Linux ubuntu server пользователи

Как добавлять и удалять пользователей в Ubuntu 20.04

Одна из первых задач при подготовке новой системы Ubuntu — это добавление и удаление пользователей. У каждого пользователя могут быть разные уровни разрешений и определенные настройки для различных приложений командной строки и графического интерфейса.

В этой статье объясняется, как добавлять и удалять учетные записи пользователей в Ubuntu 18.04.

Подготовка

Только root или пользователи с привилегиями sudo могут создавать и удалять пользователей.

Новых пользователей можно создать двумя способами:

1. Из командной строки.
2. Через графический интерфейс.

Добавление пользователя из командной строки

В Ubuntu есть два инструмента командной строки, которые вы можете использовать для создания новой учетной записи: useradd и adduser .

useradd — это утилита низкого уровня. adduser — это сценарий, написанный на Perl, который действует как дружественный интерактивный интерфейс для useradd .

Добавление нового пользователя происходит быстро и легко, просто вызовите команду adduser за которой следует имя пользователя. Например, чтобы создать новую учетную запись пользователя с именем username вы должны запустить:

Вам будет задан ряд вопросов. Введите и подтвердите новый пароль пользователя. Ответить на все остальные вопросы необязательно.

В конце вам будет предложено подтвердить, что введенная вами информация верна.

Команда создаст домашний каталог нового пользователя и скопирует в него файлы из /etc/skel . В домашнем каталоге пользователь может писать, редактировать и удалять файлы и каталоги.

Если вы хотите, чтобы новый пользователь мог выполнять административные задачи, вам необходимо добавить пользователя в группу sudo :

Добавление пользователя через графический интерфейс

Если вас не устраивает командная строка, вы можете добавить новую учетную запись пользователя через графический интерфейс. Для этого выполните следующие действия:

Откройте окно настроек и перейдите на вкладку «Пользователи».

Нажмите кнопку «Разблокировать» и при появлении запроса введите пароль пользователя.

После ввода пароля кнопка «Разблокировать» изменится на зеленую кнопку «Добавить пользователя».

Нажмите кнопку «Добавить пользователя», появится диалоговое окно «Добавить пользователя»:

Выберите, должен ли новый пользователь быть стандартным пользователем или администратором, и введите информацию. После этого нажмите кнопку «Добавить».

Удаление пользователя из командной строки

В Ubuntu вы можете использовать две команды для удаления учетной записи пользователя: userdel и его интерактивный интерфейс deluser .

Чтобы удалить пользователя, вызовите команду deluser и передайте имя пользователя в качестве аргумента:

Приведенная выше команда не удаляет пользовательские файлы.

Если вы хотите удалить пользователя, его домашний каталог и почтовый ящик, используйте флаг —remove-home :

Удаление пользователя через графический интерфейс

Откройте окно настроек и перейдите на вкладку «Пользователи».

Нажмите кнопку «Разблокировать» и при появлении запроса введите пароль пользователя.

Нажмите на имя пользователя, которое хотите удалить, и в правом нижнем углу вы увидите красную кнопку «Удалить пользователя …».

Нажмите кнопку «Удалить пользователя …», и вам будет предложено сохранить или удалить домашний каталог пользователя. Нажатие на одну из этих кнопок удаляет пользователя.

Выводы

Мы показали вам, как добавлять и удалять пользователей в Ubuntu 20.04. Знание того, как добавлять и удалять пользователей — один из основных навыков, которые должен знать пользователь Linux.

Не стесняйтесь оставлять комментарии, если у вас есть вопросы.

Источник

Добавление и удаление пользователей в Ubuntu 18.04

Управление пользователями – один из самых базовых и самых важных навыков системного администратора среды Linux. Как правило, в новой системе по умолчанию существует только один пользователь – это root.

Пользователь root имеет широкие привилегии, он очень гибкий, но работать с сервером как root на постоянной основе крайне не рекомендуется. Дело в том, что, обладая абсолютными правами, пользователь root может случайно нанести непоправимый вред системе и серверу. Потому для повседневной работы нужно создать дополнительного пользователя с обычными привилегиями, а затем передать ему права суперпользователя. Также можно создать дополнительные аккаунты для других пользователей, которые должны иметь доступ к серверу.

Данный мануал научит вас создавать аккаунты новых пользователей, передавать права sudo и удалять пользователей.

Требования

Для работы вам понадобится сервер Ubuntu 18.04, предварительно настроенный по этому мануалу.

1: Добавление пользователя

Чтобы создать нового пользователя в сессии root, введите:

Находясь в сессии не-root пользователя с доступом к команде sudo, можно добавить нового пользователя с помощью команды:

sudo adduser newuser

Эта команда предложит:

• Установить и подтвердить пароль.
• Указать дополнительные данные о пользователе. Это опционально; чтобы принять информацию по умолчанию, просто нажмите Enter.
• Подтвердить предоставленную информацию (нажмите Y).

Новый пользователь готов. Теперь можно подключиться к серверу с его помощью. Но без команды sudo этот пользователь не сможет выполнять многие команды.

2: Настройка доступа к команде sudo

Чтобы иметь возможность использовать новый аккаунт для выполнения задач администратора, нужно разрешить новому пользователю доступ к команде sudo. Это можно сделать двумя способами:

1. Добавить пользователя в группу sudo
2. Отредактировать файл /etc/sudoers

Добавление пользователя в группу sudo

В системе Ubuntu 18.04 все пользователи, которые входят в группу sudo, по умолчанию имеют доступ к команде sudo.

Чтобы узнать, в какие группы входит ваш новый пользователь, введите:

По умолчанию каждый новый пользователь системы входит только в одноименную группу. Чтобы добавить пользователя в нужную группу, введите:

usermod -aG sudo newuser

Флаг –aG добавляет пользователя в перечисленные в команде группы.

Редактирование файла /etc/sudoers

Еще один способ расширить привилегии пользователя – отредактировать файл sudoers. Для этого используется команда visudo, которая позволяет открыть файл /etc/sudoers в редакторе и явно задать привилегии каждого пользователя в системе.

Редактировать файл sudoers рекомендуется исключительно через visudo, поскольку эта команда блокирует внесение одновременных правок и выполняет проверку файла перед перезаписью. Это предотвращает ошибки в настройке sudo, которые могут повлечь за собой потерю всех привилегий.

Если вы находитесь в сессии root, введите команду:

В сессии не-root пользователя с доступом к sudo введите:

Как правило, visudo открывает файл /etc/sudoers в редакторе vi, сложном для новичков. По умолчанию в новых установках Ubuntu visudo использует более простой редактор nano. Для перемещения курсора используйте клавиши со стрелками. Найдите такую строку:

root ALL=(ALL:ALL) ALL

Скопируйте эту строку и вставьте её ниже, указав вместо root имя пользователя, которому нужно передать права суперпользователя.

root ALL=(ALL:ALL) ALL
newuser ALL=(ALL:ALL) ALL

Добавьте такую строку для каждого пользователя, которому нужны расширенные привилегии. После этого сохраните и закройте файл.

Тестирование настройки

Теперь нужно убедиться, что новый пользователь имеет доступ к sudo.

По умолчанию команды в сессии нового пользователя запускаются так:

Чтобы выполнить команду с правами администратора, добавьте sudo в начало:

При этом система запросит пароль вашего текущего пользователя.

3: Удаление пользователей

Ненужные аккаунты можно удалить из системы.

Чтобы удалить пользователя, оставив его файлы, введите такую команду:

как пользователь с расширенными привилегиями:

sudo deluser newuser

Чтобы удалить пользователя вместе с его домашним каталогом и всеми файлами, используйте:

deluser —remove-home newuser

как пользователь с расширенными привилегиями:

sudo deluser —remove-home newuser

Если удалённый пользователь обладал правами суперпользователя, нужно отнять эти права. Снова отредактируйте файл:

sudo visudo
root ALL=(ALL:ALL) ALL
newuser ALL=(ALL:ALL) ALL # удалите эту строку

Если бы строка осталась в файле, а в системе появился другой пользователь с таким же именем, он автоматически получил бы расширенные привилегии. Теперь этого не случится.

Заключение

Управление пользователями – очень важный навык в администрировании сервера Ubuntu 18.04. Он позволяет отделять пользователей и передавать им только необходимый диапазон привилегий.

Дополнительную информацию о настройке sudo можно найти в нашем мануале Редактирование файла sudoers в Ubuntu и CentOS.

Источник

Управление пользователями

Содержание

Управление пользователями

Управление пользователями является важной частью безопасности системы. Неэффективные пользователи и управление привилегиями часто приводят множество систем к компрометации. Поэтому важно чтобы вы понимали как защитить ваш сервер с помощью простых и эффективных методик управления пользовательскими учетными записями.

Где суперпользователь?

Разработчики Ubuntu приняли сознательное решение заблокировать административную корневую учетную запись (root) по умолчанию во всех установках Ubuntu. Это не означает, что учетная запись root удалена или к ней нет доступа. Ей просто присвоен пароль, который не совпадает ни с одним возможным шифрованным значением, соответственно, ее невозможно использовать для входа напрямую.

Вместо этого поощряется применение пользователями инструмента с именем sudo для переноса административных обязанностей. Sudo позволяет авторизованным пользователям временно повышать их привилегии, используя их собственный пароль вместо знания пароля, присвоенного суперпользователю. Эта простая и к тому же эффективная методика обеспечивает ответственность для всех действий пользователей и дает административный раздельный контроль над тем, какие действия может выполнять пользователь с указанными привилегиями.

1. Если по какой-то причине вы хотите разрешить учетную запись суперпользователя, просто установите ей пароль:

Sudo запросит ваш пароль, а затем предложит установить новый пароль для root как показано ниже:

2. Для блокирования учетной записи root используйте следующий синтаксис passwd:

3. Вы можете прочитать больше по sudo вызвав ее man страницу:

По умолчанию изначальный пользователь, созданный установщиком Ubuntu является членом группы «admin», которая добавлена в файл /etc/sudoers как авторизованные sudo пользователи. Если вы желаете разрешить другой учетной записи полный доступ суперпользователя через sudo, просто добавьте ее в группу admin.

Добавление и удаление пользователей

Процесс управления локальными пользователями и группами простой и мало отличается от большинства других операционных систем GNU/Linux. Ubuntu и другие дистрибутивы на основе Debian поощряют использование пакета «adduser» для управления учетными записями.

1. Для добавления учетной записи пользователя используйте следующий синтаксис и следуйте подсказкам для указания пароля и опознавательных характеристик таких как полное имя, телефон и пр.:

2. Для удаления пользователя и его первичной группы используйте следующий синтаксис:

Удаление пользователя не удаляет связанный с ним домашний каталог. Оставлено на ваше усмотрение хотите ли вы удалить каталог вручную или оставите его в соответствии с вашими политиками хранения.

Помните, что любой пользователь, добавленный позднее с теми же UID/GID, как и предыдущий, получит доступ к этому каталогу если вы не предпримете необходимых мер предосторожности.

Вы можете захотеть изменить эти значения UID/GID каталога на что-то более подходящее, как, например, значения суперпользователя и, возможно, переместить каталог для предотвращения будущих конфликтов:

3. Для временного блокирования или разблокирования используйте следующий синтаксис:

4. Для добавления или удаления персональной группы используйте, соответственно, следующий синтаксис:

5. Для добавления пользователя в группу, используйте:

Безопасность профиля пользователя

Когда создается новый пользователь, утилита adduser создает, соответственно, новый именной каталог /home/username. Профиль по умолчанию формируется по содержимому, находящемуся в каталоге /etc/skel, который включает все основы для формирования профилей.

Если ваш сервер является домашним для множества пользователей, вы должны уделять пристальное внимание правам доступа на пользовательские домашние каталоги для поддержания конфиденциальности. По умолчанию пользовательские домашние каталоги создаются с правами чтения/выполнения для всех. Это означает, что все пользователи просматривать и получать доступ к содержимому других домашних каталогов. Это может не подходить для вашего окружения.

1. Для проверки прав доступа на домашние каталоги существующих пользователей используйте такой синтаксис:

Следующий вывод показывает, что каталог /home/username имеет доступ на чтение для всех:

2. Вы можете удалить права чтения для всех, используя следующий синтаксис:

Более эффективный подход к данному вопросу будет в изменении глобальных прав доступа по умолчанию для adduser при создании домашних каталогов. Просто отредактируйте файл /etc/adduser.conf, изменив переменную DIR_MODE на что-то более подходящее, после чего все новые домашние каталоги будут получать корректные права доступа.

3. После исправления прав доступа к каталогам, используя любую из ранее упоминавшихся методик, проверьте результаты используя следующую команду:

Результат ниже показывет, что права на чтение для всех удалены:

Политика паролей

Строгая политика паролей — один из наиболее важных аспектов вашего подхода к безопасности. Много удачных прорывов безопасности использовали для атак простейший взлом (brute force) и подбор паролей по словарю против слабых паролей. Если вы намереваетесь использовать любую форму удаленного доступа с использованием вашей локальной системы паролей, убедитесь, что вы назначили адекватные минимальные требования к паролю, максимальное время жизни пароля и часто проверяете вашу систему аутентификации.

Минимальная длина пароля

По умолчанию Ubuntu требует минимальную длину пароля в 6 символов, также как и некоторые основные проверки на разброс значений. Эти параметры управляются файлом /etc/pam.d/common-password и приведены ниже:

Если вы хотите установить минимальную длину в 8 символов, измените соответствующую переменную на min=8. Изменения приведены ниже:

Время жизни пароля

При создании учетных записей пользователей вы должны создать политику минимального и максимального времени жизни пароля чтобы заставлять пользователей менять их пароли по истечении определенного времени.

1. Для простого просмотра текущего статуса учетной записи пользователя используйте следующий синтаксис:

Вывод, приведенный ниже, показывает интересные факты об учетной записи пользователя, а именно что нет никаких примененных политик:

2. Для установки этих значений просто используйте следующую команду и следуйте интерактивным подсказкам:

Далее также пример того, как можно вручную изменить явную дату истечения действия пароля (-E) на 01/31/2008 (американский вариант даты — прим. пер.), минимальный срок действия пароля (-m) на 5 дней, максимальный срок действия (-M) на 90 дней, период бездействия (-I) на 5 дней после истечения срока пароля и период предупреждений (-W) на 14 дней до истечения срока пароля.

3. Для проверки изменений используйте ту же команду, что и упоминалась выше:

Вывод команды ниже показывает новые политики, которые применяются к учетной записи:

Иные соображения безопасности

Многие приложения используют альтернативные механизмы аутентификации, которые могут быть запросто пропущены даже опытными системными администраторами. Поэтому важно понимать и контролировать как пользователи авторизуются и получают доступ к сервисам и приложениям на вашем сервере.

Доступ по SSH заблокированными пользователями

Обычное отключение/блокирование не исключает удаленного подключения пользователя к серверу, если ему предварительно была установлена аутентификация по открытому ключу RSA. Такие пользователи будут получать доступ к консольной оболочке (shell) на сервере без необходимости ввода какого-либо пароля. Не забывайте проверять пользовательские домашние каталоги на файлы, которые позволяют подобный тип авторизации по SSH , например, /home/username/.ssh/authorized_keys.

Удаление или переименование каталога .ssh/ в домашнем каталоге пользователя предотвратит дальнейшую способность аутентификации по SSH .

Аутентификация по внешней базе данных

Большинство корпоративных сетей требуют централизованной аутентификации и контроля доступа для всех системных ресурсов. Если вы настроили свой сервер для аутентификации пользователей по внешней базе данных, убедитесь, что вы отключаете учетные записи как внешние, так и локальные, таким образом вы будете уверены что откат на локальную аутентификацию невозможен.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.

Источник