Управление пользователями в FreeBSD

Как и в любой другой Unix-подобной операционной системе, в FreeBSD учетные записи пользователей могут обеспечивать интерактивный доступ к системе. При разумном подходе к управлению пользователями учетные записи создают дополнительный слой безопасности системы, предоставляя возможность ограничивать пользователей только файлами и каталогами, необходимыми им для работы.

Данное руководство посвящено управлению пользователями в системе FreeBSD; оно охватывает следующие темы:

  • Как добавить пользователя;
  • Как передать права суперпользователя;
  • Удаление пользователя;
  • Блокировка и разблокировка учетной записи.

Требования

Для выполнения руководства нужно иметь root-доступ к серверу FreeBSD или расширенные привилегии sudo.

Создание пользователя

Для создания пользователя проще всего использовать утилиту adduser, которая основана на команде pw. Команда adduser добавляет пользователя в систему, выполняя все необходимые действия в файлах passwd, master.passwd и group, и создает новый домашний каталог. Команду можно запустить в интерактивном режиме (т.е., с запросами информации о новом пользователе) или в нон-интерактивном режиме (что удобнее при создании группы пользователей). В данном руководстве рассматривается использование команды в интерактивном режиме.

Чтобы использовать adduser в интерактивном режиме, что позволяет создавать одного пользователя за один раз, просто запустите команду без аргументов:

sudo adduser

На данном этапе нужно будет предоставить информацию о новом пользователе, ответив на серию вопросов. Эти вопросы выглядят так (условные ответы на них выделены красным):

Username: finn
Full name: Finn Human
Uid (Leave empty for default):
Login group [finn]:
Login group is finn. Invite finn into other groups? []: wheel
Login class [default]:
Shell (sh csh tcsh nologin) [sh]:
Home directory [/home/finn]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password: password
Enter password again: password
Lock out the account after creation? [no]:

Многие поля можно оставить незаполненными, это установит значения по умолчанию (как, например, [yes] в вышеприведенном коде); однако есть и пара важных строк:

  • Username: введите имя нового пользователя.
  • Login group is <user>. Invite <user> into other groups?: это поле позволяет добавить пользователя в другие группы, указав названия групп через пробел. Обычно это используется для предоставления новому пользователю привилегий sudo путем добавления его в группу wheel. В FreeBSD пользователи группы wheel могут запускать команды с привилегиями суперпользователя. Чтобы оставить пользователю его стандартные права, не заполняйте это поле.

Все остальные поля довольно очевидны; везде, кроме поля для паролей, можно оставить значения по умолчанию. Более подробное описание всех полей можно получить при помощи команды man adduser.

После заполнения полей на экране появится основная информация о новом пользователе.

Username   : finn
Password   : *****
Full Name  : Finn Human
Uid        : 1002
Class      :
Groups     : finn wheel
Home       : /home/finn
Home Mode  :
Shell      : /bin/sh
Locked     : no
OK? (yes/no): yes

Просмотрите информацию о пользователе и, если все верно, ответьте yes в поле «OK?», после чего пользователь будет добавлен в систему, а на экране появится подтверждение:

adduser: INFO: Successfully added (finn) to the user database.

Затем команда спросит, нужно ли создать еще одного пользователя:

Add another user? (yes/no): no
Goodbye!

Если больше не нужно создавать пользователей, выберите no. В противном случае введите yes и повторите весь вышеописанный процесс

Как передать привилегии Sudo

В FreeBSD, как и в других Unix-подобных ОС, пользователи, имеющие доступ к команде sudo, могут запускать команды с привилегиями суперпользователя. То есть, команда sudo расширяет привилегии обычного пользователя до привилегий пользователя root.

В FreeBSD такими привилегиями обладают все пользователи, входящие в группу wheel; причиной такого поведения является следующая строка в файле sudoers (/usr/local/etc/sudoers):

%wheel ALL=(ALL) NOPASSWD: ALL

То есть, чтобы пользователь получил расширенные привилегии, нужно добавить его в группу wheel; для этого используйте команду pw groupmod (не забудьте указать имя своего пользователя):

sudo pw groupmod wheel -m finn

Эта команда добавит указанного пользователя в группу wheel в файле /etc/group, и таким образом пользователь сможет выполнять команды как суперпользователь.

Удаление пользователей

Для удаления пользователя из системы FreeBSD используется команда rmuser. Ее можно запустить без аргументов или же сразу задать имя пользователя, которого нужно удалить:

sudo rmuser

Если имя пользователя, которого нужно удалить, не было задано в качестве аргумента, команда попросит указать имя, затем подтвердить запуск команды и удаление домашнего каталога пользователя.

Please enter one or more usernames: finn
Matching password entry:
finn:*:1002:1002::0:0:Finn Human:/home/finn:/bin/sh
Is this the entry you wish to remove? y
Remove user's home directory (/home/finn)? y
Removing user (finn): mailspool home passwd.

Блокировка пользователей

Чтобы отключить пользователя в системе, но не удалять его учетную запись и домашний каталог, можно просто заблокировать его. Для этого используется команда pw lock + имя пользователя в качестве аргумента:

sudo pw lock username

Данная команда добавляет префикс *LOCKED* перед записью пользователя в файле /etc/master.passwd. Такие пользователи не могут войти в систему до тех пор, пока не будут разблокированы.

Разблокировка пользователей

Чтобы разблокировать пользователя, используйте команду pw unlock:

sudo pw unlock username

Эта команда удаляет префикс *LOCKED* перед записью пользователя в файле /etc/master.passwd.

Заключение

Как видите, управление пользователями – довольно простая рутинная задача любого администратора сервера FreeBSD.

Tags: , , ,

Добавить комментарий