데비안 사용자 브라우징. Linux 사용자 그룹.

2014 년 3 월 26 일 오후 3시 183 뷰 | 코멘트 없음

입장

기본 부분 시스템 관리 사용자 및 그룹을 구성 및 관리합니다. 이 작업에는 모든 시스템 요소의 로그 모니터링도 포함됩니다.

이 가이드에는 사용자 관리 및 권한 부여에 대한 기본 아이디어가 포함되어 있습니다.

이 모든 개념은 Ubuntu 12.04 서버의 예제에서 고려 될 것이지만, 현대의 모든 Linux 배포판도 같은 방식으로 작동합니다.

일곱 번째 열에는 계정이 잠긴 암호 만료일에 대한 정보가 들어 있습니다. 보시다시피 비밀번호가 만료 된 후에는 항상 0으로 설정되어 있지 않으므로 변경할 수 없으므로 변경할 수 없습니다.

여덟 번째 열에는 만료 날짜가 만료 된시기에 대한 정보가 들어 있습니다. 계정. 관리자가 계정 설정 이외의 다른 것에 관심이없는 임시 계정 설정에 대한 도움말. 이것은 사용자 데이터가 삭제되었음을 의미하지는 않습니다. 등등 시스템에 로그인 할 수있는 계정에 대해서만 액세스가 불가능합니다.

따라서 1 부는 사용자를보고 로그인 한 사용자를 찾는 방법을 알려줍니다.

VPS에서 사용자를 보는 방법

Linux 시스템의 각 사용자는 실제 사람을 위해 생성되었는지 또는 시스템의 개별 서비스 나 기능으로 사용되는지에 관계없이 "/ 등/ passwd».

콜론 아래의 9 번째 열은 다른 용도로 예약되어 있습니다. 시스템 그룹은 어디에 정의되어 있습니까? 즉, 여러 사람이 파일에 액세스해야하는 상황이 있었고 각자 자신의 계정이 있습니다. 그러한 정보를 색인에 포함시키는 것은 해답이 될 수 있으며 정확하게 할 수있는 사람과 그렇지 않은 사람에게 해결책이 될 수 있습니다. 파일을 여러 사람과 공유하거나 공유하는 또 다른 방법이 있습니다. 즉, 사용자 이름을 복제 할 수 있습니다.

이는 매우 특정한 파일 액세스 절로 시작하지 않는 한 관리를 단순화합니다. 따라서 시스템에서 다른 그룹의 존재를 결정하는 후속 항목을 처리합니다. 물론이 목록에는 주 사용자 그룹, 즉 시스템의 루트 그룹과 개별 사용자가 포함됩니다.

이 파일에는 시스템 사용자에 대한 정보가 들어 있습니다. 각 행은 개별 사용자를 설명합니다.

다음을 입력하여 파일을 봅니다.

less / etc / passwd
root : x : 0 : 0 : root : / root : / bin / bash
데몬 : x : 1 : 1 : 데몬 : / usr / sbin : / bin / sh
bin : x : 2 : 2 : bin : / bin : / bin / sh
sys : x : 3 : 3 : sys : / dev : / bin / sh
sync : x : 4 : 65534 : sync : / bin : / bin / sync
게임 : x : 5 : 60 : 게임 : / usr / games : / bin / sh
. . .

각 라인은 필드로 나뉩니다. 이러한 필드는 콜론 문자로 식별됩니다.

첫 번째 열은 그룹 이름을 정의하는 열입니다. 시스템에서 고유해야합니다. 실제 사용자 데이터의 기본 그룹의 경우 해당 이름은 개별 사용자의 사용자 이름과 동일합니다. 두 x 째 필드는 암호의 암호화 된 양식을 포함하는 필드입니다. 현재 암호가 있는지 여부를 나타내는 x 만 있습니다.

그것은 시스템 내에서 고유합니다. 넷째,이 그룹에 속한 사용자 목록이 있습니다. 물론 주인이 그녀에게 배정 될 수도 있습니다. 이 그룹의 소유자, 이 사용자 이 목록에있을 필요는 없습니다. 이렇게하려면 그룹이 추가 그룹 인 경우이 그룹에서 로그인을 찾아야합니다.

현재 우리는 첫 번째 분야에 관심이 있습니다. 여기에는 사용자 이름 목록이 포함됩니다.

이 목록은 다른 방법으로 얻을 수 있습니다.

cut -d : -f 1 / etc / passwd
루트
데몬
빈
sys
동기화
게임들
. . .

이 목록에서 사용자 "root", 즉 관리자 권한을 가진 사용자를 찾을 수 있습니다. 목록의 끝에 현재 작업하고있는 사용자의 이름이 있습니다.

물론, 어떤 비밀 번호, 귀하의 계정에 로그인하는 방법에 대한 질문, 우리는이 세션에서 특정 그룹에 할당됩니다. 그룹 내의 컨텍스트를 전환해도 사용자 컨텍스트는 변경되지 않지만 기본 그룹으로 지정된 그룹 이외의 그룹을 관리하고 파일 그룹을이 그룹의 대표 인 것처럼 탐색 할 수 있습니다. 우리가 소유하고있는 주요 그룹이 우리가 소유하지 않은 주 그룹이나 우리가 배정 된 다른 그룹과 다르다는 사실에 대한 언급은 없었습니다.

이 목록에는 목표가 어느 정도 명확한 다른 많은 사용자가 포함되어 있습니다. 예를 들어, 사용자 " www— 데이터» 웹 서버 프로세스의 소유자입니다.

이는 기능적 특권을 분리하기 위해 수행됩니다. 그렇게하면 사용자 계정이 해킹되거나 오용되면 해당 작업이 격리됩니다.

즉, 기본 그룹의 소유자는 그룹에서 사용자를 제외하고 새 사용자를 추가하여 관리 할 수 있습니다. 따라서 일반 사용자는 자신의 파일 및 디렉토리와 같은 자신의 리소스를 쉽게 관리 할 수 있습니다.

그리고 여기에는 언뜻보기에는 위의 주장과 관련하여 약간의 불일치가 있습니다.이 그룹의 관리자는 정의에 따라 소유자가 될 수 있기 때문에 일부 주인이 아니기 때문에 위의 주장과 관련하여 약간의 모순이 있습니다.

이 필드의 양식은 고정되어 있지 않거나 유효하지 않은 예외를 포함하여 유사합니다. 위와 같이 참가자 목록. 뭔가 잘못되었으므로 탕은 그 라인을 삭제합니다. 물론이 솔루션의 장점은 서버에 계정이없는 사용자의 보안을 강화하는 것이지만이 계정이있는 사용자의 보안을 저하시키는 단점이 있습니다.

서버의 그룹보기

보기 그룹에 해당하는 파일 - 파일 " / 등/ 그룹» .

이 파일을 보려면 다음을 사용하십시오.

less / etc / group
루트 : x : 0 :
데몬 : x : 1 :
bin : x : 2 :
sys : x : 3 :
adm : x : 4 :
tty : x : 5 :
디스크 : x : 6 :
. . .

보시다시피 많은 그룹의 이름이 시스템의 기존 사용자 이름을 반복합니다. 구성 체계의이 부분을 " 사용자사적인단체"("개인 사용자 그룹 ") 또는 UPG.

물론, 외부에서 어떤 로그인이 주 사용자인지를 추측하기 어렵습니다. 이를 위해 일반 계정에 로그인 할 때 작업 관리자를 보는 것이 더 쉽습니다. 그것은 로그인을 열려면 불가능합니다, 그것은 거의 두 번째 비밀 번호와 비슷하지만 그것을 닫으려면 단 하나의 암호 만 찾아야합니다. 왜 안돼?

이것은 또한 "루트"계정을 사용하고 싶지 않고 관리 할 수 있기를 원하는 사람들에게는 재미 있습니다. 암호와 홈 디렉토리를 제공하는 두 명의 새로운 사용자를 만듭니다. 한 사용자는 깨끗한 사람이됩니다. 정상 일거야. 일반 사용자 태양 아래, "사용자"그룹에 속하고 다른 그룹에는 속하지 않습니다. 두 번째 사용자는 우리의 루트입니다. 왜? 이 디렉토리에 디렉토리 관리자가 있다는 사실을 숨기기 위해서. 법과 재산의 뿌리가 적용되지 않거나 오히려 모든 것을 소유하고 모든 것을 올바르게 소유하고 있기 때문에 소유자가 로그인에 동의하게하십시오. 그는 어떤 방식 으로든 방해하지 않을 것입니다.

UPG는 각 사용자에 대해 개인 그룹을 만들고이를 기본 그룹으로 설정합니다. 그런 다음 umask가 022에서 002로 변경됩니다.

이렇게하면 "setgid"라는 플래그를 사용하여 공유 디렉토리를보다 유연하게 사용할 수 있습니다.이 플래그는이 파일이있는 디렉토리의 소유자와 동일한 사용자의 파일 소유자를 설정합니다. 불행히도이 유용한 옵션은이 기사의 범위를 벗어납니다.

디렉토리 관리자이기 때문에이 디렉토리에서 읽지 않는 것이 중요합니다. 수퍼 유저 ID를 변경하고 있습니다. 예를 들어, 새로운 관리자를 설명하는 문자열처럼 보일 수 있습니다. 필드는 기호 ":"로 구분되며 각각의 의미는 다음과 같습니다.

첫 번째 필드는 물론 로그인되어 있습니다. 두 번째 항목은 한 세기 전에 출시되었으며 호환성을 위해 보존되었습니다. 세 번째 입장은 우리에게 관심이있는 입장입니다. 기본적으로 식별자 0은 "루트"그룹입니다. 그레이트 이 파일의 항목 순서는 시스템 성능에 영향을주지 않습니다. 파일을 정렬하고, 혼합하고, 모든 순서를 실행하면 시스템이 올바르게 작동합니다.

다시 "/ etc / group"파일의 정보는 "cut"명령을 사용하여 줄일 수 있습니다.

cut -d : -f 1 / etc / group
루트
데몬
빈
sys
adm
티티
디스크
. . .

그러면 시스템에있는 기존 그룹의 모든 행 목록이 표시됩니다.

로그인 한 사용자 식별 방법

시스템에서 어떤 사용자가 활성 상태인지 찾아내는 것이 유용한 경우가 많습니다.

이 특정 상황 외에도 두 명의 사용자가 동일한 ID를 사용하면 아무 것도 변경되지 않습니다. 이름으로 시스템의 사용자는 로그인 할 때만 식별됩니다. 그런 다음 ID로만 식별됩니다. 그러나 서로 다른 시스템에는 서로 다른 위치 파일이있을 수 있습니다. 이 명령을 실행 한 후 "누가"는 아무 것도 보여주지 않을 것입니다. 왜냐하면 그는 빈 기지가 있기 때문입니다. 로그인 중에 만 표시됩니다.

그러나, 그 후, 루트 엔트리에서 다른 방식으로 숨기는 것이 시스템에서 엉망이었습니다. 따라서이 두 사용자의 초기 우연이 더 적절할 것입니다. 이 경우 각 사용자에 대해 작동합니다. 이 옵션을 특정 사용자 만 사용할 수 있도록 특정 로그인을 입력하기 만하면됩니다. 이것은 로그인을 명시 적으로 제공 할 때 인수가 고려된다는 것을 의미합니다.

팀 " w"현재 활동중인 모든 사용자, 로그인 시간 및 현재 사용중인 명령을 나열하는 간단한 방법입니다.

w
19:37:15 up 5:48, 사용자 2 명, 평균로드 : 0.33, 0.10, 0.07
USER TTY FROM [이메일 보호] 유휴 JCPU PCPU WHAT
루트 pts / 0 rrcs-72-43-115-1 19:15 38.00s 0.33s 0.33s -bash
demoer pts / 1 rrcs-72-43-115-1 19:37 0.00s 0.47s 0.00s w

첫 번째 행에는 시스템 시간에 대한 정보가 들어 있습니다. 다음 줄은 활성 사용자에 대한 정보를 제공합니다.

스크립트는 사용자 입력없이 호출 될 수 있습니다. 따라서 두 양식 모두 정확합니다. 그러나 후자의 경우에만 두 번째. 스크립트를보고 나면 재귀 호출이 표시됩니다. 이것은 첫 번째 매개 변수를 우회하는 것 이상입니다. 따라서 드릴 및 10, 스크립트가 올바르게 실행됩니다. 그는 9 번이나 전화 할 것입니다.

수퍼 유저는 자체 홈페이지를 가질 수 있습니다. 일부 프로그램은 루트 디렉토리에만 구성을 쓰며 루트 디렉토리에만 기록합니다. 첨부 파일은 필요에 따라 수정할 수있는 기성 스크립트입니다. 매뉴얼 시스템 관리자. 섀도 파일은 수퍼 유저 만 읽을 수 있습니다. 파일에는 암호로 보호되는 눈과 암호 해독 프로그램으로부터 보호되는 암호화 된 암호가 저장됩니다. 현재 암호 대체는 거의 모든 시스템에서 기본적으로 사용 가능합니다.

팀 " 누가» ~이다. 대체 방법 이 정보를 얻으십시오 :

누가
루트 pts / 0 2013-09-05 19:15 (rrcs-72-43-115-186.nyc.biz.rr.com)
demoer pts / 1 2013-09-05 19:37 (rrcs-72-43-115-186.nyc.biz.rr.com)

결과

다양한 간단한 도구를 사용하여 단일 작업을 수행하는 많은 방법이 있기 때문에 사용자 인증은 매우 유연한 시스템 관리 영역입니다.

물론 형식과 내용이 다릅니다. 각 행은 콜론으로 구분 된 9 개의 필드로 구성되어 있습니다. 사용자 이름, 암호화 된 암호, 마지막 암호 변경 날짜, 암호 변경 사이의 최소 일 수, 암호 변경 사이의 최대 일 수, 암호가 만료되기 전의 일 수. 필요한 모든 값은 사용자 이름과 암호입니다.

그림자 파일의 일반적인 항목은 다음과 같습니다. 아래는 자세한 설명 이 분야의. 네 번째 필드는 암호 변경 사이에 경과해야하는 일 수를 나타냅니다. 이것은 강제 변경 후에 사용자가 이전 암호를 즉시 재설정 할 수 없도록 사용자가 진정한 암호 변경을하도록 강제해야합니다. 그러나이 기능은 보안 침해가 발생하는 경우 약간 위험 할 수 있습니다. 다섯 번째 필드는 암호 변경 사이의 최대 허용 일 수를 나타냅니다. 일곱 번째 플래그는 암호의 최대 만료 날짜 이후 며칠을 나타내며 계정이 차단 될 때까지 대기합니다. 사용되지 않는 계정은 해커가 가장 좋아하는 대상이며이 기능을 사용하면 이러한 계정을 관리 할 수 있습니다. 여덟 번째 필드는 사용자 계정의 만료 날짜를 나타냅니다. 이 날짜 이후에 관리자가 여기에 값을 입력하지 않으면 사용자는 로그인 할 수 없습니다. 입력란을 비워두면 계정이 만료되지 않습니다. 이 필드에 값을 설정하는 것이 좋습니다. . 그림자 파일의 예제 라인을 다시 살펴 보겠습니다.

이제 서버가 사용자 및 그룹에 대한 정보를 저장하는 위치와 현재 활성 사용자를 볼 수 있습니다.

태그 :,

이 기사에서는 사용자를 만드는 방법, 암호 변경 방법, 사용자에 대한 정보 얻기 또는 전체 삭제, 그룹 작성 / 변경 / 삭제 방법을 배우게됩니다.이 자료를 읽은 후에는이 모든 것을 쉽게 할 수 있습니다.

암호는 180 일 이내에 다시 변경해야하며,이 날짜 이전의 마지막 2 주 동안 밀리미터 사용자에게는 암호 재설정 경고가 수신됩니다. 계정의 만료 날짜가 설정되지 않았습니다. 이는 정기적으로 보안 크래커를 시작하여 잘못된 암호를 탐지 할 때 유용합니다. 이 형식에는 더 이상의 설명이 필요하지 않습니다. 개인 기록 하나 이상의 공백 행으로 구분됩니다.

일부 설정은 사용자 및 다른 포트에 적용됩니다. 각 행은 하나의 그룹에 해당하며 네 개의 필드를 포함합니다. 호환성을 위해 그룹 이름은 8 자로 제한해야하지만 많은 시스템에서는 8 자로 제한해야합니다. 일반적으로 그룹에 암호를 사용하지 마십시오. 매우 드뭅니다.

우리는 사용자와 그룹과 함께 작업하고, Ubuntu Linux에서 사용자, 그룹을 만들고, 그룹으로 이동하고, 다른 그룹으로 이동하는 방법을 배웁니다.

사용자 추가

사용자는 useradd 명령을 사용하여 추가됩니다. 사용 예 :

Sudo useradd vasyapupkin

이 명령은 시스템에 새로운 사용자 vasyapupkin을 작성합니다. 생성 된 사용자의 설정을 변경하려면 다음 키를 사용할 수 있습니다.

우리는 그것을 발견했다. 가장 좋은 방법 이 문제에 대처하려면 시스템 그룹을 기본 로그인 그룹으로 사용하지 마십시오. 일부 시스템은 활성화 비트와 함께 그룹 등록 정보를 사용하여 명령 실행을 제어합니다.

일부 시스템은 사용자가 속할 수있는 그룹 수를 제한합니다. 그러나 그런 관례는 사용자가 부주의 한 액세스 설정을 통해 소유자의 의도가 아니더라도 서로의 파일을 읽을 수있는 가능성을 높였습니다. 이 문제를 방지하려면 각 사용자에 대해 고유 한 그룹을 만드십시오.

열쇠	설명
-b	기본 디렉토리. 이 폴더는 사용자의 홈 폴더가 생성 될 디렉토리입니다. 기본값 / home
-와	댓글 그 안에는 텍스트를 인쇄 할 수 있습니다.
-d	홈 디렉토리의 이름. 기본적으로 이름은 작성중인 사용자의 이름과 일치합니다.
-e	사용자가 비활성화 될 날짜입니다. YYYY-MM-DD 형식으로 지정됩니다. 기본적으로 사용하지 않도록 설정되어 있습니다.
-f	계정 잠금 값이 0이면 암호가 만료 된 직후에 레코드가 차단되고 -1에서는 차단되지 않습니다. 기본값은 -1입니다.
-g	기본 사용자 그룹. GID 또는 그룹 이름을 지정할 수 있습니다. 매개 변수를 지정하지 않으면 사용자 이름과 이름이 일치하는 새 그룹이 작성됩니다.
-G	사용자가 생성 될 그룹 목록
-k	템플릿 카탈로그. 이 디렉토리의 파일과 폴더는 사용자의 홈 폴더에 저장됩니다. 기본값은 / etc / skel입니다.
-m	키는 홈 폴더를 만들어야 함을 나타냅니다. 기본 홈 폴더 만들어지지 않았다..
-p	사용자 비밀번호. 기본적으로 암호는 설정되어 있지 않습니다.
-s	사용자가 사용하는 쉘. 기본값은 / bin / sh입니다.
-u	수동으로 UID를 사용자에게 설정하십시오.

기본 사용자 생성 옵션

사용자 생성시 추가 pricker가 지정되지 않으면 기본 설정이 적용됩니다. 이 설정은 다음 작업을 통해 볼 수 있습니다.

Useradd -D

결과는 다음과 같습니다.

GROUP = 100HOME = / home INACTIVE = -1EXPIRE = SHELL = / bin / shSKEL = / etc / skel CREATE_MAIL_SPOOL = 아니오

이러한 설정에 만족하지 않으면 실행하여 변경할 수 있습니다.

Useradd -D-ms / bin / bash

여기서 -m 및 -s는 위의 표에서 가져온 키입니다.

사용자 변경

사용자 설정은 usermod 유틸리티를 사용하여 변경됩니다. 사용 예 :

Sudo usermod -c "이 명령은 사용자에게 주석을 변경합니다"vasyapupkin

usermod는 useradd와 동일한 옵션을 사용합니다.

비밀번호 변경

사용자는 passwd 유틸리티를 사용하여 암호를 변경할 수 있습니다.

Sudo passwd vasyapupkin

키 passwd 키 :

사용자에 대한 정보 얻기

w - 로그인 한 모든 사용자에 대한 정보 출력 (사용자 이름, 쉘, 로그인 시간 등).

whoami - 사용자 이름 표시.

사용자 - 시스템에서 작업하는 사용자의 이름을 표시합니다.

groups username - 사용자가 구성된 그룹 목록을 표시합니다.

사용자 삭제 중

사용자를 제거하려면 userdel 유틸리티를 사용하십시오. 사용 예 :

Sudo userdel vasyapupkin

userdel에는 두 개의 기본 키만 있습니다.

그룹 관리

그룹 생성

groupadd 프로그램은 지정된 값에 따라 새 그룹을 작성합니다. 명령 행 및 시스템 기본값. 사용 예 :

Sudo groupadd 테스트 그룹

주요 키 :

/ etc / passwd

파일 있음 / etc / passwd 암호를 제외한 모든 사용자 정보가 저장됩니다. 이 파일의 한 행은 한 명의 사용자 설명에 해당합니다. 대략적인 내용은 다음과 같습니다.

Vasyapupkin : x : 1000 : 1000 : Vasya Pupkin : / home / vpupkin : / bin / bash

문자열은 여러 필드로 구성되며 각 필드는 콜론으로 구분됩니다. 각 필드의 값은 표에 나와 있습니다.

두 번째 필드와 마지막 필드는 선택 사항이며 중요하지 않을 수 있습니다.

/ etc / group

있음 / etc / group그룹에 대한 이름 정보에서 명백한 바와 같이 저장됩니다. 유사한 형태로 기록됩니다. / etc / passwd 다음과 같이

Vasyapupkin : x : 1000 : vasyapupkin, petya

이 파일에서 두 번째 및 네 번째 필드는 비어있을 수 있습니다.

/ etc / shadow

파일 / etc / shadow 따라서 암호를 유지하므로이 파일에 설정된 권한으로 단순한 사용자가 읽을 수 없습니다. 이 파일의 항목 중 하나의 예제는 다음과 같습니다.

Vasyapupkin : $ 6 $ Yvp9VO2s $ VfI0t.o754QB3HcvVbz5hlOafmO.

GUI를 통한 사용자 및 그룹 관리

Ubuntu의 현재 버전에는 시스템의 사용자 그룹을 관리하기위한 일반적인 유틸리티가 없으므로 기본적으로 그룹의 모든 작업은 콘솔에서 수행해야합니다. 그러나 이러한 목적을 위해 특별한 유틸리티 "사용자 및 그룹"이 있습니다.

그룹 관리를위한 GUI GUI 설치

gnome-system-tools 패키지는 Ubuntu 저장소에 있으므로 하나의 명령에 넣습니다.

sudo apt-get install gnome-system-tools

그룹 관리

그룹을 추가, 삭제하고 특정 그룹에 사용자를 추가 / 삭제하려면 Ubuntu / Dash 메뉴 - 시스템 유틸리티 - 관리 - 사용자 및 그룹으로 이동 한 다음이 창에서 "그룹 관리"버튼을 클릭하고, 시스템에있는 모든 그룹을 표시합니다.

오른쪽 그룹을 선택하고 "등록 정보"를 클릭하면 그룹에 추가하려는 사용자를 체크 할 수 있습니다.