💾 Archived View for tilde.team › ~rami › redhat_user.gmi captured on 2023-01-29 at 04:20:39. Gemini links have been rewritten to link to archived content
-=-=-=-=-=-=-
רמי
SUBJECT: RedHat (RHEL, Fedora, CentOS): Работа с группами и пользователями
AUTHOR: Rami Rosenfeld
DATE: 10/10/22
TIME: 19.00
LANG: ru, en
LICENSE: GNU FDL 1.3
TAGS: gnu, gnome, software, opensource, linux, system, man, manual, bash, privacy, security, user, group
Важно! Как в случаях с LUKS2 и GNUPG (см. отдельные руководства), это очень ответственная и критичная операция; любая ошибка или невнимательность администратора могут привести к несанкционированному доступу к операционной системе и/или потере/похищению пользовательских данных.
Примечание: Все действия производятся с административными правами.
groupadd testgroup
Опции:
-g - установить собственное уникальное числовое значение идентификатора группы (ID);
-p - задать пароль группы (не рекомендуется из-за небезопасности);
-r, --system - создать системную группу с GID меньше 1000.
groupmod -n newgroupname oldgroupname
Опции:
-g - новый GID;
-n - новое имя группы;
-p - новый пароль группы.
groupdel testgroup
cat /etc/default/useradd
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
Описание:
- /bin/bash - shell, используемый по умолчанию для новых пользователей;
- /etc/skel - "скелет" (т.е. шаблон), по которому будут создаваться некоторые каталоги/файлы в домашнем каталоге нового пользователя.
ls /etc/skel
drwxr-xr-x. 4 root 4,0K 2022-01-20 23:37 .mozilla/
-rw-r--r--. 1 root 18 2022-09-27 17:27 .bash_logout
-rw-r--r--. 1 root 141 2022-09-27 17:27 .bash_profile
-rw-r--r--. 1 root 492 2022-09-27 17:27 .bashrc
Примечание: Здесь возможно заранее преднастроить профили новых пользователей, создаваемые по умолчанию для IceCat/Firefox, Bash и прочего предустановленного ПО.
Примечание: Зесь приведены только те, что представляют особый интерес.
cat /etc/login.defs
FAIL_DELAY 3
- задержка в секундах после набора неправильного пароля (не сработает, если используется PAM, тогда эта величина может быть принудительно изменена).
UMASK 022
- права доступа, создаваемые для нового пользователя по умолчанию, либо в системах, не использующих PAM. В целях повышения безопасности разработчики рекомендуют изменить на 027 или 077. Задействуются только если не установлено значение HOME_MODE (см. ниже).
HOME_MODE 0700
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
- максимальное и минимальное значения (в днях) действия парольной фразы пользователя; а также за сколько дней до окончания ее валидности он будет предупрежден о необходимости смены парольной фразы.
UID_MIN 1000
UID_MAX 60000
System accounts
SYS_UID_MIN 201
SYS_UID_MAX 999
- минимальные и максимальные UID для системных и пользовательских аккаунтов (не изменяйте!)
Примечание: Общий смысл - в RedHat обычные пользователи (в т.ч. и обладающие административными правами) имеют UID, начиная с 1000 (первый зарегистрированный пользователь).
LOGIN_RETRIES 3
- максимальное количество попыток набора неправильной парольной фразы.
LOGIN_TIMEOUT 60
- максимальное время ожидания ввода пароля.
USERGROUPS_ENAB yes
- разрешает удалять пустую группу, если удален последний пользователь, принадлежащий к ней.
CREATE_HOME yes
- создает пользовательские домашние каталоги по умолчанию (в некоторых специфичных случаях, например, для системных учетных записей с UID < 1000 это не обязательно).
groupadd testgroup
Примечание: Логин пользователя - "test"; ФИО: "Name Surname".
useradd --base-dir /home --create-home --home /home/test --shell /bin/bash --user-group --groups testgroup,testgroup1,testgroup2 --comment "Name Surname" test
Опции:
-b, --base-dir - общий базовый каталог; по умолчанию для всех пользователей - /home;
-m, --create-home - создать пользовательский домашний подкаталог в /home;
-d, --home - имя пользовательского домашнего каталога;
-s, --shell - используемая оболочка; определена как bash;
-U, --user-group - создание группы с именем нового пользователя и включение его в нее;
-G, --groups - добавление пользователя в другие группы (перечисляются через запятую и без пробелов); группы должны уже существовать;
-c, --comment - комментарии к учетной записи (как правило: "Имя Фамилия"); приводятся в двойных кавычках.
Дополнительные опции:
Примечание: Имеют больший приоритет, нежели определенные в /etc/login.defs по умолчанию.
-e (date) - Дата деактивации аккаунта в формате YYYY-MM-DD;
-f (days) - количество дней после устаревания текущей парольной фразы и до того времени, когда аккаунт будет отключен автоматически (0 - аккаунт отключится сразу же после устаревания парольной фразы; -1 - аккаунт не будет деактивирован после устаревания);
-M - не создавать домашний каталог пользователя;
-N - не создавать группу, одноименную с логином пользователя
-r, --system - создать системную учётную запись с UID меньше 1000 и без домашней директории.
passwd test
Изменяется пароль пользователя test.
[ВВОД НОВОЙ ПАРОЛЬНОЙ ФРАЗЫ]
[ПОВТОРНЫЙ ВВОД НОВОЙ ПАРОЛЬНОЙ ФРАЗЫ]
Опции:
-d - удаление текущего пароля;
-e - определение текущего пароля устаревшим; принудит пользователя сменить его;
-i - заблокировать ученую запись спустя * дней после устаревания пароля;
-n - минимальное количество дней между сменами пароля;
-x - максимальное количество дней, после которого требуется изменить пароль.
-l, --lock - заблокирование пароля пользователя;
-u, --unlock - разблокирование пароля пользователя;
Важно! Опция --lock блокирует только вход в ОС по связке "логин + парольная фраза", НО(!) допускает другие способы авторизации в системе, например - по SSH. Поэтому для полного блокирования аккаунта используйте команду:
chage -E 0 user
cat /etc/group
(...)
testgroup:x:1002:
groups test
(...)
test : test testgroup
cat /etc/passwd
(...)
test:x:1001:1003:Name Surname:/home/test:/bin/bash
cat /etc/shadow
(...)
test:$6$00GJrgw0$yf8aK (...).:1215:0:9999:7:::
cat ls -lhaF1 /home/test/
-rw-r--r--. 1 test test 18 апр 15 12:11 .bash_logout
-rw-r--r--. 1 test test 193 апр 15 12:11 .bash_profile
-rw-r--r--. 1 test test 231 апр 15 12:11 .bashrc
drwxr-xr-x. 4 test test 4,0K дек 12 04:17 .mozilla/
Примечание: опции аналогичны useradd.
usermod [новые параметры] test
Добавление пользователя в группы с административными привилегиями (с правом исполнения su):
usermod -a -G wheel test
Примечание: Я крайне не рекомендую такое разрешающее действие даже для текущего ("первого") пользователя системы, а уж тем более - для дополнительного!
userdel -fr test
Опции:
-f - принудительно удалить даже активного пользователя;
-r - удалить домашний каталог.
Подробнее см.:
man groupadd, groupmod, groupdel, useradd, login, passwd, usermod, userdel, shadow
🄯 Rami Rosenfeld, 2022. GNU FDL 1.3.