Dogadać się z Linuksem. Zarządzanie kontem

Transkrypt

1 1 (Pobrane z slow7.pl) Dogadać się z Linuksem. Zarządzanie kontem użytkownika. Na początek zacznijmy od omówienia informacji zawartych w plikach: /etc/shadow oraz /etc/passwd gdyż w tych dwóch plikach są zapisane informacje dotyczące stworzonych kont użytkowników a opisywane narzędzia do tych danych często będą sięgały. Plik /etc/passwd jest plikiem tekstowym w którym przechowywana jest informacja na temat zdefiniowanej nazwy użytkownika wraz z przydzielonym identyfikatorem. Zawartość tego pliku przedstawia się następująco: Uważny Czytelnik na pewno zauważy, że każdy wiersz w pliku /etc/passwd reprezentuje jednego użytkownika a ten bardziej dociekliwy, że w wierszu tym znajduje się siedem pól oddzielonych od siebie dwukropkami (:). Każde z pól przechowuje inną informację o użytkowniku. Definicja pól obejmuje:

2 2 (Pobrane z slow7.pl) 1 - nazwę użytkownika, 2 - hasło użytkownika - hasło w systemie Linux nie jest zapisywane w sposób jawny a jego lokalizacja to plik /etc/shadow Znak x widoczny w drugim polu pliku /etc/passwd oznacza właśnie, że hasła należy szukać w wspomnianym pliku /etc/shadow Przeglądając plik /etc/passwd możemy natknąć się również na znak * oznaczający niemożność zalogowania się do systemu zaś puste pole (dwa dwukropki obok siebie) oznacza brak zdefiniowanego hasła (logowanie bez hasła). 3 - identyfikator użytkownika (ang. user ID - czyli UID) - numer opisujący danego użytkownika. Dozwolone jest by numer UID w systemie był powielony lecz może prowadzić to do nieoczekiwanych błędów dlatego przyjmuje się niepowtarzalność identyfikatora UID. 4 - identyfikator grupy podstawowej (ang. group ID - czyli GID) - identyfikator określa przynależność do grupy o danym identyfikatorze. Powiązanie nazwy grupy z identyfikatorem znajduje się w pliku /etc/group, 5 - pole GECOS - prawdziwa nazwa użytkownika. W polu tym mogą być również zapisane inne informacje np. numer telefonu. Informacje te od siebie oddzielone są przecinkiem, 6 - lokalizacja katalogu domowego użytkownika, 7 - powłoka użytkownika. Analizując zrzut na którym przedstawiono przykładowy plik /etc/passwd można wyróżnić szereg kont nie będących przypisanych do konkretnych osób, konta te należą do tzw. użytkowników specjalnych. Konta te przynależne są usługom a także użytkownikom, którzy wymagają specjalnych uprawnień. Np. superużytkownik (root) identyfikator UID oraz GID zawsze ma zdefiniowany na wartość 0 zaś użytkownik nobody jest kontem, któremu odebrano prawo do zapisu. W literaturze można spotkać się z określeniem nazywającym takie konta jako pseudoużytkownicy. Z reguły za pomocą takich kont nie można zalogować się do systemu lecz sam system konta te może używać do uruchamiania procesów. Plik /etc/shadow standardowo przechowuje informację na temat uwierzytelniania użytkowników tj. dane na temat hasła i jego ważności. Przykładowy plik /etc/shadow pokazano na rysunku poniżej.

3 3 (Pobrane z slow7.pl) Poszczególne pola pliku i ich opis: 1 - nazwa użytkownika - nazwa ta jest tożsama z nazwą w pliku /etc/passwd Nazwa łączy wpis hasła z polem użytkownika. 2 - zaszyfrowane hasło - skrót funkcji MD5, 3 - data ostatniej zmiany hasła - czas ostatniej modyfikacji hasła, pole to jest wypełniane przez polecenie passwd. 4 - minimalna liczba dni między zmianami hasła - określa liczbę dni, które muszą upłynąć między zmianami hasła 5 - maksymalna liczba dni między zmianami hasła - określa maksymalną liczbę dozwolonych dni między zmianami hasła. Rzeczywista maksymalna liczba dni jest sumą wartości tego pola oraz wartości z pola siódmego (tzw. okres łaski). 6 - liczba dni określającą komunikat o wygaśnięciu hasła, 7 - liczba dni definiowana od czasu wygaśnięcia hasła, po upływie których konto zostanie wyłączone, 8 - data ważności konta - dzień (liczony od 1 stycznia 1970 roku) wygaśnięcia konta użytkownika. Po przekroczeniu tej daty użytkownik traci możliwość logowania. 9 - pole zarezerwowane - do wykorzystania w przyszłości

4 4 (Pobrane z slow7.pl) Aby założyć konto nowemu użytkownikowi możemy wykorzystać polecenie: useradd Ogólna składnia polecenia wygląda następująco: useradd <opcje> nazwa_użytkownika Poniżej na listeningu przykład utworzenia konta dla użytkownika: jankow 1 - za pomocą polecenia: useradd jankow zostaje utworzone nowe konto, 2 - zmiana użytkownika, 3 - sprawdzenie za pomocą komendy: whoami nazwy aktualnego użytkownika. Po utworzeniu nowego konta warto zadbać o przypisanie do niego hasła. Administrator systemu zmianę hasła pozostawił użytkownikowi jankow. Tak więc użytkownik za pomocą polecenia: passwd próbuje takową operację wykonać. Niestety po wydaniu polecenia napotykamy na nieoczekiwany problem a mianowicie system prosi nas o podanie aktualnego hasła. O jakie hasło chodzi? Przecież jedynie zostało utworzone tylko konto, hasło zaś nie było definiowane. Utworzenie użytkownika w ten sposób powoduje wyłączenie konta poprzez wstawienie znaku x w polu przeznaczonym na hasło (plik /etc/passwd).

5 5 (Pobrane z slow7.pl) Jak już wiesz znak x celem identyfikacji hasła odsyła do pliku /etc/shadow lecz pole hasła zawiera znak! którego obecność skutecznie blokuje zmianę hasła. Aby użytkownik jankow mógł samemu zdefiniować hasło należy w pliku /etc/passwd w linii odpowiadającej danemu użytkownikowi w polu hasła wykasować znak x. Oczywiście zmianę tą musi wykonać użytkownik root.

6 6 (Pobrane z slow7.pl) Po przeprowadzonej modyfikacji i po ponownym wydaniu polecenia: passwd nie będziemy już proszeni o podanie aktualnego hasła lecz będziemy mogli od razu przypisać nowe hasło. Znacznie lepszym rozwiązaniem jest utworzenie konta i przypisanie nowo utworzonemu kontu hasła. Poniżej na przykładzie utworzenie konta dla użytkownika tadnow (punkt 1) oraz przypisanie hasła (punkt 2). Wszystkie operację wykonał użytkownik root.

7 7 (Pobrane z slow7.pl) Oczywiście polecenie useradd pozwala na skonfigurowanie szerszej gamy opcji związanych z tworzonym kontem. W zależności od potrzeb możemy zdefiniować np. czas po którym konto zostanie wyłączone, do jakiej grupy podstawowej użytkownik ma należeć, czy określić lokalizację katalogu domowego. Poniżej przedstawiono przykład utworzenia konta użytkownika sonkie przy czym dodatkowo za pomocą parametru -e zdefiniowano ważność konta tj. datę do kiedy konto jest aktywne. Uruchomienie polecenia useradd z opcją -D, spowoduje wyświetlenie informacji o domyślnych ustawieniach. Ustawienia te są definiowane w pliku: /etc/default/useradd Modyfikacja i definicja tych parametrów pozwala nam na tworzenie kont z góry określonymi opcjami. GROUP - nazwa lub ID grupy domyślnej, HOME - katalog określający folder przechowywania katalogów domowych użytkowników,

8 8 (Pobrane z slow7.pl) INACTIVE parametr określa liczbę dni od daty wygaśnięcia hasła po której następuje blokada konta. Wartość: -1 - opcja jest wyłączona, wartość: 0 wygaśnięcie ważności hasła powoduje automatyczną blokadę konta, wartość: dodatnia (liczba) ilość dni. EXPIRE - data wyłączenia konta, SHELL - nazwa powłoki systemowej użytkownika, SKEL lokalizacja katalogu z którego zostaną skopiowane pliki i foldery do katalogu domowego nowo utworzonego użytkownika. Aby dokonać zmiany opcji domyślnych wykorzystujemy polecenie, którego ogólna składnia przedstawia się następująco: useradd -D <opcje> Tak więc np. chcąc ustalić datę wygaśnięcia konta na (patrz rysunek powyżej) należy użyć polecenia z opcją: -e po której określamy datę w formacie YYYY-MM-DD useradd -D -e Opcje domyślne narzędzia useradd możemy również określić poprzez bezpośrednie edytowanie pliku - /etc/default/useradd Inne przydatne opcje związane z poleceniem: useradd przedstawiono poniżej: -s <powłoka> - określenie powłoki użytkownika,

9 9 (Pobrane z slow7.pl) -d <katalog_domowy> - określenie lokalizacji katalogu domowego użytkownika, -u <wartość> - określenie identyfikatora UID, -g <nazwa_grupy> - definicja grupy podstawowej użytkownika, -G <nazwa_grupy>,<nazwa_grupy> - definicja grup, których członkiem stanie się użytkownik, -m - zdefiniowanie ustawień konta poprzez skopiowanie plików z szablonu (katalog: /etc/skel>, gdy pliki konfiguracyjne znajdują się w innym katalogu należy użyć przełącznik -k. Innym narzędziem, którym możemy posłużyć się aby utworzyć konto użytkownika jest adduser. Wykonanie operacji utworzenia konta sprowadza się do wydania polecenia: adduser <nazwa_konta> i po udzieleniu odpowiedzi na postawione pytania konto użytkownika zostaje założone. Poniżej na rysunku przykład wykorzystania narzędzia adduser do utworzenia konta użytkownika tomwal. Aby danemu użytkownikowi zdefiniować hasło to jak już wiesz Czytelniku należy posłużyć się poleceniem passwd. Ale narzędzie oprócz zmiany/ustalenia hasła pozwala nam na wykonie jeszcze kilku czynności. Ogólna składnia polecenia jest następująca: passwd <opcje> <konto_użytkownika> Bez zdefiniowania parametrów, poprzez wydanie samej komendy: passwd następuje zmiana hasła użytkownika w kontekście, którego polecenie zostało wydane. Aby poznać zdefiniowane opcje powiązane z naszym hasłem możemy posłużyć się poleceniem passwd z ustawioną flagą -S passwd -S Po wydaniu polecenia uzyskamy informację o: login, status hasła L - hasło jest zablokowane, NP - brak ustalonego hasła, P hasło jest

10 10 (Pobrane z slow7.pl) ustawione, data ostatniej zmiany hasła, minimalny czas życia hasła, maksymalny czas życia hasła czas ostrzeżenia o zmianie hasła, oraz nieaktywny okres czasu hasła. Czas ten wyrażony jest w dniach. liczba dni po której następuje blokada konta. Zastosowanie flagi -e wraz w połączeniu z nazwą konta spowoduje wymuszenie zmiany hasła. Poniżej przedstawiono przykład wymuszenia zmiany hasła na koncie beatry (punkt 1). Po zmianie konta jesteśmy poinformowani o potrzebie natychmiastowej zmiany hasła (punkt 2). Użytkownik za pomocą narzędzia passwd dokonuje próby jego zmiany (punkt 3). W pierwszym podejściu hasła nie udaje się zmienić z powodu zdefiniowania zbyt prostego hasła hasło: qwerty (punkt 4). Drugie podejście również kończy się niepowodzeniem - powód - zdefiniowane hasło jest identyczne z poprzednim (punkt 5). Dopiero trzecia próba kończy się sukcesem (do trzech razy sztuka - punkt 6).

11 11 (Pobrane z slow7.pl) Ustalenie minimalnego czasu życia hasła dokonujemy za pomocą przełącznika -n zaś wartość maksymalną możemy określić poprzez zastosowanie flagi -x. Użycie któregokolwiek z przełączników wymusza na nas określenie wartości dni konfigurowanej opcji. Czas ostrzeżenia o potrzebie dokonania zmiany hasła określimy z wykorzystaniem przełącznika -w. Zaś hasło skasujemy z wykorzystaniem flagi -d. Poleceniem, które pozwoli nam na zmodyfikowanie parametrów utworzonych kont jest usermod. Poniżej przykład wykorzystania komendy usermod do odblokowania konta, które wygasło. Po zmianie konta użytkownika na beatry uzyskujemy komunikat o wygaśnięciu konta (punkt 1). Aby konto znów stało się aktywne należy ustalić nową datę wygaśnięcia konta. Nowa data zostaje ustalona z wykorzystaniem komendy usermod oraz flagi -e (punkt 2 - data wygaśnięcie konta zostaje ustalona na 3 marca 2016). Po ponownej zmianie konta na beatry (punkt 3) jesteśmy poinformowani o zbliżającym się terminie wygaśnięcia hasła tak więc za pomocą już omówionego polecenia: passwd ustalamy nowe hasło.

12 12 (Pobrane z slow7.pl) Polecenie: usermod posiada przełącznik, który możemy wykorzystać do zablokowania dostępu do konta (brak możliwości zalogowania). Aby dane konto stało się nie aktywne wykorzystujemy do tego flagę: -L (po uaktywnieniu próba zalogowania się kończy się komunikatem o nieprawidłowym haśle).poniżej na przykładzie wyłączenie konta alebin. Aby konto, znów działało należy wykorzystać opcję: -U.

13 13 (Pobrane z slow7.pl) Kasowanie konta odbywa się za pomocą polecenia: userdel. Na zrzucie poniżej przykład usunięcia konta użytkownika tomwal. Wydanie polecenia kasowania konta usunie konto z systemu lecz zostaną pozostawione pliki użytkownika w jego katalogu domowym. Aby usunąć również pliki do polecenia userdel należy dodać parametr -r. Z zasady użytkownicy swoje pliki powinni trzymać w swoim katalogu domowym lecz często zdarza się, że pliki są zapisywane w różnych lokalizacjach. Aby system po użytkowniku dokładnie posprzątać warto wyszukać i usunąć wszystkie pliki przynależne kasowanemu użytkownikowi. Aby odszukać takowe pliki należy skorzystać z polecenia: find / -user <nazwa_użytkownika> Skryptem, który pozwoli nam na sprawdzenie integralność plików /etc/passwd oraz /etc/shadow jest: pwck Wydanie polecenia sprawi, że pliki zostaną sprawdzone pod kątem składni oraz zawartych odwołań. Aby wyświetlić same informacje (tryb tylko do odczytu) należy posłużyć się flagą -r Wydanie samego polecenia pwck w razie wykrycie problemu wyświetli komunikat z zapytaniem o potwierdzenie wykonania danej operacji.

14 14 (Pobrane z slow7.pl) Polecenie: logname odpowiedzialne jest za wyświetlenie nazwy logowania danego użytkownika. Polecenie, które możemy wykorzystać aby poznać poświadczenia aktualnie aktywnego użytkownika jest komenda: whoami Uzyskane wyniki mogą być różne od tych uzyskanych dzięki poleceniu: logname gdyż za pomocą komendy: su można zmienić kontekst wywoływanych poleceń (czytaj - wykonać polecenie z poświadczeniami innego użytkownika). Poniżej zaprezentowano różnicę pomiędzy tymi poleceniami. Ktoś mógłby zapytać - Do czego użyć obie komendy? Przecież dane użytkownika widać w prompt-cie linii poleceń. Tak, zgadza się domyślnie skonfigurowany prompt zawiera informację o użytkowniku ale przecież nie zawsze tak musi być. Dodatkowo oba polecenia przydatne są podczas tworzenia skryptów.

15 15 (Pobrane z slow7.pl) Polecenie: who pozwala nam na poznanie użytkowników, którzy są aktualnie zalogowani. Standardowo polecenie dane o użytkownikach pobiera z pliku /var/run/utmp W definicji wywołania polecenia można zmienić domyślną lokalizację pliku z danymi. I tak określając: /var/log/wtmp otrzymamy informację o poprzednich logowaniach, zaś gdy zdefiniujemy /var/log/btmp powinnyśmy uzyskać dane o nieudanych logowaniach (pod warunkiem, że system jest skonfigurowany do gromadzenia takich informacji). Poniżej przykład obrazujący informację o poprzednich logowaniach. Z poleceniem: who możemy użyć dodatkowe przełączniki:

16 16 (Pobrane z slow7.pl) -a - wszystkie informacje, -H - wypisanie nagłówka, -q - wyświetlenie jedynie nazw i liczby użytkowników, --lookup - rozwiązanie nazwy komputera (DNS) z którego nastąpiło logowanie, flaga dotyczy użytkowników zalogowanych zdalnie, -T - sprawdza czy jest możliwość wysłania komunikatu (np. gdy użytkownik korzysta z terminalu). Znak: + oznacza możliwość komunikacji, znak: - brak możliwości wysłania komunikatu natomiast znak:? oznacza brak możliwości określenia. Poniżej przykład użycia flagi -T Po analizie uzyskanych wyników można stwierdzić, że istnieje możliwość wysłania komunikatu do użytkownika: alebin Tak więc spróbujmy tą informację wykorzystać. Lecz jeszcze jedna mała uwaga aby komunikacja zakończyła się sukcesem należy wydać polecenie: mesg y Wydanie polecenia zezwala na prowadzenie takiego typu komunikacji (polecenie: mesg n - zabrania, status poznamy po wydaniu komendy: mesg). Aby móc wysłać informacje do użytkownika alebin należy skorzystać z polecenia: write Poniżej przykład użycia takiej formy komunikacji (po stronie użytkownika luk, kończenie komunikatu następuje po wciśnięciu kombinacji klawiszy ^D) I ta sama wiadomość od strony użytkownika alebin.

17 17 (Pobrane z slow7.pl) Aby za jednym zamachem wysłać komunikat do wszystkich zalogowanych użytkowników należy skorzystać z polecenia: wall Po wydaniu polecenia, definiujemy komunikat, wysłanie informacji następuje po wybraniu ^D. Komunikat został wysłany do wszystkich użytkowników mogących go otrzymać (czytaj korzystających z terminala) W przykładzie informacje otrzymuje dwóch użytkowników: alebin oraz tomwal

18 18 (Pobrane z slow7.pl) Aby uzyskać listę aktualnie zalogowanych użytkowników możemy również posłużyć się poleceniem: users Po wydaniu komendy zostanie wypisana lista zawierająca aktywne konta. Finger jest jeszcze jednym poleceniem, po wydaniu, którego uzyskamy listę użytkowników korzystających z systemu. Wydanie samego polecenia bez żadnych opcji spowoduje uzyskanie listy zalogowanych użytkowników. Natomiast, gdy do polecenia finger zostanie dodana nazwa użytkownika dane zostaną poszerzone o dodatkowe informacje.

19 19 (Pobrane z slow7.pl) Z poleceniem finger dostępne są następujące opcje: -s - wypisanie danych w formie skróconej, -l - wypisanie danych w formie rozszerzonej. Poleceniem, które jest powiązane z komendą finger jest chfn. Komenda ta pozwala nam na zmianę niektórych informacji, które są związane z użytkownikiem - prawdziwe imię i nazwisko, numery telefonów czy miejsce pracy. Zmianę informacji dokonujemy za pomocą polecenia: chfn <nazwa_użytkownika>

20 20 (Pobrane z slow7.pl) Ostatnim poleceniem, które chciałbym przedstawić a dotyczącym poznania użytkowników aktualnie zalogowanych jest komenda: w Z wykorzystaniem polecenia: who mogliśmy poznać historię poprzednich logowań. Informację taką również uzyskamy dzięki poleceniu: last Dane są ułożone w kolejności chronologicznej od logowania bieżącego po logowania starsze.

21 21 (Pobrane z slow7.pl) Komenda last ma trochę więcej możliwości niż zaprezentowane wcześniej polecenie who. Dostępne są następujące przełączniki: -f <nazwa_pliku> - określenie innego źródła informacji niż standardowy plik var/run/utemp, -i - nazwy komputerów z których nastąpiło logowanie zostają zastąpione adresami IP, -R - bez nazw komputerów, -n <wartość> - wypisanie danych o logowaniach obejmujących ostatnie n wierszy (można użyć składni np. last -3), <użytkownik> - wyświetlenie historii logowań dotyczących konkretnego użytkownika,

22 22 (Pobrane z slow7.pl) Aby poznać historię logowań dotyczących danego okresu można wykorzystać przełącznik -t Po zdefiniowaniu flagi określamy interesujący nas okres. Data jest definiowana za pomocą formatu: YYYYMMDDHHMMSS (w przypadku pominięcia, którejś z informacji uzupełniamy zerami). Natomiast by poznać datę ostatniego restartu systemu należy skorzystać z przełącznika reboot wydanie polecenia ukazuje datę i godzinę ostatniego restartu systemu. Jeszcze kolejnym programem pozwalającym przejrzeć historię logowań ale w kontekście tych nieudanych jest: faillog Aby wyszukać błędne logowania konkretnego użytkownika należy w składni polecenia użyć przełącznik -u po którym definiujemy nazwę konta. Aby odszukać nieudane logowanie w konkretnym okresie należy posłużyć się przełącznikiem -t Użycie flagi -a spowoduje wyświetlenie wszystkich informacji. Jak już jesteśmy przy logowaniu to krótka porada pozwalająca nam podnieść poziom bezpieczeństwa naszego systemu na trochę wyższy pułap. Często przydaje się włączenie blokowania konta po wprowadzeniu określonej liczby błędnych haseł. Porada ta zabezpieczy nas przed sytuacją w której dany użytkownik poprzez zgadywanie próbuje uzyskać dostęp do konta.

23 23 (Pobrane z slow7.pl) Aby włączyć blokowanie konta po n razy błędnie wprowadzonym haśle należy edytować plik: /etc/pam.d/common-auth (w innych systemach Linux plik może przyjmować nazwę: /etc/pam.d/system-auth). Po otwarciu pliku należy dodać linijkę: auth required pam_tally.so onerr=fail deny=<ilość_dozwolonych_prób> unlock_time=<czas_odblokowania> gdzie: deny=<ilość_dozwolonych_prób> - ilość prób po których następuje blokada, unlock_time=<czas_odblokowania> - czas automatycznego odblokowania konta, po tym czasie możliwe jest podjęcie zalogowania. Informacja o podjętych próbach logowania jest przetrzymywana w pliku: /var/log/faillog

24 24 (Pobrane z slow7.pl) Po definicji wszystkich ustawień możemy przeprowadzić próbę logowania. W naszym teście użytkownik jankow trzy razy wpisuje błędne hasło. Jak widać powyżej konto użytkownika: jankow zostało zablokowane. Aby ponowić próbę logowania musimy odczekać zdefiniowaną wartość czasu. Możliwe jest przez administratora ręczne wymuszenie zresetowania progu logowań. Aby sprawdzić ilość błędnych prób logowań wydajemy polecenie: pam_tally --user <nazwa_użytkownika> aby zaś zresetować próg należy wprowadzić komendę: pam_tally --user <nazwa_użytkownika> --reset Innym poleceniem, które pozwala nam na poznanie trochę więcej informacji o użytkowniku jest komenda: id Przyglądnijmy się więc wynikom uzyskanym po wydaniu polecenia. Wydanie komendy pozwala nam poznać numer UID (ang. user ID) oraz GID (ang. primary group ID). Numery te nadawane są kontu użytkownika w trakcie procesu tworzenia. Na zrzucie poniżej identyfikatory konta root oraz luk.

25 25 (Pobrane z slow7.pl) Przeglądając wyniki stwierdzamy, że użytkownik root ma przypisaną wartość 0 dla identyfikatora UID oraz GID natomiast użytkownik luk wartość 1000 (w systemie Ubuntu numerowanie kont użytkowników rozpoczyna się od 1000 w innych dystrybucjach wartość ta może być inna np. w Fedora numeracja rozpoczyna się od 500). Dodanie kolejnego użytkownika z reguły prowadzi do zwiększenia wartości identyfikatorów UID oraz GID o jeden. Poniżej przykład zdefiniowania nowego konta tadnow Jak widzimy wartości UID oraz GID wynoszą 1001 (wartości te poznajemy podczas procesu tworzenia konta oraz dzięki poleceniu id). Dla naszej wygody, szczególnie ma to znaczenie w przypadku gdy zarządzamy dużą grupą użytkowników (ciężko by było te numery pamiętać) wartości UID i GID są mapowane na nazwę użytkownika bądź nazwę grupy. Informacje o mapowaniu dotyczące użytkownika pobierane są z opisanego już pliku /etc/passwd natomiast grupy - z pliku /etc/group. Poniżej na zrzucie zawartość pliku /etc/group

26 26 (Pobrane z slow7.pl) Dla małego przypomnienia celowość tworzenia grup i przypisywania do nich użytkowników jest związana z nadawaniem uprawnień. Ze względu na to, że grupa jest traktowana jako jednostka przypisane uprawnienia do grupy np. dostęp do określonego zasobu spowoduje nadanie uprawnienia wszystkim użytkownikom grupy. W systemie Linux do zarządzania grupami można wykorzystać jedno z kilku poleceń a do najczęściej wykorzystywanych należy komenda: groupadd (analogicznie jak useradd) odpowiedzialna za utworzenie grupy. Składnia polecenia: groupadd <nazwa_grupy> Poniżej przykład utworzenia dwóch grup: marketing oraz finanse Jak można zauważyć fakt utworzenia grup ma swoje odzwierciedlenie w pliku: /etc/group

27 27 (Pobrane z slow7.pl) Aby samemu określić identyfikator grupy GID należy do tego celu wykorzystać przełącznik -g. Stan przynależności do grupy poszczególnego użytkownika można sprawdzić z wykorzystaniem polecenia: groups. Wydanie samego polecenia spowoduje wyświetlenie członkostwa w grupach użytkownika w kontekście, którego zostało wydane polecenie. Dołączenie nazwy użytkownika spowoduje wyświetlenie członkostwa zdefiniowanego użytkownika. Zmianę członkostwa w grupie dokonamy za pomocą polecenia: usermod z parametrem -g bądź -G Dołączenie parametru -g i zdefiniowanie po nim nazwy grupy spowoduje zastąpienie początkowej grupy (taka sytuacja ma miejsce w Ubuntu w innych dystrybucjach nastąpi dopisanie użytkownika do

28 28 (Pobrane z slow7.pl) zdefiniowanej w poleceniu grupy). Poniżej użytkownik tadnow zmienia członkostwo z grupy domyślnej tadnow na grupę finanse. Definicja grupy może nastąpić z wykorzystaniem identyfikatora GID (użycie w definicji identyfikatora powoduje dodanie użytkownika do danej grupy, bez zastąpienia) oraz co ważne definiowane grupy muszą istnieć. Natomiast wybranie flagi -G spowoduje dodanie użytkownika do określnych grup. Poniżej przykład dodania użytkownika tadnow do grupy finanse oraz marketing. Po wydaniu polecenia użytkownik tadnow nadal jest członkiem domyślnej grupy tadnow. Do modyfikacji parametrów grupy służy polecenie: groupmod Za pomocą komendy można dokonać modyfikacji nazwy grupy bądź jej identyfikatora GID. Niżej przykład zmiany nazwy grupy finanse na biznes. Jak widać po dokonanej zmianie automatycznie zmienia się członkostwo użytkownika tadnow. Aby dokonać zmiany nazwy należy w poleceniu groupmod użyć przełącznik -n natomiast gdy dokonujemy modyfikacji identyfikatora GID używamy flagi -g. Aby usunąć grupę należy skorzystać z polecenia: groupdel Składnia polecenia jest następująca: groupdel <nazwa_grupy>

29 29 (Pobrane z slow7.pl) Przed skasowaniem grupy tak jak to miało miejsce w przypadku konta użytkownika warto zapoznać się z plikami, które do danej grupy należą, wyświetlenie plików przynależnych danej grupie uzyskamy za pomocą polecenia: find / -group <nazwa_grupy> -print Poniżej przykład z wykorzystaniem polecenia celem odnalezienia plików należących do grupy luk. Podobnie działającym skryptem do przedstawionego już pwck, lecz tym razem sprawdzającym integralność pliku /etc/group jest grpck. Wywołanie skryptu spowoduje wykonanie sprawdzenia składni informacji zawartych w pliku.

30 30 (Pobrane z slow7.pl) I na tym chciałbym zakończyć w kolejnej odsłonie zajmiemy się poleceniami związanymi z urządzeniami. BIBLIOGRAFIA: