Tento článek popisuje základní typy uživatelů a jak je kontrolovat.
Typy uživatelů
Na výběr jsou dva základní typy uživatelů:SFTP a SSH .
Uživatelé SFTP
Uživatelé Secure File Transfer Protocol (SFTP) mohou používat příkazový řádek nebo program, jako je Filezilla®, k bezpečnému nahrávání souborů. Tento nástroj je užitečný pro vývojáře, kteří potřebují někam nahrát soubory svých webových stránek. Uživatel pouze s AnSFTP se může připojit přes SFTP, ale ne přes SSH.
Uživatelé SSH
Uživatelé SecureShell (SSH) se mohou bezpečně připojit k příkazové řádce Linux® prostřednictvím terminálu příkazového řádku s černou obrazovkou, jako je PuTTY® nebo MobaXterm®. Je to šikovná metoda, ale doporučená pro ty, kteří mají s Linuxcommand řádkem spokojeni. Uživatel SSH se může připojit přes SFTP i SSH.
Upravit uživatelský přístup
Existuje několik způsobů, jak přidat nebo odebrat přístup pro uživatele SSH a SFTP.
Uvěznění nebo chrootovaní uživatelé SFTP
Tito uživatelé mohou přistupovat pouze ke konkrétní sadě adresářů a k ničemu jinému. Nastavení je zdlouhavý proces, proto požádejte jednoho z našich techniků podpory, aby vám pomohl, pokud jej potřebujete implementovat.
uživatelé sudo SSH
sudo uživatelé mohou spouštět příkazy na úrovni správce tak, že jim uvedou předponu sudo . Systém poté zaznamená, kdo požadavek podal, a provede jej.
Ostatní uživatelé
Trvalí uživatelé jsou uživatelé systému jako bin , mail , games , nobody a brzy, což obvykle můžete ignorovat. root uživatel vám umožňuje v systému dělat cokoli.
Aby to bylo jednodušší, zde je graf zobrazující základní uživatele Linuxu, které můžete mít, škálovaný od nejmenších oprávnění po všechna oprávnění:
Šeky, které můžete provádět bez přihlášení
Ke svému počítači nebo serveru se obvykle přihlašujete přes port 22. Port 22 si představte jako bránu, přes kterou se přihlašujete. Pokračujeme v analogii, porty 80 a 443 jsou brány pro provoz webových stránek. Pokud jsou tyto porty zavřené, považujte dveře za zavřené a neumožňují průchod provozu.
Pokud se nemůžete přihlásit, spusťte následující příkazy a zkontrolujte, zda je otevřený port 22 a zda přijímá připojení SSH:
Zkontrolujte, které porty jsou otevřené:
# nmap -F <IP>
Zkuste se přihlásit:
# ssh <user>@<IP>
Zkuste se přihlásit a získat další informace:
# ssh -v <user>@<IP>
Přihlaste se tipy pro odstraňování problémů
Pokud se nemůžete přihlásit, zvažte následující možnosti:
Obvykle je to heslo
Nejčastěji je problém ten nejjednodušší:heslo. Pokud je otevřený port 22 a váš počítač nebo server požaduje heslo, když používáte SSH, potvrďte, že zadáváte správné heslo. Pamatujte, že Linux rozlišuje velká a malá písmena.
Pokud neznáte své heslo
Linux neukládá vaše heslo ve formátu, který můžeme načíst. Buď se přihlaste s jiným uživatelem, nebo požádejte náš tým podpory, aby to za vás resetoval.
Pokud se pokoušíte přihlásit jako root
Ve výchozím nastavení Linux z bezpečnostních důvodů zakazuje přímé přihlášení uživatele root (aby hackeři nemuseli prolomit pouze jedno heslo). Pokud jste tedy konkrétně nepovolili root, obvyklý protokol je přihlásit se jako jiný uživatel a poté podle potřeby přejít na root.
Užitečné uživatelské příkazy
Zobrazit typy uživatelů:
Spuštěním následujícího příkazu vypíšete všechny systémové uživatele, uživatele pouze SFTP a SSH:
# cat /etc/passwd
root:*:0:0:root:/root:/bin/bash
apache:*:48:48:Apache:/usr/share/httpd:/sbin/nologin
php-fpm:*:995:992:php-fpm:/var/lib/php/fpm:/sbin/nologin
mysql:*:27:27:MariaDB Server:/var/lib/mysql:/sbin/nologin
sher:*:1002:1002:example:/home/sher:/bin/bash
Každý řádek je rozdělen na různé části pomocí:
| sher | 1002:1002 | příklad | /home/sher | /bin/bash |
|---|---|---|---|---|
| Uživatelské jméno | ID uživatele. Pokud je nižší než 1000, je to pravděpodobně výchozí systémový uživatel | Komentář, pokud byl přidán | Domovský adresář. Jail/Chroot=/home/chroot | Pouze SFTP=/sbin/nologin SSH=/bin/bash |
Najít uživatele
Chcete-li vyhledat konkrétního uživatele, spusťte následující příkaz:
# grep <user> /etc/passwd
Zkontrolujte oprávnění
Spusťte následující příkaz a zkontrolujte, zda má uživatel sudo oprávnění buď použitím oprávnění ALL=(ALL) nebo wheel skupina:
# (getent group; cat /etc/sudoers) | grep <user>
Poznámka :Žádný výstup znamená, že oprávnění sudo nebyla nalezena.
Zkontrolujte stav hesla
Spuštěním následujícího příkazu zkontrolujte, zda je uživatel uzamčen:
# passwd -S <user>
Zobrazí se buď Password set nebo locked .
Pokročilejší uživatelské kontroly
Zkontrolujte aktuálně přihlášené uživatele:
# w
Zkontrolujte, kdo se naposledy přihlásil:
# last
Zaškrtněte posledních deset uživatelů, kteří se mají přihlásit:
# last | head -10
Zkontrolujte, zda se uživatel pokusil přihlásit:
# grep <user> /var/log/secure
Zobrazit živý kanál uživatelů, kteří se pokoušejí přihlásit (použijte Ctrl+C zrušit):
# tail -f /var/log/secure
Zkontrolujte, kdy vyprší platnost hesla (výchozí nastavení je nikdy):
# chage -l <user>
Zkontrolujte, jakých skupin je uživatel součástí:
# groups <user>
Pomocí následujícího skriptu zkontrolujte uživatele, zda je jeho heslo uzamčeno, pokud má oprávnění sudo:
# UU='<user>'; getent passwd | grep ${UU}; passwd -S ${UU}; grep ${UU} /etc/sudoers; groups ${UU}