Product SiteDocumentation Site

8.4. Pengguna dan Basisdata Kelompok

Daftar pengguna biasanya disimpan di berkas /etc/passwd, ketika berkas /etc/shadow menyimpan kata sandi ter-hash. Keduanya berupa berkas teks, dalam format yang relatif sederhana, yang dapat dibaca dan dimodifikasi dengan teks editor. Setiap pengguna terdaftar di sana dalam sebuah baris dengan beberapa field dipisahkan dengan titik dua (“:”).

CATATAN Menyunting berkas sistem

Berkas sistem yang disebutkan di bab ini seluruhnya berupa berkas teks polos, dan dapat disunting dengan teks editor. Memertimbangkan betapa penting fungsionalitasnya ke sistem inti, sebaiknya lebih berhati-hati ketika menyunting berkas sistem. Pertama, selalu buat salinan atau backup dari berkas sistem sebelum membuka atau menyuntingnya. Kedua, pada server atau mesin di mana lebih dari satu orang yang mungkin mengakses berkas yang sama, lakukan beberapa langkah untuk melindungi dari korupsi berkas.
Untuk tujuan ini, cukup gunakan perintah vipw untuk menyunting berkas /etc/passwd, atau vigr untuk menyunting /etc/group. Perintah ini mengunci berkas yang dimaksud setelah menjalankan teks editor, (secara default vi, kecuali variabel lingkungan EDITOR telah diubah). Pilihan -s pada perintah ini mengizinkan penyuntingan berkas shadow yang sesuai.

KEMBALI KE DASAR Crypt, fungsi searah

crypt merupakan fungsi searah yang mengubah string (A) ke string lain (B) di mana A tidak dapat diturunkan dari B. Satu-satunya cara mengidentifikasi A ialah dengan mengetes semua variabel yang mungkin, memeriksa satu per satu apakah perubahan fungsi akan menghasilkan B atau tidak. Menggunakan hingga 8 karakter sebagai masukan (string A) dan menghasilkan satu dari 13 string, dapat tercetak, karakter ASCII (string B).

8.4.1. Daftar Pengguna: /etc/passwd

Berikut ini daftar field dalam berkas /etc/passwd:
  • login, contohnya rhertzog;
  • password: kata sandi ini terenkripsi oleh fungsi searah (crypt), menggunakan DES, MD5, SHA-256, atau SHA-512. Nilai khusus “x” menandakan bahwa kata sandi terenkripsi disimpan di /etc/shadow;
  • uid: nomor identifikasi unik tiap pengguna;
  • gid: nomor unik untuk kelompok utama pengguna (secara default Debian membuat kelompok khusus untuk tiap pengguna);
  • GECOS: field data biasanya berisi nama lengkap pengguna;
  • direktori login, diberikan ke pengguna ruang untuk berkas pribadi mereka (variabel lingkungan $HOME umumnya mengarah ke sini);
  • program yang dieksekusi ketika login. Ini biasanya berupa perintah interpreter (shell), memberikan kebebasan pada pengguna. Jika Anda menentukan /bin/false (yang tak melakukan apapun dan mengembalikan kontrol seketika), pengguna tidak dapat login.
Seperti disebutkan sebelumnya, seseorang dapat menyunting berkas ini secara langsung. Namun ada cara yang lebih elegan untuk menerapkan perubahan, yang dijelaskan di Bagian 8.4.3, “Memodifikasi Akun atau Password yang Ada”.

KEMBALI KE DASAR Kelompok unix

Sebuah kelompok Unix merupakan sebuah entitas termasuk beberapa pengguna jadi mereka dapat berbagi secara mudah menggunakan sistem hak akses terintegrasi (dengan memanfaatkan hak yang sama). Anda dapat juga menghalangi penggunaan beberapa program ke kelompok tertentu.

8.4.2. Berkas Kata Sandi Tersembunyi dan Terenkripsi: /etc/shadow

Berkas /etc/shadow berisi field-field berikut:
  • login;
  • kata sandi terenkripsi;
  • beberapa field mengelola masa kadaluarsa kata sandi.
Seseorang dapat membuat kedaluwarsa kata sandi menggunakan berkas ini atau mengatur waktu hingga akun dinonaktifkan setelah kata sandi kedaluwarsa.

KEAMANAN Keamanan berkas /etc/shadow

/etc/shadow, tak seperti rivalnya, /etc/passwd, tidak dapat dibaca oleh pengguna biasa. Kata sandi ter-hash yang tersimpan di /etc/passwd dapat dibaca oleh siapa saja; seorang cracker dapat mencoba untuk “merusak” (atau mengambil) password dengan salah satu metode “brute force” yang, mencoba menebak kombinasi karakter yang biasa digunakan. Serangan ini — disebut "dictionary attack" — tak lagi mungkin pada sistem yang menggunakan /etc/shadow.

DOKUMENTASI Format berkas /etc/passwd, /etc/shadow dan /etc/group

Format berikut didokumentasikan dalam halaman man berikut: passwd(5), shadow(5), dan group(5).

8.4.3. Memodifikasi Akun atau Password yang Ada

Perintah berikut memungkinkan modifikasi informasi yang disimpan di bidang tertentu dari basis data pengguna: passwd memungkinkan pengguna biasa untuk mengubah kata sandi mereka, yang pada gilirannya, memperbarui berkas /etc/shadow (chpasswd memungkinkan administrator memperbarui kata sandi untuk beberapa pengguna dalam mode batch); chfn (CHange Full Name, Ubah Nama Lengkap), disediakan untuk pengguna super (root), memodifikasi bidang GECOS. chsh (CHange SHell) memungkinkan pengguna untuk mengubah shell login mereka; namun, pilihan yang tersedia akan terbatas pada yang tercantum dalam /etc/shells; administrator, di sisi lain, tidak terikat oleh pembatasan ini dan dapat mengatur shell ke program apa pun yang mereka pilih.
Akhirnya, perintah chage (CHange AGE) mengizinkan administrator mengubah pengaturan masa kadaluarsa password (pilihan -l pengguna akan menampilkan pengaturan kini). Anda dapat pula memaksa masa kadaluarsa password menggunakan perintah passwd -e pengguna, di mana pengguna perlu mengganti password mereka ketika login berikutnya.
Selain alat-alat ini, perintah usermod memungkinkan untuk memodifikasi semua detail yang disebutkan di atas.

8.4.4. Menonaktifkan sebuah Akun

Anda mungkin menemukan diri Anda perlu "menonaktifkan akun" (mengunci pengguna), sebagai tindakan disipliner, untuk tujuan penyelidikan, atau hanya jika terjadi ketidakhadiran pengguna yang berkepanjangan atau definitif. Akun yang dinonaktifkan berarti pengguna tidak dapat masuk atau mendapatkan akses ke mesin. Akun tetap utuh di mesin dan tidak ada berkas atau data yang dihapus; itu sekadar tidak dapat diakses. Ini dilakukan dengan menggunakan perintah passwd -l pengguna (mengunci). Mengaktifkan kembali akun dilakukan dengan cara yang sama, dengan opsi -u (membuka kunci). Namun, ini hanya mencegah login berbasis kata sandi oleh pengguna. Pengguna mungkin masih dapat mengakses sistem menggunakan kunci SSH (jika dikonfigurasi). Untuk mencegah bahkan kemungkinan ini, Anda harus membuat kedaluwarsa akun juga menggunakan chage -E 1pengguna atau usermod -e 1 pengguna (memberikan nilai -1 di salah satu perintah ini akan mengatur ulang tanggal kedaluwarsa ke never). Untuk (sementara) menonaktifkan semua akun pengguna, cukup buat berkas /etc/nologin.
Anda dapat menonaktifkan akun pengguna tidak hanya dengan menguncinya seperti dijelaskan di atas, tetapi juga dengan mengubah shell login defaultnya (chsh -s shell pengguna). Dengan yang terakhir diubah menjadi /usr/sbin/nologin, pengguna mendapat pesan sopan yang menginformasikan bahwa login tidak dimungkinkan, sementara /bin/false hanya keluar saat mengembalikan false. Tidak ada sakelar untuk memulihkan shell sebelumnya. Anda harus mendapatkan dan menyimpan informasi itu sebelum mengubah pengaturan. Shell ini sering digunakan untuk pengguna sistem yang tidak memerlukan ketersediaan login.

LEBIH JAUH NSS dan basisdata sistem

Daripada menggunakan berkas yang biasanya untuk mengelola daftar pengguna dan kelompok, Anda dapat menggunakan tipe basisdata lain, seperti LDAP atau db, dengan menggunakan modul NSS (Name Service Switch) yang cocok. Modul yang diguankan terdaftar di berkas /etc/nsswitch.conf, di bawah entri passwd, shadow dan group. Lihat Bagian 11.7.3.1, “Mengkonfigurasi NSS” untuk sebuah contoh spesifik penggunaan modul NSS dengan LDAP.

8.4.5. Daftar Kelompok: /etc/group

Kelompok terdaftar di berkas /etc/group, basisdata tekstuan sederhana dalam format mirip berkas /etc/passwd, dengan field sebagai berikut:
  • nama grup;
  • password (pilihan): Ini hanya digunakan untuk menggabungkan kelompok ketika seseorang bukan anggota yang biasa (dengan perintah newgrp atau sg, lihat bilah tepi KEMBALI KE DASAR Bekerja dengan beberapa kelompok);
  • gid: nomor identifikasi unik kelompok;
  • daftar anggota: daftar nama penggua yang merupakan anggota kelompok, dipisahkan dengan koma.

KEMBALI KE DASAR Bekerja dengan beberapa kelompok

Setiap pengguna mungkin anggota dari beberapa kelompok; salah satunya “kelompok utama” mereka. Kelompok utama pengguna secara standar, dibuat ketika konfigurasi awal pengguna. Secara standar, setiap berkas yang dibuat pengguna adalah milik mereka, sebagaimana kelompok utama mereka. Hal ini tidak selalu diinginkan; contohnya, ketika penggua bekerja pada direktori yang dibagi dengan kelompok selain kelompok utama mereka. Dalam hal ini, pengguna perlu mengubah kelompok utama mereka menggunakan perintah berikut; newgrp, yang memulai shell baru, atau sg, yang mengeksekusi perintah menggunakan kelompok alternatif yang diberikan. Perintah ini juga mengizinkan pengguna ke kelompok yang bukan miliknya. Jika kelompok diproteksi password, mereka perlu memasukkan password yang sesuai sebelum perintah dieksekusi.
Alternatifnya, pengguna dapat mengatur bit setgid pada direktori, akibatnya berkas yang dibuat dalam direktori tersebut secara otomatis dimilik oleh kelompok yang tepat. Untuk lebih rincinya, lihat bilah tepi KEAMANAN direktori setgid dan bit sticky.
Perintah id menampilkan kondisi terkini pengguna, dengan indentifier personal mereka (variabel uid), kelompok utama saat ini (variabel gid), dan daftar kelompok milik mereka (variabel groups).
Perintah addgroup dan delgroup menambah dan menghapus kelompok, masing-masing. Perintah groupmod memodifikasi informasi kelompok (gid-nya atau identifier). Perintah gpasswd kelompok mengubah password untuk kelompok, sedangkan perintah gpasswd -r kelompok menghapusnya.

TIP getent

Perintah getent (get entries) memeriksa basisdata sistem dengan cara standar, menggunakan fungsi pustaka yang sesuai, di mana akan memanggil modul NSS yang dikonfigurasi di berkas /etc/nsswitch.conf. Perintah mengambil satu atau dua argumen: nama basisdata untuk diperiksa, dan kata kunci yang mungkin. Nah, perintah getent passwd rhertzog akan memberikan informasi dari basisdata pengguna terkait pengguna rhertzog.