Linux ubuntu система администрирования

Приемы работы в Ubuntu.
Глава 8: Администрирование

Совет # 75: Управление пользователями и группами

Используйте графический интерфейс и средства командной строки для добавления, удаления и управления пользователями и группами.

Итак, вы в течение некоторого времени пользовались вашим настольный компьютером с системой Ubuntu и он начал привлекать к себе внимание со стороны других членов вашей семьи. Все они хотят пользоваться системой, но вы не хотите давать им возможность редактировать ваши файлы. Решение состоит в создании новых учетных записей для каждого, кто хочет получить доступ к вашей системе. Таким образом, у каждого будут свои собственные логин, пароль и домашний директорий для хранения файлов. В Ubuntu у вас есть несколько возможностей редактирования пользователей и групп, причем как с помощью графического интерфейса, так и в командной строке.

Используйте средства администрирования пользователей

В Ubuntu есть графический интерфейс, который позволяет относительно легко управлять пользователями и группами. Выберите System → Administration → Users and Groups (Система → Администрирование → Пользователи и группы) для того, чтобы запустить средство управления пользователями (рис. 8-1). Интерфейс разделен на две вкладки, первая — для пользователей, а вторая — для групп, а с правой стороны есть кнопки для добавления, изменения и удаления пользователей и групп. По умолчанию будут отображаться только те пользователи и группы, котоые вы, скорее всего, захотите редактировать, но вы можете пометить флажком вариант «Show all users and groups» («Показать все пользователи и группы»), расположенный в нижней части окна с тем, чтобы увидеть всех пользователей и все группы.

Рис.8-1. Средства администрирования пользователей в Ubuntu

Для того, чтобы добавить нового пользователя, нажмите кнопку Add User (Добавить пользователя). Появится новое окно с несколькими полями, которые нужно заполнить (рис. 8-2). Самыми важными для заполнения являются поля Username (Имя пользователя) и Password (Пароль). Вы можете сами выбрать пароль или Ubuntu может для вас сгенерировать пароль случайным образом. Если вы более опытный администратор, выберите вкладку Advanced (Дополнительно), чтобы изменить используемую по умолчанию группу, доступ к shell оболочке, домашний директорий и идентификатор пользователя. В Ubuntu на выбор предлагается три пользовательских профиля. Профиль Default не позволяет пользоваться дополнительными привилегиями; профиль Desktop позволит получить доступ к аудио, видео и к другим периферийным устройствам, а профиль Administrator позволит пользоваться привилегиями root (несмотря на свое название, профиль Default не является профилем, выбираемым по умолчанию; по умолчанию выбирается профиль Desktop). Все эти настройки, в том числе и права доступа, могут быть в дальнейшем изменены; просто выберите конкретного пользователя и выберите Properties (Свойства). Чтобы удалить пользователя, выберите ее и нажмите кнопку Delete (Удалить). Обратите внимание, что ни одно из этих изменений не вступит в силу до тех пор, пока вы не щелкните по кнопке OK и не закроете программу.

Рис.8-2. Конфигурационное окно редактора учетных записей пользователей

Вкладка Groups (Группы) позволить вам настроить принадлежность к группе, определенной в системе. Принадлежность к группе определяет, можно ли пользоваться командой sudo для получения привилегий root (члены группы admin) и можно ли управлять принтерами, сканерами и другими устройствами. Для того, чтобы увидеть членов конкретной группы, выделите группу и нажмите кнопку Properties (Свойства — рис. 8-3). Вы можете с помощью списка, расположенного в левой части окна, выбрать новых пользователей и добавить их в группу. Чтобы создать новую группу, нажмите кнопку Add Group (Добавить группу) и заполните поля в появившемся окне.

Рис.8-3. Редактор учетных записей в Ubuntu

Управление пользователями и группами из командной строки

Вы можете также добавлять, изменять и удалять пользователей и группы с помощью средств командной строки. Чтобы добавить в систему нового пользователя, наберите:

Вам будет предложено ввести реальное имя пользователя, а также другую дополнительную информацию, и, наконец, вам будет предложено ввести пароль пользователя. Скрипт adduser автоматически создаст домашний директорий пользователя и группу. Вы можете изменить идентификатор пользователя, директорий, используемый по умолчанию, и доступ к shell оболочке соответственно с помощью параметров —uid , —home и —shell . Для того, чтобы изменить параметры пользователя, откройте затем в текстовом редакторе файл /etc/passwd с правами доступа root. Пример того, как из командной строки редактировать текстовые файлы, смотрите в разделе «Редактирование конфигурационных файлов» [Совет # 74]).

Предостережение

Если вы создаете пользователя средствами командной строки, то, возможно, новый пользователь не будет назначен правильным группам (например, audio), что необходимо для полного использования возможностей настольного компьютера. Вы можете в роли пользователя, которую вы создали ранее, воспользоваться командой sudo и отредактировать файл /etc/group, назначив нового пользователя тем группам, которым необходимо.

Чтобы удалить пользователя, используйте команду deluser:

По умолчанию, эта команда удалит из системы только пользователя, но не его файлы. Чтобы удалить домашний директорий пользователя и его почтовый ящик, добавьте параметр —remove-home . Для того, чтобы удалить все файлы в системе, принадлежащие пользователю, вне зависимости от того, где они находятся, используйте параметр —remove-all-files .

Есть аналогичные команды, используемые из командной строки, для добавления и удаления групп в системе. Чтобы добавить группу в систему, используйте команду addgroup:

Вы можете использовать параметр —gid для того, чтобы указать номер идентификатора группы, который будет использоваться. Все системные группы находятся в файле /etc/group, поэтому вы можете отредактировать этот файл с правами root, если вы хотите настроить принадлежность к группе или другие ее свойства. Если вы хотите добавить текущего пользователя к текущей группе, вы можете вместо того, чтобы редактировать файл /etc/group, просто набрать:

Чтобы удалить из системы группу, используйте команду delgroup:

Предостережение

Будьте аккуратны при удалении пользователей или групп, в частности, тех пользователей или групп, которые вы не создавали. Когда устанавливается система Ubuntu или некоторые пакеты, создаются определенные учетные записи, которые удалять не следует. Не удаляйте их, если вы не знаете, зачем они нужны.

Источник

Администратор в Ubuntu, или Что такое sudo

Содержание

В любой Linux-системе обязательно есть один привилегированный пользователь — root. Этот пользователь имеет права на выполнение любых действий, удаление любых файлов и изменение любых параметров. Как-то ограничить свободу действий root практически невозможно. С другой стороны, все остальные пользователи системы обычно не имеют большинства необходимых прав, например, прав на установку программ, поскольку это является административной операцией, права на которую есть только у root. Ещё одной распространённой операцией, доступной только суперпользователю, является копирование и изменение файлов в системных папках, куда обычный пользователь доступа не имеет.

Раньше данная проблема решалась достаточно просто: при обладании паролем root можно было зайти в систему под его аккаунтом либо временно получить его права, используя команду su . Потом выполнить все необходимые операции и вернуться обратно под обычного пользователя. В принципе, такая схема работает неплохо, однако у неё есть много существенных недостатков, в частности, невозможно никак (точнее, очень сложно) ограничивать административные привилегии только определённым кругом задач.

Поэтому в современных дистрибутивах Linux вместо root аккаунта для администрирования используется утилита sudo .

В Ubuntu по умолчанию root аккаунт вообще отключён, т.е. вы никаким способом не сможете попасть под root, не включив его. root именно что отключён, т.е. он присутствует в системе, под него всего лишь нельзя зайти. Если вы хотите вернуть возможность использовать root, смотрите ниже пункт о включении root аккаунта.

Что такое sudo

sudo — это утилита, предоставляющая привилегии root для выполнения административных операций в соответствии со своими настройками. Она позволяет легко контролировать доступ к важным приложениям в системе. По умолчанию, при установке Ubuntu первому пользователю (тому, который создаётся во время установки) предоставляются полные права на использование sudo. Т.е. фактически первый пользователь обладает той же свободой действий, что и root. Однако такое поведение sudo легко изменить, об этом см. ниже в пункте про настройку sudo.

Где используется sudo

sudo используется всегда, когда вы запускаете что-то из меню Администрирования системы. Например, при запуске Synaptic вас попросят ввести свой пароль. Synaptic — это программа управления установленным ПО, поэтому для её запуска нужны права администратора, которые вы и получаете через sudo вводя свой пароль.

Однако не все программы, требующие административных привилегий, автоматически запускаются через sudo. Обычно запускать программы с правами администратора приходится вручную.

Запуск графических программ с правами администратора

Для запуска графических программ с правами администратора можно воспользоваться диалогом запуска программ, вызываемым по умолчанию сочетанием клавиш Alt + F2 .

Допустим, нам необходимо запустить файловый менеджер Nautilus с правами администратора, чтобы через графический интерфейс как-то изменить содержимое системных папок. Для этого необходимо ввести в диалог запуска приложений команду

Вместо gksudo можно подставить gksu , кроме того, пользователи KDE должны вместо gksudo писать kdesu . У вас попросят ввести свой пароль, и, если вы обладаете нужными правами, Nautilus запуститься от имени администратора. Запуск любого графического ПО можно производить с правами администратора, просто написав в диалоге запуска

Запуск программ с правами администратора в терминале

Для запуска в терминале команды с правами администратора просто наберите перед ней sudo :

У вас попросят ввести ваш пароль. Будьте внимательны, пароль при вводе никак не отображается, это нормально и сделано в целях безопасности, просто вводите до конца и нажимайте Enter . После ввода пароля указанная команда исполнится от имени root.

Система какое-то время помнит введённый пароль (сохраняет открытой sudo-сессию). Поэтому при последующих выполнениях sudo ввод пароля может не потребоваться. Для гарантированного прекращения сессии sudo наберите в терминале

Кроме того, часто встречаются ошибки, связанные с каналами в Linux. При исполнении команды

с правами root исполнится только cat , поэтому файл result.txt может не записаться. Нужно либо писать sudo перед каждой командой, либо временно переходить под суперпользователя.

Получение прав суперпользователя для выполнения нескольких команд

Иногда возникает необходимость выполнить подряд несколько команд с правами администратора. В этом случае можно временно стать суперпользователем одной из следующих команд:

После этого вы перейдёте в режим суперпользователя (с ограничениями, наложенными через настройки sudo), о чём говорит символ # в конце приглашения командной строки. Данные команды по действию похожа на su , однако: — sudo -s — не меняет домашний каталог на /root, домашним остается домашний каталог пользователя вызвавшего sudo -s, что обычно очень удобно. — sudo -i — сменит так же и домашний каталог на /root.

Для выхода обратно в режим обычного пользователя наберите exit или просто нажмите Ctrl + D .

Использование традиционного root аккаунта и команды su

Ubuntu 11.04 и младше

Для входа под root достаточно задать ему пароль:

Потом на экране входа нажмите Другой… и введите логин (root) и пароль, который вы задали.

Ubuntu 11.10 и старше

Начиная с версии 11.10 был установлен менеджер входа lightdm, и дело со входом под root обстоит немного сложнее.

1. Устанавливаем root пароль. Введите в терминал:

2. Включаем пункт «Введите логин». Введите в терминал:

В конце файла допишите:

3. Перезагружаем lightdm. Введите в терминал:

Все, на экране входа появится пункт «Логин». В поле логин вводим «root», в поле пароль — пароль, который мы задали на первом этапе.

Для обратной блокировки учетной записи root вам потребуется откатить изменения в настройках lightdm, а также заблокировать учетную запись root командой в терминале:

Настройка sudo и прав доступа на выполнение различных команд

sudo позволяет разрешать или запрещать пользователям выполнение конкретного набора программ. Все настройки, связанные с правами доступа, хранятся в файле /etc/sudoers . Это не совсем обычный файл. Для его редактирования необходимо (в целях безопасности) использовать команду

По умолчанию, в нём написано, что все члены группы admin имеют полный доступ к sudo , о чём говорит строчка

Подробнее о синтаксисе и возможностях настройки этого файла можно почитать выполнив

Разрешение пользователю выполнять команду без ввода пароля

Для того, что бы система не запрашивала пароль при определенных командах необходимо в sudoers после строки # Cmnd alias specification добавить строку, где через запятую перечислить желаемые команды с полным путём(путь команды можно узнать, выполнив which имя_команды:

И в конец файла дописать строку

Создание синонимов (alias`ов)

Для того, чтобы не только не вводить пароль для sudo, но и вообще не вводить sudo, сделайте следующее: откройте файл .bashrc, находящейся в вашем домашнем каталоге

и добавьте в конец файла строки

Время действия введённого пароля

Возможно, вы хотите изменить промежуток времени, в течение которого sudo действует без ввода пароля. Этого легко добиться добавив в /etc/sudoers (visudo) примерно следующее:

Здесь sudo для пользователя foo действует без необходимости ввода пароля в течение 20 минут. Если вы хотите, чтобы sudo всегда требовал ввода пароля, сделайте timestamp_timeout равным 0.

sudo не спрашивает пароль

sudo без пароля — чудовищная дыра в безопасности, кому попало разрешено делать что угодно. Если вы разрешили это намеренно — срочно верните обратно как было.

Однако, в некоторых случаях sudo внезапно перестаёт требовать пароль само по себе. Если сделать visudo , то можно увидеть примерно такую строку, которую пользователь вроде бы не добавлял:

Скорее всего, эта катастрофичная строка была добавлена при установке программы типа Connect Manager от МТС или Мегафона. В таком случае, её нужно поменять на строку, разрешающую с правами root запускать только этот Connect Manager, примерно так:

Есть и другие варианты решения проблемы, небольшое обсуждение здесь.

Источник