Product SiteDocumentation Site

8.4. Bruker- og gruppedatabaser

Listen over brukere er vanligvis lagret i /etc/passwd-filen, mens /etc/shadow-filen lagrer tilhørende passordsjekksummer. Begge er tekstfiler i relativt enkelt format, som kan leses og endres med en tekstbehandler. Hver bruker er oppført på sin egen linje med flere felt adskilt med kolon («:»).

MERK Redigering av systemfiler

Systemfilene nevnt i dette kapitlet er alle rene tekstfiler, og kan redigeres med en tekstbehandler. Tatt i betraktning betydningen deres for kjernesystemets funksjonalitet, er det alltid en god idé å ta ekstra forholdsregler når du redigerer systemfiler. Først, lag alltid en kopi eller sikkerhetskopi av en systemfil før du åpner eller endrer den. Dernest, ta ekstra forholdsregler for å beskytte filen slik at den ikke blir skadet på tjenere eller maskiner der mer enn én person som potensielt kan få tilgang til samme fil samtidig.
For dette formålet er det nok å bruke vipw-kommandoen for å redigere /etc/passwd-filen, eller vigr for å redigere /etc/group. Disse kommandoene låser den aktuelle filen før du kjører tekstbehandleren (vi som forvalg, om ikke EDITOR-miljøvariabelen har blitt endret). -s-valget i disse kommandoene tillater redigering av den overensstemmende shadow-filen.

DET GRUNNLEGGENDE Crypt, en enveisfunksjon

crypt er en enveisfunksjon som endrer en streng (A) til en annen streng (B) på en måte som A ikke kan avledes fra B. Den eneste måten å identifisere A på er å teste alle mulige verdier, og sjekke hver og en for å avgjøre om funksjonsendringen vil produsere B eller ikke. Den bruker opp til 8 tegn som inndata (streng A), og genererer en streng på 13, utskriftsbare, ASCII-tegn (streng B).

8.4.1. Brukerliste: /etc/passwd

Her er listen over feltene i /etc/passwd-filen:
  • innloggingsnavn, for eksempel sundquist;
  • password: Dette er et passord kryptert med en enveisfunksjon (crypt), som støtter seg på DES, MD5, SHA-256, eller SHA-512. Spesialverdien «x» indikerer at det krypterte passordet er lagret i /etc/shadow;
  • uid: unikt nummer som identifiserer hver bruker;
  • gid: unikt nummer for brukerens hovedgruppe (Debian lager en bestemt gruppe for hver bruker som forvalg);
  • GECOS: datafelt som vanligvis inneholder brukerens fulle navn;
  • innloggingsmappe, tildelt til brukeren for oppbevaring av deres personlige filer (miljøvariabelen $HOME peker generelt hit);
  • program som skal kjøres ved pålogging. Dette er vanligvis en kommandofortolker (skall), som gir brukeren frie hender. Hvis du angir /bin/false (som ikke gjør noe, og returnerer kontrollen umiddelbart), kan ikke brukeren logge inn.
Som nevnt kan denne filen redigeres direkte. Det finnes dog mer elegante måter å utføre endringer, beskrevet i Seksjon 8.4.3, «Endring av eksisterende konto eller passord».

DET GRUNNLEGGENDE Unix-gruppe

En Unix-gruppe er en enhet som omfatter flere brukere slik at de enkelt kan dele filer ved hjelp av det integrerte tillatelsesystemet (ved å dra nytte av de samme rettighetene). Man kan også avgrense bruken av visse programmer til en bestemt gruppe.

8.4.2. Den skjulte og krypterte passordfilen: /etc/shadow

/etc/shadow-filen inneholder følgende felter:
  • innloggingsnavn;
  • krypterte passord;
  • flere felt håndterer passordsutløp.
Man kan sørge for at passord utløper ved bruk av denne filen, eller sette et tidsutløp der kontoen blir avskrudd etter at passordet har utløpt.

SIKKERHET /etc/shadow-filsikkerhet

/etc/shadow, ulikt dets alter ego, /etc/passwd, kan ikke leses av vanlige brukere. En hvilket som helst passordsjekksum lagret i /etc/passwd kan leses av hvem som helst. En cracker (knekker) kan forsøke å «knekke» (eller avsløre) et passord ved én av flere «rå makt»-smetoder som enkelt sagt består i å gjette på vanlig brukte kombinasjoner av tegn. Dette angrepet, kalt «ordboksangrep» — er ikke lenger mulig på systemer som bruker /etc/shadow.

DOKUMENTASJON /etc/passwd, /etc/shadow og /etc/group-filformater

Disse formatene er dokumentert på følgende manualsider: passwd(5), skygge(5), og gruppe(5).

8.4.3. Endring av eksisterende konto eller passord

Følgende kommandoer tillater endring av infoen lagret i bestemte felt i brukerdatabasen: passwd tillater en vanlig bruker å endre passordet sitt, som igjen oppdaterer /etc/shadow-filen (chpasswd lar administratorer oppdatere en liste brukere samtidig); chfn (CHange Full Name), er reservert for superbrukeren (rot), modifiserer GECOS-feltet. chsh (CHange SHell) lar brukeren endre sitt innloggingsskall, men tilgang til valgene er begrenset til dem oppført i /etc/shells. Administratoren er dog ikke bundet av denne begrensningen, og kan sette skallet til et hvilket som helst program.
Til slutt, chage (CHange AGE)-kommandoen tillater administratoren å endre passordets utløpsinnstillinger (-l bruker-valget vil liste de gjeldende innstillingene). Du kan også tvinge utløp av et passord ved å bruke passwd -e bruker-kommandoen, som krever at brukerne endrer passordet sitt neste gang de logger inn.
I tillegg til disse verktøyene kan man bruke usermod-kommandoen for å tillate endring av alle detaljer nevnt ovenfor.

8.4.4. Deaktivering av en konto

Du trenger kanskje å «deaktivere en konto» (låse ute en bruker), som disiplinærtiltak, i forbindelse med en etterforskning, eller rett og slett for langvarig eller permanent fravær for en bruker. En deaktivert konto betyr at brukeren ikke kan logge inn eller få tilgang til maskinen. Kontoen er fortsatt intakt på maskinen, og ingen filer eller data blir slettet; Den er ganske enkelt utilgjengelig. Dette oppnås ved hjelp av kommandoen passwd -l bruker (lås). Å re-etablere kontoen gjøres på samme måte, med -u-valget (lås opp). Dette forhindrer dog kun passordsbaserte innlogginger på vegne av brukeren. Det kan hende brukeren fremdeles kan nå systemet via en SSH-nøkkel (hvis det er satt opp). For å forhindre selv denne muligheten må du sette kontoen som utløpt ved bruk av enten chage -E 1bruker, eller usermod -e 1 bruker (bruk verdien -1 i en av disse kommandoene for å tilbakestille utløpsdatoen til aldri). For å (midlertidig) skru av alle brukerkontoer kan du opprette filen /etc/nologin.
Du kan skru av en brukerkonto ved å låse den som beskrevet ovenfor, men også ved å endre dens forvalgte innloggingsskall (chsh -s skall-bruker). Hvis skallet endres til /usr/sbin/nologin vil brukeren få en vennlig melding som informerer vedkommende om at innlogging ikke er mulig, mens /bin/false kun vil avslutte og returnere false. Det finnes ikke noe valg for å gjenopprette forrige skall. Du må hente og ta vare på den infoen før du endrer innstillingen. Disse skallene brukes ofte for systembrukere som ikke trenger å kunne logge inn.

FOR VIDEREKOMMENDE NSS og systemdatabaser

I stedet for å bruke de vanlige filene for å administrere lister over brukere og grupper, kan du bruke andre typer databaser, for eksempel LDAP eller db, ved hjelp av en passende NSS (Name Service Switch)-modul. Modulene som brukes er oppført i /etc/nsswitch.conf-filen, under passwd, shadow og group-inngangene. Sjekk Seksjon 11.7.3.1, «Oppsett av NSS» for et spesifikt eksempel på at LDAP bruker en NSS-modul.

8.4.5. Gruppeliste: /etc/group

Grupper listes opp i /etc/group-filen, en enkel tekstdatabase i et format som ligner den for /etc/passwd-filen, med følgende felt:
  • gruppenavn;
  • password (optional): This is only used to join a group when one is not a usual member (with the newgrp or sg commands, see sidebar DET GRUNNLEGGENDE Å arbeide med flere grupper);
  • gid: unikt gruppeidentifikasjonsnummer;
  • medlemsliste: Kommainndelt liste over navn på brukere som er medlemmer av gruppen.

DET GRUNNLEGGENDE Å arbeide med flere grupper

Hver bruker kan være medlem av mange grupper; en av dem er deres «hovedgruppe». En brukers hovedgruppe lages som forvalg under det første brukeroppsettet. Som forvalg tilhører hver fil brukeren som oppretter dem, så vel som brukerens hovedgruppe. Dette er ikke alltid ønskelig; for eksempel når brukeren skal jobbe i en mappe som også deles av en annen enn sin egen hovedgruppe. I dette tilfellet må brukeren endre sin viktigste gruppe ved å bruke én av følgende kommandoer: newgrp, som starter en nytt skall, eller sg, som bare utfører en kommando ved å bruke den angitte alternative gruppen. Disse kommandoene tillater også brukeren å delta i en gruppe som de ikke hører hjemme i. Dersom gruppen er passordsbeskyttet, må de oppgi det riktige passordet før kommandoen blir utført.
Alternatively, the user can set the setgid bit on the directory, which causes files created in that directory to automatically belong to the correct group. For more details, see sidebar SIKKERHET setgid katalog og sticky bit.
id-kommandoen viser brukerens nåværende tilstand med sin personlige identifikator (uid-variabel), nåværende hovedgruppe (gid-variabel), og listen over grupper de tilhører (groups-variabel).
Henholdsvis addgroup og delgroup-kommandoene legger til eller sletter en gruppe. groupmod-kommandoen endrer en gruppes info (its gid, eller identifikator). Kommandoen gpasswd group endrer passordet for gruppen, mens passwd -r group-kommandoen sletter den.

TIPS getent

Kommandoen getent (hent oppføringer) sjekker systemdatabasen på vanlig måte, ved hjelp av de aktuelle biblioteksfunksjonene, som igjen påkaller NSS-moduler satt opp i /etc/nsswitch.conf-filen. Kommandoen tar ett eller to argumenter: Navnet på databasen som skal sjekkes, og en mulig søkenøkkel. Således vil kommandoen getent passwd sundquist gi info fra brukerdatabasen om brukeren sundquist.