Product SiteDocumentation Site

8.4. Базы данных пользователей и групп

Список пользователей обычно хранится в файле /etc/passwd, а в файле /etc/shadow хранятся хешированные пароли. Это простые текстовые файлы, которые можно читать и изменять с помощью текстового редактора. Каждый пользователь указан в строке с несколькими полями, разделёнными двоеточием (“:”).

ЗАМЕТКА Редактирование системных файлов

Все системные файлы, упомянутые в этой главе - обычные текстовые файлы, и их можно редактировать с помощью текстового редактора. Учитывая их важность для основных функций системы, всегда полезно принимать дополнительные меры предосторожности при редактировании системных файлов. Во-первых, всегда делайте копию или резервную копию системного файла перед его открытием или изменением. Во-вторых, на серверах или машинах, где несколько человек потенциально могут одновременно получить доступ к одному и тому же файлу, примите дополнительные меры для защиты файла от повреждения.
Для редактирования важнейших файлов системы достаточно использовать команды vipw - внести изменения в файл /etc/passwd, или vigr - для редактирования файла /etc/group. Эти команды блокируют файл и предлагают выбрать текстовый редактор, ранее по умолчанию была программа (vi, кроме случаев, когда переменная окружения EDITOR была изменена). Параметр -s в этих командах позволит редактировать соответствующий файл shadow.

К ОСНОВАМ Шифрование, односторонняя функция

Команда crypt - это односторонняя функция, которая преобразует строку (A) в другую строку (B) таким образом, что A нельзя извлечь из B. Единственный путь идентификации A - это проверять все возможные варианты, определяя, будет ли при преобразовании через функцию создана B или нет. Программа использует до 8 символов на входе (строка A) и производит строку из 13-ти печатаемых ASCII символов (строка B).

8.4.1. Список пользователей: /etc/passwd

Это список полей, используемых в файле /etc/passwd:
  • login - имя для входа, например rhertzog;
  • password: пароль, зашифрованный односторонней функцией (crypt), основанной на DES, MD5, SHA-256 или SHA-512. Специальное обозначение “x” показывает, что зашифрованный пароль сохранён в файле /etc/shadow;
  • uid: уникальный номер, идентифицирующий каждого пользователя;
  • gid: уникальный номер главной группы данного пользователя (Debian создает определённую группу для каждого пользователя по умолчанию);
  • GECOS: данные этого поля обычно содержат полное имя пользователя (в данном примере фамилия-имя-отчество, через запятую);
  • login directory - каталог пользователя (совпадает с именем для входа), предназначенный для хранения персональных файлов пользователя (переменная окружения $HOME обычно указывает сюда);
  • program to execute upon login - первая программа, выполняемая сразу после входа пользователя в систему. Обычно это командный интерпретатор (shell), например "/bin/bash", дающий пользователю возможность управления (в объёме его прав). Если указать специальное значение /bin/false (которое немедленно возвращает контроль системе ), то пользователь не сможет войти в систему.
Как упоминалось ранее, этот файл можно редактировать напрямую. Но есть более элегантные способы применения изменений, которые описаны в Раздел 8.4.3, «Изменение существующей учётной записи или пароля».

К ОСНОВАМ Группа в Unix-системе

Группа в Unix-системе включает в себя несколько пользователей, которые могут легко обмениваться между собою файлами. Эта группа пользуется системой комплексных разрешений прав доступа (получая выгоду от одинаковых прав). Вы можете также запретить использование определённых программ для конкретных групп.

8.4.2. Скрытый и Зашифрованный Файл Паролей: /etc/shadow

Файл /etc/shadow содержит следующие поля:
  • login - имя входа пользователя в систему;
  • зашифрованный пароль;
  • несколько полей относятся к окончанию срока действия пароля.
С помощью этого файла можно установить срок действия паролей или установить время до отключения учётной записи после истечения срока действия пароля.

БЕЗОПАСНОСТЬ Файл /etc/shadow относится к безопасности системы

Файл /etc/shadow, непохож на свой альтер-эго (_лат. "второе я", т.е. дубликат) /etc/passwd. Он не может быть прочитан обычными пользователями. Если в системе не применяется защита паролей через shadow, то любой сможет прочитать пароль, сохраненный в файле /etc/passwd. Взломщик может попытаться “расколоть” (или вскрыть) его одним из нескольких способов “грубой силы”, когда берут последовательность символов, которые надо опознать и, с помощью специальных программ, делают простой перебор часто используемых комбинаций символов. Этот тип нападения на систему называется "атака по словарю" — и сейчас его уже невозможно применять на системах, которые используют /etc/shadow.

ДОКУМЕНТАЦИЯ Формат файлов /etc/passwd, /etc/shadow and /etc/group

Документация по этим программах расположена в следующих страницах руководства (man) : passwd(5), shadow(5) и group(5).

8.4.3. Изменение существующей учётной записи или пароля

Следующие команды позволяют изменять информацию, размещенную в конкретных полях базы данных пользователей. Команда passwd позволяет обычному пользователю изменять свой пароль, в этом случае сразу происходит изменение и обновление файла /etc/shadow, команда (chpasswdпозволяет администраторам обновлять пароли для списка пользователей в пакетном режиме); команда chfn (CHange Full Name - Изменить Полное Имя), зарезервированная для администратора (root), изменяет поле GECOS. Команда chsh (CHange SHell - Изменить командный интерпретатор) позволяет пользователю изменить свой первоначальный командный интерпретатор во время входа в систему, однако доступный выбор будет ограничен только теми, что расположены в файле /etc/shells. На администратора это ограничение не распространяется и он может установить себе любую программу по своему выбору.
И наконец, команда chage (CHange AGE - Изменить возраст) позволит администратору изменить пароль с истекающим сроком действия (Параметр -l user покажет настоящие значения). Вы можете также принудительно завершить срок действия пароля для пользователя командой passwd -e user. В этом случае при следующем входе пользователя в систему ему будет принудительно предложено заменить существующий пароль.
Помимо этих инструментов, команда usermod позволяет изменять все детали, упомянутые выше.

8.4.4. Отключение учётной записи

Вам может понадобиться “отключить учётную запись” (заблокировать пользователя), в качестве дисциплинарной меры при расследовании происшествия, или просто в случае длительного или окончательного отсутствия пользователя. Отключённая учётная запись означает, что пользователь не может войти или получить доступ к машине. Учётная запись остается недоступной и неизменной на машине и никакие файлы или данные не удаляются. Для этого надо применить команду passwd -l user (lock - блокировать). Снять блокировку учетной записи можно похожим способом, с параметром -u (unlock - разблокировать). Однако это предотвращает только вход пользователя в систему с использованием пароля. Пользователь по-прежнему может иметь доступ к системе с помощью ключа SSH (если он настроен). Чтобы предотвратить даже эту возможность, вам также необходимо аннулировать срок действия учётной записи, используя команду chage -E 1user или usermod -e 1 user (дав значение -1, любая из этих команд сбросит дату истечения срока действия на never). Чтобы (временно) отключить все учётные записи пользователей, просто создайте файл /etc/nologin.
Вы можете отключить учётную запись пользователя, не только заблокировав её, как описано выше, но и изменив её оболочку входа по умолчанию (chsh -s shell user). Если последняя изменена на команду /usr/sbin/nologin/, пользователь получает вежливое сообщение, информирующее о том, что вход в систему невозможен, в то время как команда /bin/false/ просто завершает работу, возвращая false. Переключателя для восстановления предыдущей оболочки нет. Вам необходимо получить и сохранить эту информацию, прежде чем изменять настройку. Эти оболочки часто используются для пользователей системы, которым не требуется вход в систему.

УГЛУБЛЯЕМСЯ NSS и базы данных системы

Взамен использования обычных файлов, управляющих списком пользователей и групп, вы можете использовать другие типы баз данных, например LDAP или db, используя соответствующий модуль NSS (Диспетчер службы имён). Используемые модули перечислены в /etc/nsswitch.conf, в записях passwd, shadow и group. Смотри Раздел 11.7.3.1, «Конфигурирование NSS» для конкретных примеров использования модулей NSS через LDAP.

8.4.5. Список групп: /etc/group

Группы, существующие в системе, перечислены в файле /etc/group, простая текстовая база данных в формате, похожем на тот, что используется в файле /etc/passwd, со следующими полями:
  • имя группы;
  • пароль (необязательно): это поле используется в случаях, если необходимо присоединить кого-то к группе, при этом, не давать ему те же права, как у других членов этой группы (команды newgrp или sg, см. врезку К ОСНОВАМ Работа с несколькими группами);
  • gid: уникальный идентификационный номер группы;
  • список участников (данной группы): список имён пользователей, которые являются членами указанной группы, разделённых запятыми.

К ОСНОВАМ Работа с несколькими группами

Каждый пользователь может быть включён сразу в несколько групп, одной их них является “главная группа”. Она появляется в момент создания нового пользователя в системе и в дальнейшем считается для него "группой по умолчанию" (главной группой). Каждому файлу, создаваемому пользователю, тут же присваивается та группа, которая является главной для него. Однако не всегда это желательно, например, когда пользователь вынужден работать в каталоге, разделяемом с пользователями других групп, отличной от его главной группы. В этом случае, пользователь вынужден временно изменить свою главную группу используя одну из следующих команд: newgrp, когда запускается новый командный интерпретатор, или sg, которая просто выполняется с использованием предоставленной ей альтернативной группы. Эти команды также позволят пользователю присоединиться к группе, к которой он не принадлежит. Если группа защищена паролем, необходимо будет ввести пароль до того, как команда будет выполнена.
Другой вариант - пользователь может установить бит setgid на каталог, который при вызове файла, созданного в том каталоге автоматически присвоит ему корректную группу. Для больших деталей, смотри вкладку БЕЗОПАСНОСТЬ Каталог с setgid и sticky bit.
Команда id отобразит настоящее состояние пользователя, с персональным идентификатором (переменная uid), действующей главной группой (переменная gid), и список групп, в которые он включён (переменная groups).
Команды addgroup и delgroup соответственно добавляют или удаляют группы. Команда groupmod изменит информацию о группе (её gid или идентификатор). Команда passwd -g group изменит пароль для группы, а команда passwd -r -g group удалит его.

СОВЕТ getent

Команда getent (получить записи) проверяет системные базы данных стандартным способом, используя соответствующие библиотечные функции, вызывающие модули, сконфигурированные в файле /etc/nsswitch.conf. Команда принимает один или два аргумента: имя базы данных для проверки, и ключ, по которому будет выполнен поиск. Таким образом, команда getent passwd rhertzog предоставит информацию из базы данных, касающуюся пользователя rhertzog.