Ćwiczenie 6
Temat:
Użytkownicy, grupy
i uprawnienia
Cel ćwiczenia:
W tym ćwiczeniu student zapozna się z metodami zarządzania kontami
użytkowników systemu Linux, nauczy się przypisywać i zmieniać hasła do kont
użytkowników, a także definiować grupy i przypisywać do nich poszczególne
konta. Dodatkowo w ćwiczeniu poruszony zostanie temat prawd dostępu do
zasobów. Student pozna metody określania właściciela plików i katalogów,
zmieniania właściciela, metody określania praw dostępu dla użytkownika, jego
grupy oraz innych użytkowników, a także uruchamiania poleceń z
uprawnieniami innych użytkowników.
81
Tworzenie konta użytkownika
Użytkownicy w systemie Linux
Użytkownik systemu operacyjnego to osoba posiadająca dostęp do zasobów systemu na
określonych w systemie prawach. W systemie operacyjnym może istnieć wielu
użytkowników o różnych poziomach uprawnień. Dostęp do systemu udzielany jest
użytkownikowi w procesie autoryzacji, najczęściej polegającym na podaniu poprawnej
nazwy użytkownika systemu oraz hasła. W celu sprawdzenia nazwy zalogowanego aktualnie
użytkownika użyć należy polecenia:
whoami
Każdy użytkownik w systemie Linux posiada własny numer ID (zwany też UID – z ang. user
identification) , który jednoznacznie identyfikuje danego użytkownika. Szczegółowe
informacje dotyczące numeru ID użytkownika, a także grupy do jakiej należy użytkownik
(więcej o grupach w następnej sekcji przewodnika) wyświetlić można za pomocą polecenia:
id
Tworzenie konta użytkownika
W celu utworzeniu nowego użytkownika w systemie Linux użyć należy polecenia useradd lub
adduser. Obydwa te polecenia realizują takie samo zadanie – dodają nowe konto
użytkownika do systemu operacyjnego. Dla każdego z tych poleceń można zdefiniować
wartości domyślne, które specyfikuje się w pliku:
/etc/default/useradd
W zależności od dystrybucji, polecenia te mogą mieć dokładnie taką samą składnie i
działanie, lub na przykład, jak w systemie Ubuntu, polecenie useradd posiada klasyczną
składnię, a polecenie adduser tworzy użytkownika w trybie interaktywnym.
useradd opcje nazwa_tworzonego_konta
Do najważniejszych parametrów polecenia useradd należą:
• -d – specyfikacja katalogu domowego (w niektórych dystrybucjach ta flaga TYLKO
wskazuje katalog domowy, nie tworzy go)
• -m – tworzy katalog domowy
82
Edycja właściwości użytkownika
• -g - wskazuje grupa, do której ma zostać przypisany nowy użytkownik, w przypadku
braku określenia tego parametru użyta zostanie grupa domyślna
• -p – pozwala wskazać początkowe hasło użytkownika
• -c – pełna nazwa konta (komentarz do konta)
Przykładowe polecenie tworzące nowego użytkownika o nazwie ‘operator’, z początkowym
hasłem ‘zaq12wsx’, tworząc i wskazując katalog domy jako /home/operator
useradd –m –d /home/operator –p zaq12wsx operator
UWAGA! Jeśli nie zostanie wskazana flaga ‘-p’ (hasło początkowe) konto użytkownika
zostanie utworzone, jednak użytkownik nadal nie będzie mógł się zalogować, dopóki hasło
nie zostanie zdefiniowane.
Edycja właściwości użytkownika
Do edycji już utworzonego konta użytkownika służy polecenie usermod. Do najważniejszych
parametrów polecenia należą:
• -c – opis (pełna nazwa konta)
• -d – zmiana katalogu domowy
• -g – zmiana grupy głównej użytkownika
• -m – użyte z opcją –d przenosi zawartość starego katalogu domowego do nowej
lokalizacji
• -l – zmiana nazwy (loginu) użytkownika
• -G – przypisanie do grupy
Katalog domowy
W systemie Linux użytkownik może mieć (powinien mieć) tzw. „katalog domowy”.
Najczęściej katalog domowy nosi taką samą nazwę jak konto użytkownika systemu i znajduje
się w katalogu /home/. W zależności od dystrybucji systemu Linux oraz od poziomu
zastosowanych zabezpieczeń użytkownik powinien mieć możliwość zapisu plików TYLKO w
swoim katalogu domowym, dlatego katalog (jego istnienie) jest ważnym elementem. Katalog
83
Ustalanie oraz zmiana hasła użytkownika
domowy w zależności od konfiguracji systemu tworzony jest automatycznie podczas
tworzenia konta użytkownika lub należy go stworzyć i wskazać podczas tworzenia konta.
Ustalanie oraz zmiana hasła użytkownika
Jeżeli hasło nie zostało ustalone podczas tworzenia konta (flaga –p polecenia useradd) może
zostać przypisane za pomocą polecenia:
passwd nazwa_konta
Polecenie wywołane z flagą –d kasuje hasło wskazanego konta:
passwd -d nazwa_konta
Kasowanie konta użytkownika
W celu usunięcia konta użytkownika posłużyć się należy poleceniem:
userdel nazwa_konta
Polecenie kasuje konto użytkownika z systemu, jednak domyślnie nie jest usuwany katalog
domowy wraz z plikami kasowanego użytkownika. Aby usunąć katalog domowy razem z
kontem użyć należy flagi –r:
userdel -r nazwa_konta
Aktualnie zalogowaniu użytkownicy
System Linux umożliwia logowanie się do jego zasobów wielu użytkownikom. Użytkownicy
mogą logować się bezpośrednio do konsoli lub za pomocą sieci (np. z wykorzystaniem SSH).
Do konta jednego użytkownika można logować się wielokrotnie. W celu sprawdzenia którzy
użytkownicy są aktualnie zalogowani do systemu skorzystać można z jednego z poniższych
poleceń:
• users
• who
• w
84
Udane i nieudane logowania do systemu
Wszystkie powyższe polecenie wyświetlają informacje odnośnie aktualnie zalogowanych do
systemu użytkowników z różnym poziomem ilości szczegółów. Polecenie users wyświetla
tylko nazwy zalogowanych użytkowników, polecenie who - nazwy wraz z nazwami terminali
do których zalogowany jest dany użytkownik (terminale tty – to terminale rzeczywiste,
natomiast pts/x to terminale wirtualne tworzone po zalogowaniu się użytkownika przez
sieć), a polecenie „w” wyświetla zalogowanych użytkowników wraz z nazwami terminali oraz
czasem logowania i danymi dotyczącymi procesów użytkownika.
Udane i nieudane logowania do systemu
W celu wyświetlenia ostatnio logujących się użytkowników skorzystać należy z polecenia:
last
Polecenie wyświetla nazwy użytkowników, nazwy terminali oraz czas logowania. Wyniki
polecenia mogą zostać zawężone do konkretnego terminala, np. aby wyświetlić
użytkowników logujących się do terminala nr 1:
last tty1
Wyniki można zawęzić także do ilości wyświetlanych wpisów, np. aby wyświetlić 10 ostatnich
logowań użyć można flagi –n:
last –n 10
Poleceniem odwrotnym wskazującym ostatnie nieudane próby logowania się do systemu
jest polecenie:
lastb
Polecenie to jest szczególnie przydatne podczas prac administracyjnych, pozwala
administratorowi na diagnostykę nieudanych zdarzeń logowania do systemu.
Zadanie 1 Użytkownicy w systemie Linux
1. Tworzenie i testowanie konta nowego użytkownika:
1.1. Założyć konto użytkownika o nazwie „operator”
1.2. Ustalić katalog domowy użytkownika: /home/operator
1.3. Określić hasło dla nowego użytkownika (np. zaq12wsx)
85
Udane i nieudane logowania do systemu
1.4. Zalogować się kilkukrotnie na konto nowego użytkownika wprowadzając poprawne i
niepoprawne hasło
1.5. Zalogować się do konta root a następnie sprawdzić za pomocą poleceń last oraz
lastb ostatnie udane i nieudane logowania do systemu.
2. Stworzyć skrypt tworzący automatycznie konta użytkowników według listy z pliku
tekstowego (patrz screen poniżej). W tym celu:
2.1. Pobrać za pomocą polecenia wget przykładowy plik z nazwami użytkowników:
wget –q http://157.158.131.167/names.txt
2.2. Stworzyć skrypt zakładający użytkowników (wraz z katalogiem domowym) na
podstawie nazw w pliku tekstowym. Skrypt powinien przyjmować nazwę pliku z
nazwami użytkowników jako parametr (zmienna $1) a następnie za pomocą pętli
zakładać konta użytkowników. Skrypt dodatkowo powinien wyświetlać czas
rozpoczęcia i zakończenia pracy.
2.3. Stworzyć analogiczny skrypt do usuwania kont użytkowników na podstawie nazw w
pliku tekstowym.
Grupy użytkowników
Użytkownicy w systemie operacyjnym zorganizowani są w jednostki organizacyjne zwane
grupami. Każda grupa w systemie, podobnie jak użytkownik, posiada numer ID
jednoznacznie definiujący grupę (zwany też GID – z ang. group identification). Organizacja
użytkowników w grupy służy do określania wspólnych praw dostępu do zasobów dla
1
2
3
4
5
86
Tworzenie nowej grupy
członków poszczególnych grup systemowych. Jeden użytkownik może należeć do wielu
grup. Aby wyświetlić do jakich gryp należy dany użytkownik użyć należy polecenia:
groups nazwa_uŜytkownika
Tworzenie nowej grupy
Nowa grupa może zostać utworzona za pomocą polecenia:
addgroup nazwa_nowej_grupy
Edycja właściwości grupy
Podobnie jak w przypadku kont użytkowników, konto grupy może zostać zmodyfikowane już
po utworzeniu. Do modyfikacji właściwości grupy służy polecenie:
groupmod
Polecenie z flagą –n zmienia nazwę grupy:
groupmod –n NOWA_NAZWA Aktualna_Nazwa
Natomiast z flagą –g zmienia numer ID grupy:
groupmod –g NOWE_ID_GRUPY Nazwa_Grupy
Kasowanie grupy
Kasowanie grupy odbywa się za pomocą polecenia:
groupdell Nazwa_Grupy
Pliki konfiguracyjne kont użytkowników i grup
Wszystkie informacje o kontach i grupach użytkowników znajdują się w katalogu /etc/ w
odpowiednich plikach.:
87
Własność pliku i katalogu
• /etc/passwd – plik zawierający spis kont użytkowników, wraz z ich numerem ID oraz z
numerem ID grupy do której należą. W pliku dodatkowo zdefiniowany jest adres
katalogu domowego oraz powłoka do której może zalogować się użytkownik
• /etc/group – plik zawierający spis grup użytkowników wraz z ich numerami ID
• /etc/shadow – plik zawierający zaszyfrowane hasła użytkowników
UWAGA! Poprawna edycja powyższych plików konfiguracyjnych ma dokładnie taki sam
efekt jak zastosowanie wyżej wymienionych poleceń tworzenia, modyfikacji i kasowania
użytkowników i grup.
Uprawnienia do pliku i katalogu
Systemy Linux z założenia są systemami na których pracować może jednocześnie wielu
użytkowników, dlatego właśnie podczas tworzenia systemów typu Unix powstał pomysł, aby
każdy plik w systemie miał określonego właściciela, oraz prawa dostępu, jakie przysługują
właścicielowi oraz innym użytkownikom.
Własność pliku i katalogu
Każdy plik i katalog w systemie Linux posiada określonego właściciela oraz grupę. Aby
wyświetlić właściciela i grupę posiadającą prawa do plików użyć należy polecenia
wyświetlającego zawartość katalogu z flagą -la:
ls –la ścieŜka
Dane dotyczące właściciela i grupy znajdują się w trzeciej i czwartej kolumnie:
88
Zmiana właściciela oraz grupy
Zmiana właściciela oraz grupy
W celu zmiany właściciela pliku lub katalogu użyć należy polecenia chown, np.:
chown operator program_06.sh
W celu zmiany grupy macierzystej pliku lub katalogu zastosować należy polecenie chgrp, np.:
chgrp operatorzy program_06.sh
Możliwe jest wywołanie polecenia zmieniającego właściciela (chown) od razu z określeniem
grupy macierzystej, nawet gdy określany właściciel nie należy do określanej grupy
macierzystej np.:
chown operator.users program_03.sh
gdzie operator to nazwa użytkownika, natomiast users to grupa macierzysta pliku. Warto
jednak zaznaczyć, iż użytkownik operator nie jest członkiem grupy users.
89
Rodzaje uprawnień do plików i katalogów, zmiana uprawnień
Rodzaje uprawnień do plików i katalogów, zmiana uprawnień
Prawa dostępu do plików widoczne są w pierwszej kolumnie widoku wywołanego
poleceniem:
ls –la ścieŜka
, np.:
Prawa dostępu określone są za pomocą 10 znaków podzielonych na 4 sekcje (Patrz poniższy
schemat). Pierwszy znak (jednocześnie będący pierwszą sekcją) określa rodzaj zasobu („d” –
katalog, „-” plik zwykły, „l” dowiązanie symboliczne). Sekcja druga określa prawa dostępu do
pliku określone dla właściciela pliku, sekcja trzecia określa prawa dostępu dla grupy
macierzystej, a sekcja czwarta określa prawa dla pozostałych użytkowników (spoza grupy
macierzystej).
1
2
3
4
90
Rodzaje uprawnień do plików i katalogów, zmiana uprawnień
Poszczególne symbole oznaczają w przypadku plików:
• r - odczyt
• w - zapis
• x - wykonanie
Natomiast w przypadku katalogów:
• x – możliwość przechodzenia do katalogu jak i przejścia przez katalog (np.
poleceniem cd)
• r – możliwość przeglądania zawartości katalogu (np. polecenie ls)
• w – możliwość zmiany zawartości katalogu (tworzenie, modyfikacja, kasowanie i
zmiana nazwy plików)
Przykład:
Prawa typu:
Określają, iż właścicielem pliku zwyczajnego jest użytkownik root , a grupą macierzystą
grupa root. Użytkownik root ma pełne prawa do pliku (odczyt, zapis i wykonanie), grupa
macierzysta ma prawo odczytu i wykonania, natomiast wszyscy inni użytkownicy mają tylko
prawo do odczytu pliku.
Getfacl
Prawa dostępu do plików i katalogów oraz dane o właścicielu mogą także zostać wyświetlone
za pomocą polecenia:
getfacl ścieŜka
UWAGA! W niektórych dystrybucjach polecenie getfacl musi zostać doinstalowane.
Polecenie jest częścią pakietu „acl” (np. dla Ubuntu: aptitude install acl).
91
Zmiana uprawnień do pliku
Zmiana uprawnień do pliku
Zmiana uprawnień do pliku lub katalogu realizowana jest za pomocą polecenia :
chmod KOD ścieŜka_do_zasobu
Jeśli prawa mają zostać nadane rekurencyjnie (na wszystkie pliki w katalogu i podkatalogach)
zastosować należy dodatkowo flagę –R.
KOD to trzycyfrowy symbol tworzony wg zasady, iż pierwsza cyfra kodu to prawa
przydzielane właścicielowi pliku, druga to prawa grupy macierzystej, a trzecia to prawa dla
pozostałych użytkowników. Kody polecenia prezentuje poniższa tabela. Łatwo zauważyć, iż
cyfra binarna symbolizuje symbol praw dostępu – tam gdzie występuje cyfra „1” odpowiedni
symbol (rwx) jest „aktywny”, a tam gdzie cyfra „0” występuje symbol „-”.
Prawa
Symbol binarny
Kod polecenia
chmod
Opis
- - -
000
0
-
- - x
001
1
wykonanie
- w -
010
2
zapis
- w x
011
3
zapis i wykonanie
r - -
100
4
odczyt
r – x
101
5
odczyt i wykonanie
r w -
110
6
odczyt i zapis
r w x
111
7
odczyt, zapis, wykonanie
Przykład
Aby nadać prawa dostępu takie jak na poniższym screenie:
użyć należy polecenia:
chmod 754 program_02.sh
gdzie: 7 to prawa dla właściciela (rwx) , 5 prawa dla grupy (r-x) oraz 4 – prawa dla
pozostałych użytkowników (r--).
Chmod – zapis symboliczny
Używając polecenia chmod można zamiast kodu praw zastosować odpowiednie symbole
określające grupę, dla której ustalane są prawa:
92
Uruchamianie programów z uprawnieniami innych użytkowników
• u - właściciel pliku,
• g - grupa macierzysta,
• o - pozostali użytkownicy ,
• a - wszyscy powyżsi
Prawa w zapisie symbolicznym określane są za pomocą symboli:
• +
dodaje prawa
• -
odejmuje prawa
• =
ustala prawa
Przykład
• Dodawanie praw: Aby dodać prawo odczytu dla grupy macierzystej używając zapisu
symbolicznego, użyć należy polecenia:
chmod g+r plik
chmod g+r plik
chmod g+r plik
chmod g+r plik
• Odejmowanie praw: Aby usunąć prawo możliwości wykonania dla użytkowników spoza
grupy macierzystej:
chmod
chmod
chmod
chmod
o
o
o
o-
-
-
-x
x
x
x
plik
plik
plik
plik
• Ustalanie praw: Określenie pełnych praw dla właściciela, oraz prawa odczytu dla grupy:
chmod
chmod
chmod
chmod
u=rwx,g=r plik
u=rwx,g=r plik
u=rwx,g=r plik
u=rwx,g=r plik
• Grupowanie zapisów:
o Aby dodać prawa zapisu i wykonania dla właściciela i grupy:
chmod ug+wx plik
chmod ug+wx plik
chmod ug+wx plik
chmod ug+wx plik
o
Aby ustawić prawa dla właściciela i grupy:
chmod u+rwx,g=r plik
chmod u+rwx,g=r plik
chmod u+rwx,g=r plik
chmod u+rwx,g=r plik
Uruchamianie programów z uprawnieniami innych użytkowników
Czasami istnieje konieczność uruchomienia programu (lub powłoki) z uprawnieniami innego
użytkownika. W zależności od potrzeb, zadanie to może zostać zrealizowane za pomocą
uprawnień specjalnych, lub polecenia su oraz sudo.
SUID, SGID, Sticky Bit – uprawnienia specjalne
Oprócz „klasycznych” praw dostępu możliwe jest określenie specjalnych uprawnień do
plików i katalogów. Przed KOD określający prawa dostępu może zostać dostawiona jedna
cyfra: 4 (SUID), 2 (SGID) lub 1 (Sticky Bit), które rozszerzają mechanizm uprawnień (w
przypadku oznaczeń symbolicznych - s – SUID/SGID, t – Sticky Bit). Funkcjonalność ta jest
rozszerzeniem prawa wykonywalności (x), więc jeśli plik ma określone uprawnienia
93
SUID, SGID, Sticky Bit – uprawnienia specjalne
specjalne, a nie ma określonego prawa do wykonywania pliku to prawa specjalne są
nieaktywne („są uśpione”).
Dla plików uprawnienia specjalne oznaczają:
• SUID – wykonywany program będzie uruchomiony z prawami właściciela pliku
• SGID – wykonywany program będzie uruchomiony z prawami grupy macierzystej
pliku
Natomiast dla katalogów oznaczają:
• SUID – właścicielem nowych plików tworzonych w katalogu będzie właściciel
katalogu
• SGID – grupą macierzystą nowych plików tworzonych w katalogu będzie grupa do
której należy katalog
• Sticky Bit – pliki wewnątrz katalogu mogą być usuwane lub przemianowywane tylko
przez właściciela pliku lub owego katalogu.
Przykład
Aby dodać do pliku możliwość wykonywania programu na prawach właściciela pliku, użyć
należy polecenia:
chmod 4777 plik.sh
Polecenie su
Polecenie su pozwala na zalogowanie się do konta innego użytkownika pozostając
zalogowanym do bieżącego konta. Np. Będąc zalogowanym do systemu jako użytkownik
root, a chcąc zalogować się na użytkownika operator, choćby w celu przetestowania
uprawnień do zasobów, wydać można polecenie:
su operator
Jeśli wydającym polecenie jest administrator systemu (root) nie zostanie on zapytany o hasło
użytkownika, w innym wypadku użytkownik wywołujący polecenie będzie proszony o
podanie hasła do konta.
Aby wylogować się z konta użytkownika, po wywołaniu polecenia su użyć należy
kombinacji klawiszy ctrl+D.
94
SUID, SGID, Sticky Bit – uprawnienia specjalne
Polecenie sudo
Innym poleceniem pozwalającym na wykonanie komendy na prawach użytkownika root jest
polecenie sudo, które poprzedza polecenie, które powinno zostać uruchomione z prawami
użytkownika root.
Np. będąc zalogowanym jako użytkownik operator:
sudo mkdir /root/dane
Normalnie użytkownik operator nie ma uprawnień do tworzenia katalogów w katalogu
/root/, jednak gdy polecenie mkdir zostało poprzedzone komendą sudo, polecenie tworzenia
katalogu zostało wykonane z uprawnieniami użytkownika root.
UWAGA! Oczywistym jest, iż nie każdy użytkownik systemu powinien mieć możliwość
skorzystania z polecenia sudo. Użytkownicy, którzy mogą skorzystać z tej komendy muszą
należeć do grupy użytkowników określonej w pliku konfiguracyjnym polecenia sudo, który
znajduje się:
/etc/sudoers
Zadanie 1 Uprawnienia
1. Stworzyć strukturę plików jak w poniższym przykładzie. Na katalog „dane” na potrzeby
ćwiczenia nadać pełne uprawnienia dla wszystkich użytkowników, a następnie w tym
katalogu realizować dalsze ćwiczenia.
• /home/dane/
o backup/
o bin/
program01.sh
program02.sh
program03.sh
o doc/
Nadać katalogom prawa jak na poniższym wydruku:
Stworzyć trzy kopie programu
wyświetlającego datę w
różnych formatach
95
SUID, SGID, Sticky Bit – uprawnienia specjalne
Oraz plikom w katalogu bin/ jak na poniższym wydruku:
Przetestować działanie uprawnień. Uruchomić powyższe programy.
2. Jako użytkownik root edytować plik:
/ets/sudoers
tak, aby wpisy wyglądały jak na poniższym wydruku:
2.1. Przetestować możliwość korzystania przez użytkownika operator z polecenia sudo.