Линукс. Права доступа. Пользователи. Аутентификация.

 

Ключевые слова: UID, GID, login, passwd, /etc/passwd, /etc/shadow, useradd, userdel, addused, usermod, /etc/login.defs, su, sudo, /etc/sudoers, visudo

 

/etc/shadow: файл содержит информацию о зашифрованных паролях в учетных записях пользователей и об актуальности паролей. Там содержится такая информация:

 

 

usermod - изменение регистрационной информации о пользователе в системе.

Синтаксис: usermod [-u идентификатор [-U] [-o]] [-g группа] [-G группа[[,группа] . . .]] [-d каталог [-m]] [-s shell] [-c комментарий] [-l новое_рег_имя] [-f inactive] [-e expire] [-p passgen] [-a [оператор]событие[, . . .]] рег_имя

Поддерживаются следующие опции:

-u идентификатор

Идентификационный номер пользователя (UID). Этот номер должен быть неотрицательным целым числом, не превосходящим MAXUID, определенный в sys/param.h. Эта опция игнорируется, если новое регистрационное имя будет администрироваться сетевой информационной службой (NIS).

-o

Эта опция позволяет сдублировать указанный UID (сделать его не уникальным). Поскольку защита системы в целом, а также целостность контрольного журнала (audit trail) и учетной информации (accounting information) в частности, зависит от однозначного соответствия каждого UID определенному лицу, использовать эту опцию не рекомендуется (чтобы обеспечить учет действий пользователей).

-U

При задании этой опции проверяется список путей, указанных в /etc/default/usermod. Для любых файлов или каталогов в указанных в списке путях, владельцем которых является пользователь со старым UID, идентификатор владельца будет изменен на новый. В список путей обычно входит начальный каталог пользователя и файл почтовых сообщений. Эта опция также отключает файл crontab для старого UID и снова включает его с новым идентификатором. Когда используется эта опция, должна быть также указана опция -u.

-g группа

Целочисленный идентификатор или символьное имя существующей группы. Эта опция задает основную группу (primary group) для нового пользователя. Эта опция игнорируется, если новое регистрационное имя будет администрироваться сетевой информационной службой (NIS).

-G группа[[,группа] . . .]

Один или несколько элементов в списке через запятую, каждый из которых представляет собой целочисленный идентификатор или символьное имя существующей группы. Эта опция задает для указанного пользователя новый список дополнительных групп, к которым он будет принадлежать, замещая существующий список дополнительных групп. Повторения игнорируются. Количество элементов в списке не должно превосходить NGROUPS_MAX-1, поскольку общее количество дополнительных групп для пользователя плюс основная группа не должно превосходить NGROUPS_MAX. Эта опция игнорируется, если новое регистрационное имя будет администрироваться сетевой информационной службой (NIS).

-d dir

Новый начальный каталог для пользователя. Длина этого поля не должна превышать 256 символов.

-m

Переносит начальный каталог пользователя в новый каталог, указанный с помощью опции -d. Если каталог уже существует, пользователь с указанным регистрационным именем должен иметь к нему доступ.

-s shell

Полный путь к программе, используемой в качестве начального командного интерпретатора для пользователя сразу после регистрации. Длина этого поля не должна превосходить 256 символов. В качестве значения shell должен быть указан существующий выполняемый файл.

-c комментарий

Любая текстовая строка. Обычно, это краткое описание регистрационного имени и используется сейчас для указания фамилии и имени реального пользователя. Эта информация хранится в записи пользователя в файле /etc/passwd. Длина этого поля не должна превосходить 128 символов.

-l новое_рег_имя

Строка печатных символов, задающая новое регистрационное имя для пользователя. Она не должна содержать двоеточий (:) и переводов строк (\n). Кроме того, она не должна начинаться с прописной буквы.

-f inactive

Максимально допустимое количество дней между использованиями регистрационного имени, когда это имя еще не объявляется недействительным. Обычно в качестве значений используются положительные целые числа. Значение 0 отключает проверку неактивности.

-e expire

Дата, начиная с которой регистрационное имя больше нельзя будет использовать; после этой даты никакой пользователь не сможет получить доступ под этим регистрационным именем. (Эта опция удобна при создании временных регистрационных имен.) Вводить значение аргумента expire (представляющего собой дату) можно в любом формате (кроме Julian date). Например, можно ввести 10/6/99 или October 6, 1999. Значение "" отключает проверку срока действия.

-p passgen

Указывает, что поле FLAG в файле /etc/shadow должно быть установлено в указанное значение. К этому полю обращается команда passwd, чтобы определить, действует ли для данного пользователя генератор паролей. Если значение passgen не пустое и не является печатным символом ASCII, выдается диагностическое сообщение.

-a [оператор] событие(я)

Устанавливает маску аудита (audit mask) для пользователя на основе указанного события или событий. Оператор можно указывать (как + для добавления или - для удаления события) или не указывать (тогда существующий список событий замещается). Эту опцию можно использовать, только если установлены утилиты аудита (Auditing Utilities). (Чтобы узнать, какие пакеты установлены в системе, выполните команду pkginfo.)

рег_имя

Строка печатных символов, задающая регистрационное имя существующего пользователя. Регистрационное имя должно существовать и не должно содержать двоеточий (:) и переводов строк (\n). Если перед регистрационным именем указан символ + или -, изменения будут выполнены для пользователя, администрируемого сетевой информационной службой (NIS), а не для локального пользователя. В этом случае опции -u, -g и -G, если они указаны, молча игнорируются. Значения же идентификатора пользователя и идентификатора группы берутся из базы данных NIS.