programma's wachtwoord En chpass
Hoe verander ik het wachtwoord voor een freeBSD-gebruiker? - vraag je. Elementair! - iedereen die verder leest, zal je antwoorden =).
Programma's voor het wijzigen van wachtwoorden: passwd en chpass.
wachtwoord is de gebruikelijke manier waarop een gebruiker zijn eigen wachtwoord of het wachtwoord van een andere gebruiker als superuser kan wijzigen.
Laten we ons even voorstellen dat u een eenvoudige gebruiker bent met de naam test en uw wachtwoord wilt wijzigen:
% wachtwoord
Oud wachtwoord: // voer oud wachtwoord in
Nieuw wachtwoord: //voer een nieuw wachtwoord in
Typ het nieuwe wachtwoord opnieuw: // herhaal nieuw wachtwoord
wachtwoord: het bijwerken van de database…
wachtwoord: klaar // gedaan wachtwoord gewijzigd
Laten we ons nu voorstellen dat u een superuser bent en het wachtwoord van een gewone sterfelijke gebruiker wilt wijzigen:
# passwd-test // Zorg ervoor dat u een gebruikersnaam opgeeft, anders wijzigt u uw wachtwoord
Lokaal wachtwoord wijzigen voor test.
Nieuw wachtwoord: // nieuw wachtwoord (zoals u kunt zien, hoeft u het oude wachtwoord niet te kennen - superuser-voordelen)
Typ het nieuwe wachtwoord opnieuw: // herhaal het wachtwoord
wachtwoord: het bijwerken van de database…
wachtwoord: klaar // klaar, hehe
Laten we nu een meer functionele gadget overwegen: chpass.
chpass- kan niet alleen het wachtwoord van de gebruiker wijzigen, maar ook zijn andere gegevens.
Alleen systeembeheerders met superuser-rechten kunnen de informatie en wachtwoorden van andere gebruikers wijzigen met behulp van het chpass-programma. Gewone gebruikers kunnen dit programma ook gebruiken, maar slechts een klein deel van deze informatie mag veranderen, en alleen voor hun account.
En dit is hoe het chpass-programma werkt voor een superuser:
#Gebruikersdatabase-informatie wijzigen voor test.
Login: test
Wachtwoord: *
Uid[#]: 1001
Gid [# of naam]: 1001
Wijziging:
Verlopen:
Klas:
Thuismap:/huis/test
Schelp:/usr/local/bin/tcsh
Volledige naam: Testgebruiker
Kantoorlocatie:
Kantoortelefoon:
Thuistelefoon:
Overige informatie:
4. Gebruikers en groepen beheren met behulp van pw
Nou ja, het beste deel zit aan het einde. pw is een opdrachtregelhulpprogramma voor het aanmaken, verwijderen, wijzigen en weergeven van gebruikers en groepen. Het functioneert als een externe interface voor gebruikers- en groepssysteembestanden. pw heeft een zeer krachtige set opdrachtregelopties, waardoor het geschikt is voor gebruik in shellscripts, maar nieuwe gebruikers vinden het wellicht complexer dan andere hier gepresenteerde opdrachten.
Laten we de gebruikerstest toevoegen met behulp van het pw-hulpprogramma:
# pw useradd-test -s/bin/tcsh -C"Testgebruiker" -m -b/thuis -e 03-07-2011-P 02-07-2011
Verklaring van de gebruikte toetsen:
-S– geeft aan welke terminal zal worden gebruikt, shell-veld
-Met– opmerkingen voor de aangemaakte gebruiker, gecos-veld
-e– levensduur van account, veld verlopen. Het veldformaat is vergelijkbaar met de optie '-p'
-P– levensduur van wachtwoord, veld wijzigen. Het formaat voor het opgeven van de datum of tijd is:
dd-mm-jj, waarbij dd dag is, mm maand en jj jaar. Of het volgende wordt gebruikt
formaat: +0mhdwoy, waarbij m – minuten, h – uren, d – dagen, w – weken, o – maand, y – jaar
-M– zorgt ervoor dat de homedirectory van de gebruiker wordt aangemaakt en dat standaardbestanden ernaar worden gekopieerd
en map /usr/share/skel
-B– de basismap waarin de thuismap van de gebruiker zich zal bevinden, het veld home_dir
-L– stelt de klasse voor de gebruiker in vanuit het login.conf-bestand, klasseveld
Om een groep noname aan te maken en de gebruikerstest ernaar te verplaatsen, gebruikt u de volgende combinatie:
#pwgroupadd geen naam -M test
Om de testgebruiker aan een reeds bestaande wielgroep toe te voegen, gebruikt u:
# pw gebruikersmod test -G wiel
Het zou lang duren om alle kenmerken van pw te beschrijven. Belangrijkste kansen die voor u liggen.
5. Lijst met alle bekende programma's en hulpprogramma's voor het beheren van accounts en gebruikersgroepen
Tot slot zal ik alle mogelijke toepassingen en hulpprogramma's opsommen voor het monitoren/wijzigen/toevoegen van gebruikers en groepen:
pw(8) – aanmaken, verwijderen, wijzigen, weergeven van gebruikers en groepen;
adduser(8) – interactief een nieuwe gebruiker toevoegen;
Een gebruiker aanmaken
Terwijl u in de FreeBSD-console werkt, kunt u eenvoudig een nieuwe gebruiker aanmaken met behulp van het aduser-commando. Als u de opdracht uitvoert, verschijnt er een interactief dialoogvenster waarin om alle benodigde informatie wordt gevraagd. De gebruiker wordt pas aangemaakt nadat alle systeemvragen zijn beantwoord.
De schermafbeelding illustreert alle vragen die door het adduser-team zijn gesteld, we hebben de gebruiker shitus toegevoegd.
Als u het aanmaken van een account wilt afbreken, drukt u op ctrl+c.
Laten we eens kijken naar wat elk punt betekent:
Gebruikersnaam: Accountnaam
Volledige naam: de echte naam van de gebruiker
Uid: User ID (User ID), elke gebruiker ontvangt een unieke digitale id vanaf 1000 en hoger. Getallen onder de 1000 zijn gereserveerd voor het systeem. Elke nieuwe gebruiker ontvangt uniek nummer(ID), die bij elk nieuw account dienovereenkomstig toeneemt. U kunt deze optie leeg laten omdat... het systeem voegt automatisch een uniek numeriek nummer voor de gebruiker toe.
Inloggroep: Standaard gebruikersgroep. In Unix-systemen is het normaal dat een gebruiker lid is van zijn eigen groep. U kunt deze optie leeg laten; het systeem zal het account standaard aan zijn eigen groep toevoegen. De volgende stap zal het systeem vragen of de gebruiker aan andere groepen moet worden toegevoegd - Login-groep is shitus. Shitus uitnodigen in andere groepen? Ik laat dit punt aan uw discretie over, omdat de taken van de accounts verschillend zijn, bijvoorbeeld om het toegangsniveau te verhogen dat u aan de wielgroep kunt toevoegen, maar ik raad u aan diep na te denken over het toevoegen aan deze of een andere groep.
Login-klasse: Gebruikersklasse, gebruikt voor administratieve flexibiliteit, standaard standaard. Als u de vraag niet zo goed kent, raad ik u aan deze niet te wijzigen. Er zijn bijvoorbeeld ook klassen -root, standaard, etc.
Shell: installeert de shell (shell of opdrachtinterface). De standaardwaarde is /bin/sh. Je kunt een andere installeren, bijvoorbeeld bash. Dit kan later worden gedaan, als u begrijpt wat u precies nodig heeft uit de schaal
Thuismap: thuismap, de map van de gebruiker waarin zijn bestanden worden opgeslagen. Standaard heeft de gebruiker alleen volledige rechten. Alle thuismappen van gebruikers bevinden zich in /usr/home. U kunt de map /home ook in de hoofdmap / zien, maar dit is slechts het geval symbolische link naar /usr/home/
Permissies voor de thuismap: laat het op de standaardwaarde staan, het heeft niet echt commentaar nodig.
Op gebruikerswachtwoord gebaseerde authenticatie: Gebruik wachtwoordauthenticatie, de standaardinstelling is “ja”, dus druk gewoon op Enter. Ik hoop dat niemand eraan hoeft te worden herinnerd dat het gebruik van een wachtwoord verplicht is!
Gebruik een leeg wachtwoord: de gebruiker kan zijn eigen wachtwoord instellen eigen wachtwoord wanneer u voor de eerste keer inlogt, is de standaard ingesteld op "Nee", wat betekent dat u nu een wachtwoord moet instellen.
Gebruik een willekeurig wachtwoord: De standaardwaarde is "Nee". Als u "Ja" selecteert, genereert het systeem een willekeurig wachtwoord voor de gebruiker. Het wachtwoord wordt weergegeven nadat de gebruiker is aangemaakt -
Adduser: INFO: Wachtwoord voor (shitus) is: ntFWk55HRq
Vergrendel het account na het aanmaken: Blokkeer een account na het aanmaken, dat wil zeggen dat het account wordt aangemaakt, maar u kunt er pas op inloggen als u de blokkering opheft.
Na het aanmaken van een account toont adduser samenvattende informatie over de aangemaakte gebruiker. U wordt dan gevraagd een andere gebruiker aan te maken.
Een gebruiker uit het systeem verwijderen.
Om een gebruiker van het systeem in Freebsd te verwijderen, gebruikt u het rmuser commando met de gebruikersnaam (u hoeft deze niet op te geven, dan zal het commando er in de volgende stap om vragen). In ons geval verwijderen we de gebruiker shitus en de zijne thuismap, voer rmuser shitus in en beantwoord beide vragen ja, de gebruiker is verwijderd.
Het Freebsd-gebruikerswachtwoord wijzigen
FreeBSD kent twee hoofdtypen gebruikers: root- en normale gebruikers. De rootgebruiker heeft de mogelijkheid om het wachtwoord van elke gewone gebruiker te wijzigen, maar een gewone gebruiker kan alleen zijn eigen wachtwoord wijzigen.
Als u als root bent ingelogd en het shmitus-gebruikerswachtwoord wilt wijzigen, gebruikt u het commando -
Passwd shmitus Na het invoeren van de opdracht wordt u gevraagd om een nieuw wachtwoord voor de gebruiker, evenals de bevestiging ervan.
