Linux Kasutajate administreerimine

Allikas: Kuutõrvaja

Sissejuhatus

UNIXi traditsiooni kohaselt tuleb ka Linuxi puhul süsteemi kasutajad esmalt registreerida. Igale tavakasutajale vastab kasutajakonto, millesse kuuluvad muude seas järgmised andmed:

   * kasutajanimi
   * parool
   * kodukataloogi nimi 

Enne kui kasutaja saab hakata süsteemi kasutama, peab ta sisestama oma kasutajanime ning parooli.

Kasutajaid on võimalik jagada gruppidesse. Samasse gruppi kuuluvad kasutajad saavad hõlpsasti teha omavahel kättesaadavaks faile ja administraator saab kõigile grupi liikmetele anda teatud privileege, näiteks modemiga väljahelistamisõigus.

Peale tavakasutajate on süsteemis üks juurkasutaja, kellel on kõige suuremad privileegid ning süsteemsed kasutajad, millele reeglina ei vasta inimest, kuid mille õigustes töötavad serverid, näiteks veebiserver seatakse tööle kasutaja httpd õigustes.

Süsteemseid kasutajaid tarvitatakse turvalisuse huvides.

Andmeid süsteemi kasutajate kohta hoitakse vaikimisi failis /etc/passwd ning /etc/shadow; andmeid gruppide kohta aga failis /etc/group. Põhimõtteliselt võib neid faile redigeerida otse tavalise tekstiredaktoriga, näiteks Joega. Tuleb arvestada asjaoluga, et samaaegselt võib tegeleda paroolifailiga ka mõni tavakasutaja. Tavaliselt muudetakse süsteemi kasutajate kohta käivaid andmeid programmidega Adduser, Useradd või Newusers. Adduser töötab interaktiivselt ja sobib üksiku kasutaja lisamiseks, kusjuures programme Useradd ja Newusers on sobiv kasutada paljude kasutajate lisamiseks, kasutades sobivaid argumete või andmefaili.

Viimasel ajal kasutatakse reeglina varjatud paroole (ingl. k. shadow passwords), mis tähendab, et kasutajate krüptitud paroolid ning info nende paroolide ja kasutajakontode aegumise kohta asuvad failis /etc/shadow. Soovides mingil põhjusel hoida krüptitud paroole /etc/passwd failis andke korraldus

bash# pwconv

kuid arvestage, et minnes tagasi varjatud paroolide kasutamisele

bash# pwunconv

asendatakse info paroolide ja kasutajakontode aegumise kohta teatud vaikeväärtustega.

Grupi lisamine

Näiteks lisame käsuga groupadd süsteemi grupi kunstnik

bash# groupadd kunstnik

Antud juhul valitakse automaatselt sobiv grupi nimele vastav number, seda saab ise näidata võtmega -g. Tavakasutajad asuvad harilikult gruppides, mille numbrid on suuremad kui 99.

Käsuga groups saab näha millistesse gruppidesse kasutaja kuulub

bash# groups priit

Grupi eemaldamine toimub käsuga groupdel, näiteks eemaldame grupi muusik

bash# groupdel muusik

Eelnevalt peab muude vahendite abil veenduma, et eemaldatavasse gruppi ei kuulu ühtegi faili ning ega see grupp pole ühegi kasutaja esmaseks grupiks.

Kasutaja lisamine

Näiteks lisame käsuga useradd süsteemi uue järgmiste omadustega kasutaja priit:

   * -c "Priit Kask,226,467 345,78 634,VIP" - GECOS ehk kommentaar kasutaja kohta, tavaliselt nelja komaga üksteisest eraldatud viieväljane kirje:
        kasutaja nimi, toa number, telefon tööl, telefon kodus, muu
   * -d /home/priit - kodukataloogiga /home/priit
   * -g kunstnik - esmase grupiga kunstnik
   * -m vajadusel loome kataloogi
   * -e 2001-09-31 - kasutajakonto aegumine
   * -s /usr/bin/bash - koorikuga Bash
   * -k /usr/share/skel - kopeerie sealt kasutaja ~/.* failid 
bash# useradd -c "Priit Kask,226,467 345,78 634,VIP" -d /home/priit \
-g kunstnik -m -e 2001-09-31 -s /usr/bin/bash -k /etc/skel priit

Antud juhul valitakse kõik muud parameetrid, nagu näiteks kasutaja UID, automaatselt. Kasutaja esimese parooli peab sisestama uuskasutaja või laskma seda teha kasutajal endal juurkasutaja õigustes programmiga passwd

bash# passwd priit

Mitmete kasutajate automatiseeritud lisamiseks on sobivam kasutada programmi Newusers.

Kasutaja andmeid saab näha käskudega finger, näiteks

bash# finger priit

Kasutaja eemaldamine toimub käsuga userdel, näiteks eemaldame kasutaja mart ning samuti tema kodukataloogi

bash# userdel -r mart

Kui kasutaja kodukataloogis on faile, mis kuuluvad teistele kasutajatele, siis neid ei kustutata, samuti mujal asuvaid kasutajale kuuluvaid faile.

Kasutaja andmete muutmine

Kasutaja andmete muutmine toimub käsuga usermod, näiteks lisame kasutaja priit täiendavatesse gruppidesse arhiiv ja network

bash# usermod -G arhiiv,network priit

Kasutaja esmast gruppi ei tohi täiendavate gruppide nimekirjas näidata. Kui kasutaja kuulub eelnevalt täiendavatesse gruppidesse, siis need asendatakse näidatud gruppide loeteluga.

Useraddi konfiguratsioonifail

Useradd kasutab vaikimisi konfiguratsioonifaili /etc/default/useradd, kus saab defineerida parameetrite vaikeväärtusi. Kui te näitate konfiguratsioonifailis kirjeldatud parameetri ka käsureal, toimib käsureal näidatu. Kasutades võtit -D saab salvestada järgmisi vaikeväärtusi:

   * -b - kataloog, kus asuvad kasutajate kodukataloogid; jättes kasutaja lisamisel võtmega -d näitamata kasutaja kodukataloogi, moodustatakse see
          vaikekodukataloogi ja nimetatakse vastavalt kasutajanimele.
   * -e - kasutajakonto aegumise kuupäev
   * -g - kasutaja grupp
   * -s - kasutaja koorik 

Konfiguratsioonifaili salvestamine toimub programmiga Useradd näiteks selliselt, vajadusel tekitage kataloog /etc/default

bash# useradd -D -b /home -e 2001-09-31 -g kunstnik -s /usr/bin/bash

Ning seejärel võib kasutaja lisada, nagu ülalpool, jättes näitamata defineeritud vaikeväärtused

bash# useradd -c "Priit Kask,226,467 345,78 634,VIP" -m -k /etc/skel priit

Konfiguratsioonifaili parameetrite väärtusi saab näha andes käsu useradd ainsa võtmega -D.

Chage

Kasutades varjatud paroole, saab programmiga Change määrata järgmisi kasutaja konto ja parooliga seotud omadusi:

   * -d YYYY-MM-DD - viimane parooli muutmise aeg, so kuna viimati parooli muudeti, see tekitatakse tavaliselt automaatselt, kui kasutaja oma parooli
                     muudab
   * -m DD - kui tihti tohib parooli muuta, so mitu päeva peab olema möödunud viimasest parooli muutmisest, et kasutaja saaks oma parooli taas muuta
   * -M DD - kuna peab parooli muutma, so aeg, mitu päeva peale viimast paroolivahetust peab kasutaja taas parooli vahetama
   * -W DD - kui mitu päeva enne parooli kohustuslikku muutmist hakatakse kasutajat hoiatama
   * -I DD - kui mitu päeva hiljem peale parooli kohustusliku muutmise tähtaega lubatakse veel vana parooliga süsteemi siseneda
   * -E YYYY-MM-DD - kasutajakonto lukustamise aeg 

Näiteks määrame, et kasutaja priit peaks oma parooli muutma kord 20 päeva jooksul ning konto lukustatakse 1. oktoobril 2001

bash# chage -M 20 -E 2001-10-01

Kasutaja omadusi saab programmiga chage muuta ka interaktiivselt näidates ainsa argumendina kasutajanime.

Kasutaja omadusi saab vaadata kasutades argumenti '-l kasutajanimi', kusjuures tavakasutaja näeb vaid enda kohta käivat infot.

Newusers

Paljude uute kasutajate juurdetekitamisel on sobiv kasutada programmi Newusers. Tema ainsa argumendina tuleb kasutada tekstifaili nime, milles on kirjas /etc/passwd faili formaadile sarnaselt kasutaja andmed. Näiteks lisame olemasolevasse gruppi kunstnik kasutajad laa, mart ja nastja

laa:12aal3::kunstnik:Laa Peep,1,45 555,66 765,Triibutaja:/home/laa:/bin/bash
mart:ma1234rt::kunstnik:Mart Kask,2,34 666,45 666,Jutitaja:/home/mart:/bin/bash
nastja:n1a2s3tja::kunstnik:Nastja Mihin,2,34 666,12 345,Sirgeldaja:/home/nastja:/bin/bash

Ilmselt kasutatakse programmi useradd vaikeväärtusi ning kasutaja UID arv valitakse automaatselt.

Kasulikud materjalid

Failiõigused

© EENet 2000