Správci systému Linux čelí mnoha výzvám a jednou z nich je řešení uživatelských účtů. Přihlášení, vypnutí, správa hesel, deaktivace účtů, aktivace účtů, zachování obsahu domovského adresáře a oprava oprávnění jsou úkoly, které je nutné provést, ale jsou také únavné. Tento článek vám poskytuje rychlé řešení pro správu uživatelských účtů v místních systémech. Jistě, existují Active Directory, LDAP a NIS+, ale co když jste jako mnozí z nás, kteří je nepoužíváte? Při zpracování úlohy se musíte spolehnout na nativní metody.
Věřte tomu nebo ne, ale ke zvládnutí většiny úkolů správy uživatelů potřebujete pouze několik příkazů. Například použijete passwd příkaz k nastavení a změně hesel, ale také se používá ke kontrole stavu uživatelského účtu, vypršení platnosti hesla, nastavení minimální a maximální doby platnosti hesla, deaktivaci uživatelského účtu a povolení uživatelského účtu.
Vytváření uživatelských účtů
useradd command je váš přítel z příkazového řádku pro vytváření uživatelských účtů. Rychlý man useradd vám nabízí všechny možnosti, které byste kdy chtěli. Obvykle používám pouze jednu možnost, a to -c (komentář), zadejte celé jméno uživatele. Můžete volitelně nastavit heslo a další parametry, ale já ne, protože každý účet je jiný. Vytvořím účet, nastavím heslo, nastavím jakékoli další možnosti a poté kontaktuji uživatele, abych ho informoval, že jeho účet je připraven.
Syntaxe je jednoduchá:
$ useradd -c "User's Full Name" account_name
$ sudo useradd -c "Mary Jones" mjones$
passwd mjones
Changing password for user mjones.
New password:
Retype new password:
passwd: all authentication tokens updated successfully. Pokud používáte obecná hesla pro nové uživatele, která se snadno zadávají, zobrazí se zpráva s upozorněním, že vaše heslo nesplňuje standardní požadavky. Protože jste uživatel root, můžete tuto chybu obejít, ale běžní uživatelé ne:
$ passwd mjones
Changing password for user mjones.
New password:
BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word
Retype new password:
passwd: all authentication tokens updated successfully.
To je vše k vytvoření nového uživatelského účtu a přiřazení hesla k němu. Podívejte se na nějaké passwd příkaz magie v další sekci.
Objevení všestranného passwd příkaz
Jak bylo uvedeno dříve, passwd příkaz dělá víc než jen změnu hesel. Je to jeden z nejvšestrannějších dostupných příkazů Linuxu. Zde je několik užitečných příkladů passwd může udělat pro správu uživatelů.
Chcete-li zkontrolovat stav uživatelského účtu, použijte tento formát.
$ passwd -S account_name Příklad:
$ sudo passwd -S msmith
msmith PS 2019-11-11 0 99999 7 -1 (Password set, SHA512 crypt.)
PS znamená, že heslo pro uživatele msmith je nastaveno, ale můžete to také vidět ze zobrazené zprávy. Starší verze passwd nepoužívali stejné symboly. Například písmeno P byla použita samostatně pro nastavení hesla . Zobrazené datum je poslední, kdy bylo heslo změněno nebo kdy bylo nastaveno.
Pokud platnost hesla vypršela, zobrazí se následující zpráva:
$ sudo passwd -S djones
djones PS 1969-12-31 0 99999 7 -1 (Password set, SHA512 crypt.) Můžete vidět, že heslo má nyní poslední změnu času 1969-12-31. Pokud znáte nějakou historii Linuxu nebo UNIXu, víte, že počátek světa počítačů byl 1970-01-01, takže nastavením času poslední změny na mimo epochu vyprší platnost hesla.
Vytvoření nového uživatelského účtu bez změny hesla účtu má za následek následující stav hesla:
$ sudo passwd -S smithm
smithm LK 2019-11-11 0 99999 7 -1 (Password locked.)
LK označení znamená, že účet je uzamčen, jak ukazuje zpráva. Znovu, před touto nejnovější verzí passwd příkaz, tato zpráva neexistovala. Ve skutečnosti, pokud použijete man passwd , uvidíte také stará označení:L , NP a P .
Vypršení platnosti hesla:
$ sudo passwd -e msmith
Expiring password for user msmith.
passwd: Success
Kontrola stavu ověří heslo msmith, jehož platnost vypršela :
$ sudo passwd -S msmith
msmith PS 1969-12-31 0 99999 7 -1 (Password set, SHA512 crypt.) Jakmile platnost hesla vyprší, ať už na základě zásad nebo ručním vypršením platnosti, nelze jeho platnost zrušit. Systém vyzve uživatele ke změně hesla při příštím přihlášení.
Nemůžete také odemknout účet, který nemá nastavené heslo. Pokud vytvoříte nový uživatelský účet a nenastavíte heslo, bude účet uzamčen. Chcete-li jej odemknout, musíte nastavit heslo.
Uživatelský účet můžete uzamknout pomocí passwd -l příkazu možnost:
$ sudo passwd -S mjones
mjones PS 2019-11-11 0 99999 7 -1 (Password set, SHA512 crypt.)
$ sudo passwd -l mjones
Locking password for user mjones.
passwd: Success
$ sudo passwd -S mjones
mjones LK 2019-11-11 0 99999 7 -1 (Password locked.)
K odemknutí účtu použijte passwd -u příkazu možnost:
$ sudo passwd -u mjones
Unlocking password for user mjones.
passwd: Success
$ sudo passwd -S mjones
mjones PS 2019-11-11 0 99999 7 -1 (Password set, SHA512 crypt.)
Pomocí následujících příznaků nastavte minimální životnost hesla (-n ), maximální životnost hesla (-x ), varování před vypršením platnosti (-w ) a neaktivní až deaktivované (-i ) ve dnech pro každého. Na pořadí možností nezáleží:
$ sudo passwd -n 1 -x 90 -w 3 -i 10 djones
Adjusting aging data for user djones.
passwd: Success
$ sudo passwd -S djones
djones PS 2020-12-31 1 90 3 10 (Password set, SHA512 crypt.)
Je dobré nastavit -n alespoň jeden den, protože to zabraňuje uživateli v opakované změně hesla.
Doufám, že nově oceníte passwd příkaz. Pokud jste jej někdy používali pouze ke změně hesel, přišli jste o mnoho funkcí a výkonu.
[Hledáte více? Také by vás mohl zajímat cheat sheet pro uživatele a oprávnění Linuxu.]
Odebrání uživatelských účtů
Odstraňování uživatelských účtů je trochu ožehavé téma. Důvodem, proč je to citlivé téma, je to, že odstranění uživatelského účtu je trvalé. Po odstranění je pryč. Obecně je v podnicích zásadou deaktivovat účet na určitou dobu, zkopírovat domovský adresář uživatele na bezpečné místo pro archivaci a po uplynutí čekací doby účet odebrat.
Když odeberu uživatelský účet ze systému, všechny stopy jsou pryč. Účet je odstraněn z /etc/passwd a domovský adresář je také odstraněn. K provedení této rozsáhlé změny používám userdel pomocí -r možnost ve formátu:
$ userdel -r account_name Příklad:
$ sudo userdel -r djones
V typickém systému UNIX a Linux neexistuje žádné dialogové okno, které by vám sdělilo, že účet a všechny stopy uživatele jsou nyní ze systému odstraněny. Za userdel dokončíte příkaz, vrátíte se zpět na výzvu.
Koneckonců
Správa uživatelských účtů je jen jednou z mnoha radostí správce systému. V rušnějších podnicích to může zabrat poměrně dost času. V menších prostředích však můžete brzy zapomenout na všechna passwd možnosti příkazů a rozhodnout se účty odstranit ručně.
Doporučuji, abyste si tento článek ponechali jako záložku a nepokoušeli se účty odstraňovat ručně. Je velká šance, že cestou na něco zapomenete. Je zde také šance, že jeden nebo dva příkazy tlustým prstem odstraníte více, než jste plánovali odstranit. passwd a jeho odpovídající /etc/shadow soubory jsou příliš důležité na to, abyste jejich úpravy ponechali náhodě, bez ohledu na to, jak moc si jistí účinností klávesnice.
Takové věci: useradd , userdel , passwd
[Chcete vyzkoušet Red Hat Enterprise Linux? Stáhněte si jej nyní zdarma.]