Czwarta część rozdziału nr 7 książki:
Unix i Linux. Przewodnik administratora systemów. Wydanie IV

7.4. DODAWANIE UŻYTKOWNIKÓW — PODSTAWY

Zanim utworzysz konto dla nowego użytkownika w firmie, urzędzie lub instytucji naukowej, musisz pamiętać o tym, aby użytkownik podpisał i opatrzył datą umowę użytkownika i regulamin korzystania z kont. (Co?! Nie masz umowy użytkownika i regulaminu? Zajrzyj na stronę 1473, gdzie dowiesz się, dlaczego ich potrzebujesz i co powinny zawierać).

Użytkownicy nie mają żadnego określonego powodu, aby podpisywać regulamin, więc zdobądź ich podpisy, póki jeszcze możesz to wymusić. Stwierdziliśmy, że zdobycie podpisu pod regulaminem wymaga znacznie więcej wysiłku, gdy konto zostało już założone. Jeśli tylko procedura to dopuszcza, wykonaj całą papierkową robotę przed utworzeniem konta.

Proces dodawania nowego użytkownika składa się z kilku kroków wymaganych przez system, dwóch kroków mających na celu skonfigurowanie wygodnego środowiska pracy dla nowego użytkownika oraz kilku dodatkowych kroków dla wygody administratora.

Działania wymagane to:

• podpisanie regulaminu przez użytkownika,
• zmodyfikowanie plików passwd i shadow w celu zdefiniowania konta użytkownika,
• dodanie użytkownika do pliku /etc/group (nie jest to konieczne, ale warto to zrobić),
• ustawienie początkowego hasła,
• utworzenie katalogu domowego użytkownika i ustawienie jego własności i praw dostępu (polecenia chown i chmod),
• skonfigurowanie ról i uprawnień (jeśli korzystasz z RBAC, zajrzyj na stronę 277).

Dla użytkownika:

• skopiowanie domyślnych plików startowych do katalogu domowego użytkownika,
• skonfigurowanie skrzynki pocztowej użytkownika i ustawienie aliasów pocztowych.

Dla administratora:

• sprawdzenie, czy konto jest poprawnie skonfigurowane,
• wprowadzenie informacji kontaktowych o użytkowniku i statusu konta do bazy danych.

Ta lista aż prosi się o skrypt lub inne narzędzie, na szczęście, każdy z naszych przykładowych systemów zawiera coś takiego w postaci polecenia useradd.

Aby dodawać użytkowników, musisz być użytkownikiem root, a w systemie AIX musisz mieć uprawnienie UserAdmin. To doskonała okazja do skorzystania z sudo; patrz strona 186.

Edycja plików passwd i group

Jeśli musisz ręcznie dodać użytkownika, do modyfikowania plików passwd i shadow używaj polecenia vipw. Wbrew nazwie nie wymaga ono korzystania z vi, możesz użyć swojego ulubionego edytora zdefiniowanego w zmiennej środowiskowej EDITOR. Co ważniejsze, powoduje ono zablokowanie pliku, dzięki czemu Twoje modyfikacje i operacje zmiany hasła przez użytkowników nie będą ze sobą kolidować.

W systemach Solaris i Red Hat po zmodyfikowaniu pliku passwd polecenie vipw automatycznie spyta, czy chcesz dokonać edycji pliku shadow. W systemach SUSE i Ubuntu funkcję tę spełnia polecenie vipw –s.

W systemach HP-UX i AIX nie zaleca się ręcznej edycji pliku passwd, bez względu na to, czy miałoby się to odbywać za pomocą polecenia vipw, czy bez niego (w systemie AIX w ogóle nie ma tego polecenia). Zamiast tego należy skorzystać odpowiednio z polecenia useradd lub wielozadaniowych narzędzi administracyjnych smh i SMIT. Polecenie useradd zostanie omówione szczegółowo, początek na stronie 278.

Jeśli nowy użytkownik ma należeć do kilku innych grup, oprócz grupy domyślnej określonej w pliku passwd, musisz zmodyfikować plik /etc/group i dopisać nazwę użytkownika do każdej z dodatkowych grup.

Ustawianie hasła

Nigdy nie pozostawiaj nowego konta — ani żadnego innego konta, które ma dostęp do powłoki — bez ustawionego hasła. Złożoność hasła można wymusić za pomocą plików konfiguracyjnych; pod koniec tego rozdziału podamy listę plików i zmiennych używanych w poszczególnych systemach operacyjnych. Hasło dla nowego użytkownika możesz ustawić przy użyciu polecenia:

$ sudo passwd nazwa_nowego_użytkownika

Zasady wyboru dobrego hasła znajdziesz na stronie 183.

Zostaniesz poproszony o podanie rzeczywistego hasła. Niektóre zautomatyzowane systemy dodawania nowych użytkowników nie wymagają podawania początkowego hasła. W zamian użytkownik zmuszony jest ustawić hasło podczas pierwszego logowania. Jest to wprawdzie wygodne, ale stanowi olbrzymie zagrożenie: każdy, kto odgadnie nazwę nowego użytkownika (lub odszuka ją w pliku /etc/passwd), może się zaczaić i przejąć konto, zanim uprawniony użytkownik będzie miał sposobność się zalogować.

Tworzenie katalogu domowego i instalowanie plików startowych

Katalog domowy dla nowego użytkownika możesz utworzyć zwykłym poleceniem mkdir. Musisz również ustawić odpowiednie prawa własności i uprawnienia do katalogu, ale najlepiej zrobić to dopiero po zainstalowaniu lokalnych plików startowych.

Tradycyjnie nazwy plików startowych rozpoczynają się kropką i kończą literami rc, co jest skrótem od „run command” (uruchom polecenie), pozostałości po systemie operacyjnym CTSS. Początkowa kropka powoduje, że polecenie ls ukrywa te „interesujące” pliki z listy zawartości katalogu, chyba że użyta zostanie opcja -a.

Zalecamy, aby dostarczyć użytkownikom domyślne pliki startowe dla każdej powłoki występującej w Twoich systemach, aby nadal mieli sensowne środowisko domyślne, jeśli zdecydują się zmienić powłokę. W tabeli 7.3 zamieściliśmy listę typowych plików startowych.

Przykładowe pliki startowe tradycyjnie przechowywane są w katalogu /etc/skel (Linux, Solaris, HP-UX) lub /etc (wszystkie systemy). W systemie AIX, gdzie zawsze wszystko jest trochę inne, są one ukryte w katalogu /etc/security). Jeśli modyfikujesz przykładowe pliki startowe dostarczone przez producenta systemu, warto ich zmodyfikowane kopie umieścić w katalogu /usr/local/etc/skel. Linux część plików startowych przechowuje w katalogu /etc/profile.d, gdzie powłoka szuka informacji dotyczących kolorowania wyjścia polecenia ls, aby było czytelne na ciemnym tle, lub ścieżki dostępu do plików binarnych Kerberosa.

W zależności od powłoki użytkownika, katalog /etc może zawierać ogólnosystemowe pliki startowe, które są przetwarzane przed plikami startowymi użytkownika. Przykładowo powłoki bash i sh wczytują najpierw plik /etc/profile, a dopiero potem przystępują do przetwarzania plików ~/.profile i ~/.bash_profile. Pliki te są dobrym miejscem na wprowadzenie ogólnosystemowych ustawień domyślnych, należy jednak pamiętać o tym, że użytkownik może nadpisać te ustawienia własnymi plikami startowymi. Szczegóły dotyczące innych powłok znajdziesz na stronach podręcznika systemowego.

Pamiętaj o tym, aby ustawić sensowne wartości domyślne dla umask; zalecamy tu 077, 027 lub 002, w zależności od poziomu zaufania i rozmiaru organizacji. Jeśli nie używasz indywidualnych grup, zalecamy maskę 077, ponieważ daje pełne prawa dostępu właścicielowi, odbierając dostęp grupie i pozostałym użytkownikom. Szczegółowe informacje na temat umask znajdują się na stronie 238.

Tabela 7.3. Pliki startowe i ich zastosowanie

Pliki startowe i katalogi z ustawieniami dla środowisk GNOME i KDE to tylko wierzchołek góry lodowej; gconf to narzędzie przechowujące ustawienia aplikacji dla programów działających pod GNOME, co przypomina nieco rejestr w systemie Windows.

Ustawianie uprawnień i praw własności

Po skonfigurowaniu katalogu domowego przekaż go użytkownikowi i upewnij się, że ma on odpowiednie uprawnienia. Można to wykonać za pomocą polecenia:

$ sudo chown -R nowy_użytkownik:nowa_grupa ~nowy_użytkownik

Zauważ, że nie możesz użyć polecenia:

$ sudo chown nowy_użytkownik:nowa_grupa ~nowy_użytkownik/.*

aby ustawić właściciela plików rozpoczynających się znakiem kropki, ponieważ nowy_użytkownik nabędzie prawa własności nie tylko do własnych plików, ale również do katalogu nadrzędnego (np. /home). To bardzo częsta i niebezpieczna pomyłka.

Ustawienie miejsca odbioru poczty

Rozwiązaniem wygodnym dla użytkowników jest odbieranie poczty tylko na jednym komputerze. Często jest to realizowane za pomocą wpisu w globalnym pliku aliasów /etc/mail/aliases lub opcji userDB programu sendmail na głównym serwerze pocztowym. Ogólne informacje na temat poczty znajdują się w rozdziale 20.

Konfigurowanie ról i uprawnień administracyjnych

Kontrola dostępu oparta na rolach (RBAC) umożliwia rozdzielanie uprawnień systemowych na poszczególnych użytkowników i jest dostępna na wielu naszych przykładowych systemach. Mechanizm RBAC nie jest tradycyjną częścią systemu Unix ani modelu kontroli dostępu w Linuksie, ale jeśli stosuje się go w Twojej organizacji, konfigurowanie ról musi być częścią procesu dodawania użytkowników. RBAC został szczegółowo omówiony od strony 179 w rozdziale 4., „Kontrola dostępu i uprawnienia administratora”.

Regulacje prawne, takie jak ustawa Sarbanesa-Oxleya (SOX) i ustawa Gramma-Leacha-Blileya (GLBA) w Stanach Zjednoczonych, skomplikowały wiele aspektów administracji systemem w przedsiębiorstwach, w tym również zarządzanie użytkownikami. Może się okazać, że role są jedynym realnym rozwiązaniem, które będzie w stanie zapewnić zgodność z wymogami prawnymi.

Więcej informacji na temat ustaw SOX i GLBA można znaleźć w rozdziale 32.

Końcowe kroki

Aby sprawdzić, czy nowe konto zostało poprawnie utworzone, najpierw musisz się wylogować, a następnie załogować ponownie jako nowy użytkownik i wykonać poniższe polecenia:

$ pwd /* Aby zweryfikować katalog domowy */
$ ls –la /* Aby sprawdzić własność i grupę plików startowych */

Musisz podać nowym użytkownikom ich nazwy i początkowe hasła. Często informacje te przesyłane są pocztą elektroniczną, ale ze względu na bezpieczeństwo zazwyczaj nie jest to dobry pomysł. Zrób to osobiście lub telefonicznie, chyba że tworzysz 500 kont na komputerach CS-1 dla nowych studentów w miasteczku uniwersyteckim. Wtedy przerzuć problem na ich wykładowców! Jest to również dobry moment na przekazanie użytkownikom dodatkowej dokumentacji omawiającej lokalne zwyczaje, jeśli ją opracowałeś.

Jeśli Twoja organizacja wymaga od użytkowników podpisania regulaminu lub zasad właściwego korzystania z konta, upewnij się, że zostało to zrobione przed aktywacją. Pozwoli to zapobiec niedopatrzeniom i da podstawę do ewentualnych sankcji, które być może trzeba będzie w przyszłości zastosować.

Więcej informacji na temat podpisywania umowy użytkownika można znaleźć na stronie 1487.

Przypomnij nowym użytkownikom o konieczności natychmiastowej zmiany hasła. Jeśli chcesz, możesz to wymusić, ustawiając szybkie wygaśnięcie hasła. Innym rozwiązaniem jest użycie skryptu, który przetestuje konta nowych użytkowników i sprawdzi, czy ich zaszyfrowane hasła w pliku shadow zostały zmienione.
(Ponieważ to samo hasło może mieć wiele zaszyfrowanych form, ta metoda sprawdza tylko, czy użytkownik zresetował hasło, a nie to, czy rzeczywiście zmienił je na inne.)

W środowisku, w którym osobiście znasz użytkowników, możesz stosunkowo łatwo śledzić, kto i dlaczego korzysta z systemu. Jeśli jednak zarządzasz dużą i dynamicznie zmieniającą się bazą użytkowników, musisz znaleźć bardziej sformalizowany sposób śledzenia aktywności kont. Jeśli kiedyś fakt utworzenia konta zatrze się w Twojej pamięci, utrzymywanie bazy danych zawierającej informacje kontaktowe i statusy kont pozwoli Ci łatwo sprawdzić, kim jest dany użytkownik i dlaczego ma założone konto.

cdn.

Pierwsza część:
http://www.linuxportal.pl/artykuly/dodawanie-nowyc/.../-1-id98820

Druga część:
http://www.linuxportal.pl/artykuly/plik-etc-passwo/.../-2-id99146

Trzecia część
http://www.linuxportal.pl/artykuly/pliki-etc-shado/.../-3-id99590