💾 Archived View for tilde.team › ~rami › redhat_user.gmi captured on 2023-01-29 at 04:20:39. Gemini links have been rewritten to link to archived content

View Raw

More Information

➡️ Next capture (2023-03-20)

-=-=-=-=-=-=-

~Rami ₪ MANUALS

רמי

SUBJECT: RedHat (RHEL, Fedora, CentOS): Работа с группами и пользователями

AUTHOR: Rami Rosenfeld

DATE: 10/10/22

TIME: 19.00

LANG: ru, en

LICENSE: GNU FDL 1.3

TAGS: gnu, gnome, software, opensource, linux, system, man, manual, bash, privacy, security, user, group

RedHat (RHEL, Fedora, CentOS): Работа с группами и пользователями

INTRO

Важно! Как в случаях с LUKS2 и GNUPG (см. отдельные руководства), это очень ответственная и критичная операция; любая ошибка или невнимательность администратора могут привести к несанкционированному доступу к операционной системе и/или потере/похищению пользовательских данных.

NOTE

Примечание: Все действия производятся с административными правами.

Работа с группами

groupadd testgroup

Опции:

-g - установить собственное уникальное числовое значение идентификатора группы (ID);

-p - задать пароль группы (не рекомендуется из-за небезопасности);

-r, --system - создать системную группу с GID меньше 1000.

groupmod -n newgroupname oldgroupname

Опции:

-g - новый GID;

-n - новое имя группы;

-p - новый пароль группы.

groupdel testgroup

Работа с пользователями

cat /etc/default/useradd

GROUP=100

HOME=/home

INACTIVE=-1

EXPIRE=

SHELL=/bin/bash

SKEL=/etc/skel

CREATE_MAIL_SPOOL=yes

Описание:

- /bin/bash - shell, используемый по умолчанию для новых пользователей;

- /etc/skel - "скелет" (т.е. шаблон), по которому будут создаваться некоторые каталоги/файлы в домашнем каталоге нового пользователя.

ls /etc/skel

drwxr-xr-x. 4 root 4,0K 2022-01-20 23:37 .mozilla/

-rw-r--r--. 1 root 18 2022-09-27 17:27 .bash_logout

-rw-r--r--. 1 root 141 2022-09-27 17:27 .bash_profile

-rw-r--r--. 1 root 492 2022-09-27 17:27 .bashrc

Примечание: Здесь возможно заранее преднастроить профили новых пользователей, создаваемые по умолчанию для IceCat/Firefox, Bash и прочего предустановленного ПО.

Примечание: Зесь приведены только те, что представляют особый интерес.

cat /etc/login.defs

FAIL_DELAY 3

- задержка в секундах после набора неправильного пароля (не сработает, если используется PAM, тогда эта величина может быть принудительно изменена).

UMASK 022

- права доступа, создаваемые для нового пользователя по умолчанию, либо в системах, не использующих PAM. В целях повышения безопасности разработчики рекомендуют изменить на 027 или 077. Задействуются только если не установлено значение HOME_MODE (см. ниже).

HOME_MODE 0700

PASS_MAX_DAYS 99999

PASS_MIN_DAYS 0

PASS_WARN_AGE 7

- максимальное и минимальное значения (в днях) действия парольной фразы пользователя; а также за сколько дней до окончания ее валидности он будет предупрежден о необходимости смены парольной фразы.

UID_MIN 1000

UID_MAX 60000

System accounts

SYS_UID_MIN 201

SYS_UID_MAX 999

- минимальные и максимальные UID для системных и пользовательских аккаунтов (не изменяйте!)

Примечание: Общий смысл - в RedHat обычные пользователи (в т.ч. и обладающие административными правами) имеют UID, начиная с 1000 (первый зарегистрированный пользователь).

LOGIN_RETRIES 3

- максимальное количество попыток набора неправильной парольной фразы.

LOGIN_TIMEOUT 60

- максимальное время ожидания ввода пароля.

USERGROUPS_ENAB yes

- разрешает удалять пустую группу, если удален последний пользователь, принадлежащий к ней.

CREATE_HOME yes

- создает пользовательские домашние каталоги по умолчанию (в некоторых специфичных случаях, например, для системных учетных записей с UID < 1000 это не обязательно).

groupadd testgroup

Примечание: Логин пользователя - "test"; ФИО: "Name Surname".

useradd --base-dir /home --create-home --home /home/test --shell /bin/bash --user-group --groups testgroup,testgroup1,testgroup2 --comment "Name Surname" test

Опции:

-b, --base-dir - общий базовый каталог; по умолчанию для всех пользователей - /home;

-m, --create-home - создать пользовательский домашний подкаталог в /home;

-d, --home - имя пользовательского домашнего каталога;

-s, --shell - используемая оболочка; определена как bash;

-U, --user-group - создание группы с именем нового пользователя и включение его в нее;

-G, --groups - добавление пользователя в другие группы (перечисляются через запятую и без пробелов); группы должны уже существовать;

-c, --comment - комментарии к учетной записи (как правило: "Имя Фамилия"); приводятся в двойных кавычках.

Дополнительные опции:

Примечание: Имеют больший приоритет, нежели определенные в /etc/login.defs по умолчанию.

-e (date) - Дата деактивации аккаунта в формате YYYY-MM-DD;

-f (days) - количество дней после устаревания текущей парольной фразы и до того времени, когда аккаунт будет отключен автоматически (0 - аккаунт отключится сразу же после устаревания парольной фразы; -1 - аккаунт не будет деактивирован после устаревания);

-M - не создавать домашний каталог пользователя;

-N - не создавать группу, одноименную с логином пользователя

-r, --system - создать системную учётную запись с UID меньше 1000 и без домашней директории.

passwd test

Изменяется пароль пользователя test.

[ВВОД НОВОЙ ПАРОЛЬНОЙ ФРАЗЫ]

[ПОВТОРНЫЙ ВВОД НОВОЙ ПАРОЛЬНОЙ ФРАЗЫ]

Опции:

-d - удаление текущего пароля;

-e - определение текущего пароля устаревшим; принудит пользователя сменить его;

-i - заблокировать ученую запись спустя * дней после устаревания пароля;

-n - минимальное количество дней между сменами пароля;

-x - максимальное количество дней, после которого требуется изменить пароль.

-l, --lock - заблокирование пароля пользователя;

-u, --unlock - разблокирование пароля пользователя;

Важно! Опция --lock блокирует только вход в ОС по связке "логин + парольная фраза", НО(!) допускает другие способы авторизации в системе, например - по SSH. Поэтому для полного блокирования аккаунта используйте команду:

chage -E 0 user

cat /etc/group

(...)

testgroup:x:1002:

groups test

(...)

test : test testgroup

cat /etc/passwd

(...)

test:x:1001:1003:Name Surname:/home/test:/bin/bash

cat /etc/shadow

(...)

test:$6$00GJrgw0$yf8aK (...).:1215:0:9999:7:::

cat ls -lhaF1 /home/test/

-rw-r--r--. 1 test test 18 апр 15 12:11 .bash_logout

-rw-r--r--. 1 test test 193 апр 15 12:11 .bash_profile

-rw-r--r--. 1 test test 231 апр 15 12:11 .bashrc

drwxr-xr-x. 4 test test 4,0K дек 12 04:17 .mozilla/

Примечание: опции аналогичны useradd.

usermod [новые параметры] test

Добавление пользователя в группы с административными привилегиями (с правом исполнения su):

usermod -a -G wheel test

Примечание: Я крайне не рекомендую такое разрешающее действие даже для текущего ("первого") пользователя системы, а уж тем более - для дополнительного!

userdel -fr test

Опции:

-f - принудительно удалить даже активного пользователя;

-r - удалить домашний каталог.

Подробнее см.:

man groupadd, groupmod, groupdel, useradd, login, passwd, usermod, userdel, shadow

Managing Users and Groups

₪ Back to home ₪

🄯 Rami Rosenfeld, 2022. GNU FDL 1.3.