Linux: Полное руководство
вернуться

Аллен Питер В.
Шрифт:

♦ 

Login_shell
— командный интерпретатор, запускаемый по умолчанию при входе пользователя в систему.

Пример фрагмента файла

/etc/passwd
:

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

den:x:500:500:den:/home/den:/bin/bash

evg:x:501:501::/home/evg:/bin/bash

Применение теневых паролей оправдывает себя с точки зрения безопасности. Обычно к файлу

/etc/passwd
разрешен доступ в режиме «только чтение» всем пользователям. К файлу
/etc/shadow
обычный пользователь не имеет даже такого доступа.

Системы, использующие TCB (Trusted Computing Base), хранят пароли не в файле

/etc/shadow
, а в файлах
/etс/tcb/<имя_пользователя>/shadow
. Считается, что технология TCB более практична с точки зрения безопасности, поскольку доступ к паролям отдельного пользователя не позволит злоумышленнику скомпрометировать сразу всю систему. Для включения поддержки TCB нужно установить пакет tcb. Многие современные дистрибутивы (например, дистрибутивы ALT Linux) поддерживают TCB по умолчанию.

В качестве основного алгоритма шифрования используется MD5, превращающий пароль в 32-значное шестнадцатеричное число. Этот алгоритм является самым надежным. Раньше использовались алгоритмы DES и 3DES, но здесь я не буду подробно останавливаться ни на одном из них. При установке системы обычно спрашивается, хотите ли вы использовать теневые пароли (Shadow Passwords) и MD5. Я очень рекомендую вам использовать обе эти возможности.

Информация о группах пользователей. Файл /etc/group

Информация о группах пользователей хранится в файле /etc/group в следующем формате:

имя_группы:пароль:GID:члены_группы

Пароль используется крайне редко. Пример фрагмента файла

/etc/group
:

root:*:0:root

bin:*:1:root,bin,daemon

local:*:100:den,operator,ivan

guest:*:200:

dialup:*:250:victor,evg

В этом примере группа root зарезервирована для пользователя root. Группа с идентификатором 100 используется для локальных пользователей. В ее состав входят пользователи

den
,
operator
,
ivan
. Группа
guest
предназначена для гостевого входа и пользователя
guest
. В состав группы
dialup
входят пользователи
victor
и
evg
.

Системой определяются группы для фиктивных пользователей:

bin
,
sys
,
adm
и т.п. Реальные пользователи входить в них не могут. Эти группы используются для системных файлов.

Добавить группу вы можете с помощью команды groupadd. Я. как правило, просто добавляю запись в файл

/etc/group
, а если мне нужно удалить группу, то удаляю соответствующую строку.

7.3.2. Создание и удаление пользователей и групп

Большинство утилит административного назначения хранится в каталогах /sbin и /usr/sbin. Полный набор утилит для управления пользователями и группами, установленных в вашей системе, вы можете увидеть по команде

# ls {/sbin,/usr/sbin}/*{user,group}*

Выполнив подстановки аргументов, командная оболочка bash превратит эту команду в четыре:

ls /sbin/*user*

ls /sbin/*group*

ls /usr/sbin/*user*

ls /usr/sbin/*group*

Чтобы добавить пользователя, выполните команду

# useradd <имя> ; passwd <имя >

Для удаления учетной записи пользователя служит утилита userdel, а для модификации существующей учетной записи — утилита usermod. Все они снабжены man-страницами.

Чтобы добавить или изменить несколько учетных записей сразу (на больших системах это приходится делать чаше, чем на персональном компьютере), можно воспользоваться утилитой newusers.

Для групп те же функции создания, удаления и модификации выполняют утилиты groupadd, groupdel и groupmod соответственно.

Если вам почему-либо неудобно управлять пользователями из командной строки, можно делать это с помощью графического конфигуратора. На рис. 7.1 показан пример работы system-config-users из дистрибутива Fedora Core 3.

Рис. 7.1. Добавление учетной записи