Linux distrolarda istifadəçi idarəetməsi

Linux Admin – User Management İstifadəçi idarəetməsindən danışarkən, başa düşülməsi vacib olan üç mühüm termin var

• Users
• Groups
• Permissions

Biz artıq fayllara və qovluqlara tətbiq olunan icazələri ətraflı şəkildə müzakirə etmişik. Bu dərsimizdə isə gəlin istifadəçilər və qruplar haqqında danışaq.

Bu gün biz praktikalarımızı Linuxun  CentOS  istifadə edcəyik. CentOS  sistemində iki növ hesab mövcuddur

• Sistem hesabları − Daemon (xidmət prosesi) və ya digər proqram təminatları üçün istifadə olunur.
• İnteraktiv hesablar − Adətən sistem resurslarına çıxış üçün istifadəçiyə təyin olunur.

Bu iki istifadəçi növü arasındakı əsas fərq belədir −

• Sistem hesabları daemon-ların fayl və qovluqlara çıxışı üçün istifadə olunur. Bu hesablarla adətən shell üzərindən və ya fiziki konsol vasitəsilə interaktiv girişə icazə verilmir.
• İnteraktiv hesablar son istifadəçilər tərəfindən hesablanma resurslarına ya shell üzərindən, ya da fiziki konsol girişi vasitəsilə çıxış üçün istifadə olunur.

İstifadəçilər haqqında bu əsas anlayışla, indi İT Şöbəsində çalışan Orkhan Jalalov üçün yeni bir istifadəçi yaradaq. Yeni istifadəçi əlavə etmək üçün adduser komandasından istifadə olunur.

Aşağıda adduser komandası ilə istifadə olunan bəzi ümumi parametrlər aşağıda (switch-lər) göstərilmişdir

Parametr                        Əməliyyat
-c                          İstifadəçi hesabına şərh (comment) əlavə edir
-m                        Əgər mövcud deyilsə, istifadəçi üçün standart yerdə ev (home) qovluğu yaradır
-g                         İstifadəçiyə təyin olunacaq əsas qrupu göstərir
-n                         İstifadəçi üçün ayrıca (şəxsi) qrup yaratmır, adətən istifadəçi adı ilə uyğun qrup
-M                        Ev (home) qovluğu yaratmır
-s                          bash əvəzinə fərqli standart shell təyin edir
-u                          UID (istifadəçi identifikatoru) təyin edir (əks halda sistem özü təyin edir)
-G                          İstifadəçinin daxil ediləcəyi əlavə qrupları göstərir

Yeni istifadəçi yaradan zaman -c, -m, -g, -n parametrlərini aşağıdakı kimi istifadə edin

[[email protected] Downloads]# useradd -c "Orkhan Jalalov İT Dept Manager" 
-m -g accounting -n ojalalov

İndi isə yeni istifadəçimizin yaradılıb-yaradılmadığını yoxlayaq

[[email protected] Downloads]# id ojalalov 
(ojalalov) gid = 1001(accounting) groups = 1001(IT)
[[email protected] Downloads]# grep bjones /etc/passwd 
ojalalov:x:1001:1001:Orkhan Jalalov IT Dept Manager:/home/ojalalov:/bin/bash
[[email protected] Downloads]#

İndi passwd komandasından istifadə edərək yeni hesabı aktivləşdirməliyik

[[email protected]]# passwd ojalaov
Changing password for user ojalalov. 
New password:  
Retype new password:  
passwd: all authentication tokens updated successfully.

[[email protected]]#

İstifadəçinin sistemə daxil olmasına icazə vermək üçün istifadəçi hesabı aktivləşdirilə bilmədi.

İstifadəçi hesablarının deaktiv edilməsi
Sistemdə hesabları söndürməyin bir neçə yolu var. Bunlar /etc/passwd faylını əl ilə redaktə etmək və ya hətta -lswitch ilə passwd komandasından  istifadə etməkdən ibarətdir. Bu metodların hər ikisinin bir böyük çatışmazlığı var: Əgər istifadəçinin ssh girişi varsa və autentifikasiya üçün RSA açarından istifadə edirsə, onlar hələ də bu metoddan istifadə edərək daxil ola bilərlər.İndi parolun bitmə tarixini daha əvvəlki tarixə dəyişdirərək chage komandasından istifadə edək. Hesabı niyə deaktiv etdiyimizi qeyd etmək də yaxşı fikir ola bilər.

[root@localhost Downloads]# chage -E 2005-10-01 ojalalov
 
[[email protected] Downloads]# usermod  -c "Disabled Account while Orkhan out of the country 
for five months" ojalalov

[[email protected] Downloads]# grep ojalalov/etc/passwd 
ojalalov:x:1001:1001:Disabled Account while Orkhan out of the country for four 
months:/home/ojalalov:/bin/bash

[[email protected]]#

Qrupları idarə edin
Linux-da qrupların idarə edilməsi, bütün qrup üzvlərinə tətbiq edilən icazə dəstlərini tətbiq etməklə, idarəçiyə istifadəçiləri konteynerlər arasında birləşdirməyi asanlaşdırır. Məsələn, IT -də olan bütün istifadəçilər eyni fayllara giriş tələb edə bilər. Beləliklə, biz İT istifadəçilərini əlavə etməklə İT qrupu yaradırıq.

Tipik olaraq, xüsusi icazələr tələb edən hər şey bir qrupda edilməlidir. Bu yanaşma çox vaxt yalnız bir istifadəçiyə xüsusi icazələrin tətbiqi ilə müqayisədə vaxta qənaət edir. Məsələn, Orxan hesabat vermək üçün məsuliyyət daşıyır və yalnız Orxan hesabat vermək üçün müəyyən fayllara giriş tələb edir. Bəs bir gün Orxan xəstələnsə və Fərhad hesabat hazırlasa nə olar? Yoxsa hesabata ehtiyac artarsa? Qrup yaradıldıqdan sonra Administrator bunu yalnız bir dəfə etməlidir. İstifadəçilər ehtiyaclar dəyişdikcə və ya genişləndikcə əlavə edilir.

Qrupları idarə etmək üçün bəzi ümumi komandalar aşağıdakılardır.

• chgrp
• groupadd
• groups
• usermod

chgrp − Fayl və ya qovluq üçün qrup sahibliyini dəyişir.

İT qrupunda olan əməkdaşlarının fayllarının saxlanılması üçün folder yaradaq.

[[email protected]]# mkdir /home/IT

[[email protected] Downloads]# ls -ld /home/IT
drwxr-xr-x. 2 root root 6 Jan 13 10:18 /home/IT

[[email protected]]#

İndi isə İT qrupuna qrup sahibliyi (group ownership) verək.

[[email protected]]# chgrp -v  IT/home/IT/ 
changed group of /home/IT/ from root to IT

[[email protected]]# ls -ld /home/IT/ 
drwxr-xr-x. 2 root IT 6 Jan 13 10:18 /home/IT/

[[email protected] Downloads]#

İndi IT qrupundakı hər kəs /home/IT icazələrini oxuyub icra edir. Onlar həmçinin yazma icazələrinə ehtiyac duyacaqlar.Onda necə edək?

[[email protected] Downloads]# chmod g+w /home/IT/

[[email protected]]# ls -ld /home/IT/ 
drwxrwxr-x. 2 root accounting 6 Jan 13 10:18 /home/IT/

[[email protected] Downloads]#

IT qrupu həssas işlərlə məşğul ola bildiyinə görə, biz digər şəbəkələr üçün bəzi məhdudlaşdırıcı icazələr tətbiq etməliyik.

[[email protected] Downloads]# chmod o-rx /home/IT/

[[email protected] Downloads]# ls -ld /home/accounting/ 
drwxrwx---. 2 root accounting 6 Jan 13 10:18 /home/IT/

[[email protected] Downloads]#

groupadd komandası yeni qrup yaratmaq üçün istifadə olunur.

-g               Qrup üçün GID (Group ID) təyin edir
-K               /etc/login.defs faylındakı GID təyinatlarını üstələyir (override edir)
-o               Unikal olmayan qrup ID-sinin istifadəsinə icazə verir (override non-unique GID disallowance)
-p               Qrup üçün şifrə təyin edir, bu da istifadəçilərin özlərini aktivləşdirməsinə imkan verir

Gizli adlı yeni qrup yaradaq. Biz qrupa parol əlavə edəcəyik ki, istifadəçilər məlum parol ilə özlərini əlavə edə bilsinlər.

[[email protected]]# groupadd secret

[[email protected]]# gpasswd secret 
Changing the password for group secret 
New Password:  
Re-enter new password:

[[email protected]]# exit 
exit

[[email protected]~]$ newgrp secret 
Password:

[[email protected]~]$ groups 
secret wheel rdc

[[email protected]~]$

Təcrübədə qruplar üçün parollar tez-tez istifadə edilmir. İkinci dərəcəli qruplar kifayətdir və parolları digər istifadəçilərlə paylaşmaq böyük təhlükəsizlik təcrübəsi deyil.

Groups komandası istifadəçinin hansı qrupa aid olduğunu göstərmək üçün istifadə olunur. Cari istifadəçimizə bəzi dəyişikliklər etdikdən sonra ondan istifadə edəcəyik.

usermod hesab atributlarını yeniləmək üçün istifadə olunur.

Aşağıdakılar ümumi usermod açarlarıdır.

Parametr                    Əməliyyat
-a                     İstifadəçini əlavə qruplara (supplementary groups) əlavə edir, yalnız -G parametri ilə birlikdə işləyir
-c                     İstifadəçi üçün şərh (comment) sahəsini yeniləyir
-d                    İstifadəçinin ev (home) qovluğunu yeniləyir
-G                    İstifadəçinin əlavə (secondary) qruplarını əlavə edir və ya silir
-g                    İstifadəçinin əsas (primary) qrupunu təyin edir

[[email protected]]# groups centos 
centos : IT secret

[[email protected]]#

[[email protected]]# usermod -a -G wheel centos

[[email protected]]# groups centos
centos : IT wheel secret

[[email protected]]#