Алексей Федорчук
2001-2005 гг
Средства для управления акаунтами несколько отличаются в Linux и в BSD-системах. Причем BSD-утилиты администрирования пользователей и групп являются существенно более мощными, разнообразными, удобными и универсальными, почему и сконцентрируем на них основное внимание, делая соответствующие оговорки относительно аналогичных по назначению средств Linux.
Начнем с создания пользователей. Самое простое на сей предмет средство — команда adduser
, тем более, что утилита с этим именем имеется во всех POSIX-системах, по крайней мере открытых. Для создания единичного акаунта ее можно запустить без опций:
$ adduser
В ответ она в диалоговом режиме последовательно запросит следующую информацию:
- Username — имя пользователя, требуется задать обязательно;
- Full name — теоретически имя и фамилия пользователя, его можно оставить пустым или ввести произвольную информацию, которая составит значение поля комментария в базе данных пользователей;
- Uid — идентификатор пользователя; если это поле оставить пустым, то он автоматически примет ближайшее свободное значение (для первого пользователя в системе — 1001);
- Login group — основная группа пользователя, по умолчанию — собственная, совпадающая с его именем;
- Login group is group_name. Invite exp into other groups? [] — включить ли пользователя в другие группы; если предполагается его доступ к полномочиям администратора, то здесь следует указать группу
wheel
; - Login class [default] — очень важный атрибут (см. следующую интермедию); в наших условиях лучше всего задать класс
russian
; - Shell (sh csh tcsh) [sh] — пользовательская оболочка; предлагаемый по умолчанию вариант (
sh
) — отнюдь не лучший, о чем подробнее я скажу чуть позже; - Home directory [/home/username] — имя домашнего каталога пользователя;
- Use password-based authentication? [yes] — использовать ли авторизацию по паролю;
- Use an empty password? (yes/no) [no] — использование пустого пароля (по нажатию клавиши Enter);
- Use a random password? (yes/no) [no] — генерация произвольного пароля;
- Enter password — ввод пароля;
- Enter password again — и его повторение;
- Lock out the account after creation? [no] — закрыть ли доступ к акаунту после его создания.
После честного и откровенного ответа на все поставленные вопросы будет выведено сообщение такого рода:
Username : exp Password : ***** Full Name : Uid : 1002 Class : russian Groups : exp Home : /home/exp Shell : /bin/sh Locked : no OK? (yes/no):
Если с этим согласиться. последует сообщение об успехе процедуры и предложение создать еще один Акаунт:
adduser: INFO: Successfully added (exp) to the user database. Add another user? (yes/no):
Однако, если планируется создание серии однотипных учетных записей, целесообразно сначала выполнить настройку команды adduser
, для чего ее следует запустить таким образом:
$ adduser -C
После чего последуют запросы о некоторых общих атрибутах, которые будут в дальнейшем распространяться по умолчанию на все создаваемые учетные записи. А именно:
- Login group — здесь можно задать общую группу для всех пользователей, например,
users
(сама группа должна быть создана предварительно, как — см. ниже); - Enter additional groups -список дополнительных групп, к которым будут приписаны все вновь создаваемые пользователи (например,
wheel operator
); - Login class — класс пользователей по умолчанию, взамен
defaults
; как я уже говорил, в качестве такового в наших условиях целесообразно определитьrussian
; - Shell (sh csh tcsh) — командная оболочка (login shell) по умолчанию; если вы предпочитаете пользоваться каким-либо шеллом, здесь не указанным (например, zsh), его также можно указать здесь, внеся предварительно имя и полный путь к нему в файл
/etc/shells
; - Home directory — если планируется использование домашних каталогов, отличных от умолчальных
/home/username
; - Use password-based authentication? и прочие — общие условия парольного доступа;
- умолчальное согласие с введенными данными и (или) их правка.
Определённые таким образом общие атрибуты сохраняются в файле /etc/adduser.conf
и введённые нами ответы на их запрос в дальнейшем будут предлагаться по умолчанию.
К сказанному остается добавить только, что команда adduser
автоматически сама проверяет имя и идентификаторы пользователя на предмет уникальности, предлагая для последних подходящие значения (обычно — следующие по порядку за ID предыдущего зарегистрированного пользователя), создает домашний каталог пользователя и копирует туда «скелеты» конфигурационных файлов (они берутся из файлов каталога /etc/skel
— по умолчанию он пуст, и созданием соответствующих «скелетов» следует озаботиться самому), после чего делает соответствующие записи в базах данных пользователей — файлах /etc/passwd
, /etc/master.passwd
, /etc/group
и /etc/master.group
.
Кроме диалогового режима, команда adduser
имеет и режим чисто командный, когда все пользовательские атрибуты задаются опциями командной строки. Ознакомиться с ними можно на странице документации —
$ man 8 adduser
Команда adduser
(или useradd
) имеется и в Linux, однако там возможности ее несколько меньше. В частности, она не создает автоматически домашний каталог пользователя — это следует сделать вручную командой
$ mkdir /home/username
Да еще и позаботиться о установке его принадлежности пользователю и группе:
$ chown -R username /home/username && chgroup -R users /home/username
Впрочем, это можно сделать и в один прием:
$ chown -R username:users /home/username
Использование adduser
— наиболее автоматизированный, но и наименее гибкий способ управления учетными записями. Основное его назначение — создание либо единичного акаунта, либо многочисленных учетных записей со сходными атрибутами и профильными файлами пользователей, «скелеты» которых заблаговременно создаются в каталоге /etc/skel
.
Другая крайность — внесение всех данных пользователя в файл /etc/master.passwd
вручную (в текстовом редакторе) и дальнейший запуск команды pwd_mkdb
, которая в форме
$ pwd_mkdb -p /etc/master.passwd
внесет соответствующие изменения в остальные три файла, имеющие отношение к акаунтами. При этом поле пароля следует оставить пустым, поскольку любой набор символов в нем развертыванию в реальный пароль не поддается. И в дальнейшем не забыть определить пароль специальной командой passwd
. Кроме того, в реально многопользовательской (то есть не настольной) системе следует быть уверенным, что никто другой в этот же момент времени не занимается изменением учетных записей — иначе трудно предсказать, чьи модификации возымеют силу. А заниматься этим может не только другой администратор системы, но и пользователь, изменяющий свой пароль или командную оболочку.
Далее, существует программа vipw
, совмещающая оба процесса: вызов текстового редактора для внесения вручную изменений в файл /etc/master.passwd
, а по выходе из него — модификацию баз пользовательских записей командой pwd_mkdb
. В качестве редактора используется значение переменной EDITOR
в профильном файле администратора. Если такового нет — вызывается классический редактор всех Unix-систем — vi
(откуда и название программы).
Наконец, самое мощное средство для управления учетными записями пользователей вообще — команда pw
. Это — специфичная для BSD-систем, универсальная утилита администрирования учетных записей пользователей и групп — их создания, изменения и удаления юзеров и групп. Для создания нового пользователя ее проще всего запустить в автоматическом режиме — в форме
$ pw useradd username
после чего она сама подберет подходящие (то есть ближайшие по порядку свободные) идентификаторы пользователя и группы, поля общих сведений, домашнего каталога и командной оболочки заполнит некими значениями по умолчанию (User ID, /home/username
, /bin/sh
, соответственно), прочие же оставит пустыми. Сам домашний каталог она тоже не создаст — для этого она потребует формы
$ pw useradd username -m
во исполнение которой заодно будут скопированы и «скелетные» файлы.
Кроме этого, команда pw
может создавать учетную запись пользователя с заранее предопределенными атрибутами, описанными в файле /etc/pw.conf
. Правда, для этого такой файл необходимо предварительно создать — командой
$ pw useradd -D
В первозданном виде он будет содержать все те же сведения по умолчанию. Однако его легко отредактировать в текстовом редакторе для внесения всех необходимых данных, которые отныне и будут выступать в качестве «умолчальных» для команды pw. К слову сказать (и это — очень ценное свойство данной команды) — учетные записи ранее созданных пользователей могут быть приведены в соответствие с новой их «скелетной» схемой с помощью команды
$pw useradd -D username
Ничто не мешает и задать несколько таких конфигурационных файлов (например, /etc/pw1.conf
, /etc/pw2.conf
и т.д.) для создания учетных записей пользователей разных категорий (например реальных или виртуальных, или пользователей с различными значениями атрибута class
). Приведение конкретной учетной записи к какой-либо из принятых схем после этого можно выполнить командой
$ pw adduser username -C /etc/pw1.conf
она создает учетную запись нового пользователя с именем newuser и его домашним каталогом /home/newuser
, в который копируются конфигурационные файлы командной оболочки. Файлы, подлежащие копированию, определяются содержимым каталога /etc/skel
и могут быть отредактированы администратором в текстовом редакторе.
Некоторые атрибуты учетной записи пользователя, будучи раз созданными, могут быть изменены в дальнейшем, причем некоторые — и самим пользователем (не только root-оператором). Наиболее часто такая необходимость возникает в отношении пароля. Во-первых, как уже было сказано, не всегда он задается при создании учетной записи. Во-вторых, менять пароль время от времени рекомендуется и из соображений безопасности.
Для смены пароля предназначена команда passwd
, общая для всех POSIX-систем. Запущенная от лица обычного пользователя без параметров и аргументов, она запросит для начала старый его пароль (если такового не было, этот шаг, естественно, пропускается), затем — новый пароль и его повторение (во избежание ошибки ввода).
Администратор системы с помощью команды
$ passwd username
может поменять пароль любого пользователя. старый пароль его при этом не запрашивается — да, в общем случае, администратор его и не знает (и восстановить из базы пользовательских записей простым способом не может).
Далее, пользователь может изменить еще два атрибута — общие сведения о себе (то есть поле комментария) и командную оболочку. Для этого он вправе использовать команду chpass
, которая вызовет в текстовом редакторе (определенном переменной EDITOR профильного файла пользователя, за отсутствием таковой — в редакторе vi
) следующие поддающиеся изменению сведения:
#Changing user database information for alv. Shell: /bin/csh Full Name: Alex Fedorchuk Office Location: Office Phone: Home Phone: Other information:
По завершении их модификации и выходе из редактора внесенные изменения будут зафиксированы в базах данных автоматически. Нетрудно догадаться, что для этого команда chpass
должна иметь упоминавшийся в
$ ls -l /usr/bin/chpass -r-sr-xr-x 6 root wheel 32324 Jan 28 16:12 /usr/bin/chpass
Кроме этого, для изменения командной оболочки пользователя во всех POSIX-системах служит команда chsh
, требующая опции -s
, значением которой служит полный путь к исполняемому файлу нового шелла, и аргумента — имени пользователя. Впрочем, если шелл изменяет сам пользователь, в последнем нет необходимости.
Другие изменения учетной записи требуют вмешательства администратора, который может обратиться к той же команде chpass
с указанием имени пользователя как аргумента:
$ chpass username Login: alv Password: lhBESi9NHbsrg Uid [#]: 1000 Gid [# or name]: 1000 Change [month day year]: Expire [month day year]: Class: russian Home directory: /home/alv Shell: /bin/csh Full Name: Alex Fedorchuk Office Location: Office Phone: Home Phone: Other information:
Можно видеть, что root-оператору предоставлено гораздо больше возможностей для изменения атрибутов акаунта. Что, прочем, не значит, что он может использовать их все. Так, изменение идентификатора пользователя эквивалентно созданию пользователя нового, а изменение имени просто поставит ему в соответствие тот же идентификатор. Ни то, ни другое не вызовет ничего, кроме путаницы. Идентификатор основной группы, вероятно, изменить можно, хотя трудно представить необходимость этого. Ну а о пароле уже говорилось достаточно.
Так что фактически из недоступных пользователю полей изменению подлежат только класс и временные атрибуты акаунта. Почему последние подведомственны администратору — понято. Отношение же к классу выведено из сферы компетенции пользователя, так как через его определение возможен очень широкий круг настроек, в том числе и связанных с разделением доступа, степенью безопасности, и т.д.
Теоретически, для изменения учетных записей в разных POSIX-системах применяются также команды chfn
и chsh
, но в BSD эти файлы — лишь иные имена для команды chpass
, и потому вызов любой из них автоматически влечет запуск последней.
Внести изменение в учетную запись можно и командой adduser
с соответствующими опциями, например:
$ adduser -shell shell
для изменения командной оболочки,
$ adduser -class login_class
для изменения класса пользователя, и т.д. — список возможностей можно получить по команде
$ adduser --help
Кроме этого, для изменения учетных записей может применяться и универсальная команда pw
с параметром usermod
, именем пользователя и соответствующими (весьма многочисленными) опциями, с которыми можно ознакомиться посредством
$ man 8 pw
Удаление учетной записи пользователя, на первый взгляд, задача очень простая: достаточно удалить соответствующую строку из файла /etc/master.passwd
и запустить команду pwd_mkdb
для синхронизации изменений, точно также, как это делалось при создании акаунта. Или прибегнуть к программе vipw
, которая сделает это сама. Однако и в том, и в другом случае будут удалены только сами учетные записи, а пользовательские каталоги, почтовые ящики, временные файлы, результаты всякого рода протоколирования действий (log-файлы) благополучно сохраняться, причем будут рассеяны по ряду каталогов (кроме /home
, в основном, также по /tmp
и /var
). Кроме того, упоминания имени удаленного пользователя останутся в списках принадлежности к группам, конфигурационных файлах авторизации, систем доставки почты, почтовых и ftp-клиентов (и в иных местах). Что может создать проблемы, если в дальнейшем будет создан пользователь с тем же идентификатором и (или) именем.
Поэтому для бесследного истребления следов жизнедеятельности удаленного пользователя их следует сначала отыскать. Все принадлежащие ему файлы могут быть найдены командой find
:
$ find / -user username
А добавив в конец строки опцию -delete
(или перенаправив вывод по конвейеру команде rm
) — и немедленно уничтожить их. А для поиска упоминаний имени в конфигурационных файлах можно прибегнуть к команде grep
:
$ grep -e username /*
Однако ради чистоты исполнения в обоих случаях поиск должен проводиться, начиная с корневого каталога (о чем сигнализирует символ /
в аргументах обоих команд). И может занять немало времени.
Поэтому может оказаться целесообразным прибегнуть к команде rmuser
для автоматизации процесса. В форме
$ rmuser username
она удалит не только учетную запись из базы данных, но также и домашний каталог, почтовый ящик, имя в списках принадлежности групп (/etc/group
) и еще некоторых конфигурационных файлах.
И конечно, ту же работу в состоянии сделать и палочка-выручалочка администратора — команда pw
в форме
$ pw userdel username -r
Где следует обратить внимание на опцию -r
— без нее pw
удалит только пользовательскую запись из базы акаунтов.
Разумеется, существуют и средства для управления записями групп. Как уже говорилось, новая группа автоматически создается при заведении нового пользовательского акаунта. По умолчанию ее имя и численное значение идентификатора совпадают с именем и идентификатором пользователя. И для последнего эта группа в дальнейшем остается основной — то есть только о ней содержится информация в учетной записи пользователя.
Однако пользователь может принадлежать и к иным, дополнительным, группам: для этого его имя или идентификатор должен быть приписан к списку таких групп в файле /etc/group
. Это может сделать администратор в любом текстовом редакторе (никаких дальнейших действий по синхронизации изменений не потребуется).
В полномочиях root-оператора также и создание новых дополнительных групп — просто добавив строку по образу и подобию любой существующей, записав в последнее ее поле имена тех пользователей, которые должны быть ее членами. Тем же способом группа может быть и удалена.
И конечно, для управления группами можно применить универсальное средство — pw
. В форме
$ pw group add groupname
она создаст новую группу,
$ pw group del groupname
удалит существующую, а посредством
$ pw group mod groupname -m username1 username2
или
$pw group mod groupname -M username1 username2
дополнит или полностью перепишет списков членов группы, соответственно. Наконец, с помощью
$ pw usermod username -G groupname
можно приписать пользователя к указанной группе в индивидуальном порядке.