- Использование passwd и adduser для управления паролями на выделенном сервере Linux
- Что такое файл «/etc/passwd»?
- Чтение файла «/etc/passwd»
- Что такое «/etc/shadow»?
- Чтение файла «/etc/shadow»
- Изменение пароля
- Создание нового пользователя
- Итоги
- Linux содержимое какого файла обычно изменяет утилита passwd
- НАЗВАНИЕ
- ОПИСАНИЕ
- ФАЙЛЫ
- СМОТРИТЕ ТАКЖЕ
- 5. Файлы /etc/passwd, /etc/shadow и утилита /usr/bin/passwd
- 6. Изменение прав доступа и владельца
Использование passwd и adduser для управления паролями на выделенном сервере Linux
Пароли и аутентификация – это понятия, с которыми сталкивается каждый пользователь, работающий в среде Linux. Данные темы охватывают ряд различных конфигурационных файлов и инструментов.
Данное руководство рассматривает некоторые базовые файлы, такие как «/etc/passwd» и «/etc/shadow», а также такие инструменты для настройки проверки подлинности, как команды «passwd» и «adduser».
Для демонстрации примеров используется выделенный сервер Ubuntu 12.04 , но любой современный дистрибутив Linux работает таким же образом.
Что такое файл «/etc/passwd»?
Для начала нужно рассмотреть файл под названием «/etc/passwd», который на самом деле не содержит паролей.
Когда-то этот файл хранил хешированные пароли всех пользователей в системе. Тем не менее, по соображениям безопасности позже эта ответственность была перенесена в отдельный файл.
Итак, что же находится в файле «/etc/passwd»?
less /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
. . .
Первое, на что стоит обратить внимание: этот файл доступен для непривилегированных пользователей.
То есть, любой пользователь системы может читать данный файл. Вот почему все пароли были перенесены в другой файл.
Чтение файла «/etc/passwd»
Каждая строка файла содержит информацию о входе всех пользователей системы. Некоторые из этих пользователей могут быть созданы для работы демонов и фоновых служб.
Чтобы объяснить, какая именно информация содержится в строках данного файла, нужно подробно рассмотреть одну строку.
Поля информации разделяются двоеточием (:). Каждая строка типичного Linux-файла «/etc/passwd» содержит 7 полей:
- Root: имя пользователя;
- х: место для информации о паролях; пароль можно найти в файле «/etc/shadow».
- 0: ID пользователя. Каждый пользователь имеет уникальный идентификатор, благодаря которому система распознает его. ID root-пользователя всегда 0;
- 0: ID группы. Каждая группа имеет уникальный идентификатор. По умолчанию у каждого пользователя есть главная группа. Опять же, ID root-группы всегда 0;
- root: поле для примечаний. Данное поле можно использовать для описания пользователя или его функций. Оно может содержать что угодно, начиная от контактной информации пользователя и заканчивая описанием сервисов, для которых была создана учетная запись;
- /root: домашний каталог. Для обычных пользователей домашним каталогом является «/home/username», для root-пользователя это «/root»;
- /bin/bash: оболочка пользователя. Данное поле содержит оболочку, которая будет создана, или команды, которые будут выполняться при входе пользователя в систему.
По мере добавления пользователей с помощью таких команд, как «adduser» и «useradd», или с установкой большего количества сервисов этот файл будет расти. Информация о новом пользователе будет добавлена в конце данного файла.
В большинстве случаев этот файл не нужно редактировать вручную, так как для управления ним существуют специальные инструменты, обеспечивающие использование правильного синтаксиса.
Что такое «/etc/shadow»?
Фактические данные о паролях хранятся в файле с именем «/etc/shadow».
Данный файл на самом деле не содержит паролей в виде простого текста. Вместо этого, он использует функцию выведения ключей для создания случайных данных. Вот что хранится в данном файле.
Функция выведения ключей – это алгоритм, создающий при вводе одних и тех же данных определенный хэш. Такой же алгоритм выполняется на пароль, который дается в процессе аутентификации, и это значение сравнивается со значением в этом файле.
Имейте в виду, данный файл, в отличие от файла «/etc/passwd», не доступен дл прочтения непривилегированными пользователями.
Пользователь root имеет привилегии читать и писать в файлах; группа «shadow», содержащая пользователей, которым необходима аутентификация, имеет права на чтение.
Чтение файла «/etc/shadow»
Чтобы открыть файл «/etc/shadow», введите:
sudo less /etc/shadow
root:$6$mJD3Rsj4$xUa7jru6EEGTXnhwTfTT26/j8M5XiQvUl6UH32cfAWT/6W9iSI5IuIw5OOw4khwrsOHPyMwfCLyayfYiVdhAq0:15952:0:99999:7.
daemon:*:15455:0:99999:7.
bin:*:15455:0:99999:7.
sys:*:15455:0:99999:7.
sync:*:15455:0:99999:7.
games:*:15455:0:99999:7.
man:*:15455:0:99999:7.
. . .
Как и в файле «/etc/passwd», каждая строка содержит информацию об отдельном пользователе, а каждое поле отделяется символом двоеточия.
Примечание: символ звездочки (*) во втором поле строк значит, что данная учетная запись не может войти в систему. Обычно это используется для сервисов.
Для примера можно рассмотреть одну строку данного файла:
Файл «/etc/shadow» содержит следующие поля:
- daemon: имя пользователя;
- *: соль и хешированный пароль; данное поле можно просмотреть, войдя как root. Как указано выше, звездочка значит, что данная учетная запись не может быть использована для входа в систему.
- 15455: последнее изменение пароля. Данное значение ограничивается датой начала «Unix-эпохи» (1 января 1970).
- 0: допустимое количество дней для смены пароля. 0 в данном поле значит, что таких ограничений нет.
- 99999: количество дней до необходимости смены пароля. Значение 99999 указывает на то, что ограничения на продолжительность использования одного пароля не установлены.
- 7: количество дней до предупреждения об истечении срока использования пароля. Если требуется сменить пароль, пользователь будет извещен о данной необходимости за указанное количество дней.
- [blank]: последние три поля нужны для того, чтобы указать количество дней до деактивации учетной записи. Последнее поле не используется.
Изменение пароля
Для изменения паролей пользователей используется команда «passwd».
По умолчанию данная команда изменяет пароль текущего пользователя и не требует особых привилегий.
Чтобы изменить пароль другого пользователя, нужны привилегии администратора. Для этого используется следующий синтаксис:
Будет запрошен пароль для команды «sudo», затем можно будет ввести новый пароль и подтвердить его.
Если сравнить значение хэш в файле «/etc/shadow», можно увидеть, что после ввода команды passwd оно изменилось.
Создание нового пользователя
Нового пользователя можно создать при помощи нескольких команд.
Самый простой способ – использовать команду «adduser». В системах Ubuntu данная команда связана со скриптом «perl», который обрабатывает создание пользователя.
Команду можно вызвать следующим образом:
adduser demo
Adding user `demo’ .
Adding new group `demo’ (1000) .
Adding new user `demo’ (1000) with group `demo’ .
Creating home directory `/home/demo’ .
Copying files from `/etc/skel’ .
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for demo
Enter the new value, or press ENTER for the default
Full Name []: test
Room Number []: room
Work Phone []: work phone
Home Phone []: home phone
Other []: other
Is the information correct? [Y/n]
На данном этапе появится несколько вопросов, которые помогут внести необходимую информацию в файлы «/etc/passwd» и «/etc/shadow».
Можно просмотреть внесенную в файл «/etc/passwd» запись, введя:
tail -1 /etc/passwd
demo:x:1000:1000:test,room,work phoneme phone,other:/home/demo:/bin/bash
Как можно видеть, данная команда использует поле для примечаний в своих интересах. Остальные поля заполнены должным образом.
Можно запустить похожую команду для того, чтобы просмотреть изменения, внесенные в файл «/etc/shadow».
sudo tail -1 /etc/shadow
demo:$6$XvPCmWr4$HXWmaGSeU5SrKwK2ouAjc68SxbJgUQkQ.Fco9eTOex8232S7weBfr/CMHQkullQRLyJtCAD6rw5TVOXk39NAo/:15952:0:99999:7.
Итоги
При помощи этих простых инструментов можно изменить регистрационную информацию системы.
После внесения изменений важно проверить, можете ли вы войти в систему. Также необходимо проверить права на идентификационные файлы, чтобы сохранить функциональность сервера и обеспечить ему безопасность.
Linux содержимое какого файла обычно изменяет утилита passwd
НАЗВАНИЕ
ОПИСАНИЕ
Файл /etc/passwd содержит учётные записи пользователей, по одной в каждой строке. Строка состоит из семи полей, разделённых двоеточиями («:»). Поля: • имя пользователя для входа в систему • необязательный зашифрованный пароль • числовой идентификатор пользователя • числовой идентификатор группы • ФИО пользователя или поле комментария • домашний каталог пользователя • необязательный интерпретатор командной строки пользователя Поле с зашифрованным паролем может быть пустым, и тогда для входа под этой учётной записью пароль не требуется. Однако, некоторые приложения, которые читают файл /etc/passwd, могут решить не позволять любой доступ, если поле пароля пустое. Если поле пароля содержит строчную «x», то шифрованный пароль хранится в файле shadow(5); в файле shadow должна быть соответствующая строка, иначе учётная запись считается недействительной. Если в поле пароля содержится какая-то другая строка, то она воспринимается как шифрованный пароль, согласно формату crypt(3). Поле комментария используется различными системными утилитами, такими как finger(1). В поле домашнего каталога хранится начальный рабочий каталог. Программа login использует эту информацию для установки значения переменной окружения $HOME. В поле интерпретатора командной строки хранится название интерпретатора командной строки пользователя или программы, которая будет запущена первой. Программа login использует эту информацию для установки значения переменной окружения $SHELL. Если это поле пустое, то используется значение по умолчанию /bin/sh.
ФАЙЛЫ
/etc/passwd содержит информацию о пользователях /etc/shadow необязательный файл с шифрованными паролями /etc/passwd- резервная копия файла /etc/passwd Заметим, что этот файл используется программами из комплекта утилит shadow, но не всеми инструментами управления пользователями и паролями.
СМОТРИТЕ ТАКЖЕ
crypt(3), getent(1), getpwnam(3), login(1), passwd(1), pwck(8), pwconv(8), pwunconv(8), shadow(5), su(1), sulogin(8).
© 2019 Canonical Ltd. Ubuntu and Canonical are registered trademarks of Canonical Ltd.
5. Файлы /etc/passwd, /etc/shadow и утилита /usr/bin/passwd
Здесь записана информация о пользователях в следующем формате:
Он доступен для чтения всем пользователям, на запись только администратору. В целях безопасности пароли в нём не хранятся, для них есть отдельный зашифрованный файл /etc/shadow, который доступен для чтения и записи только администратору. Для того, чтобы обычный пользователь мог изменить свой пароль, существует утилита /usr/bin/passwd, которая доступна администратору и группе root на чтение, запись и исполнение, а всем остальным – на чтение и исполнение. Эта программа может выполнять действия от имени администратора, независимо от того, кто её запустил.
6. Изменение прав доступа и владельца
Для изменения прав доступа к файлу предназначена утилита chmod. Синтаксис:
Опция –R используется для изменения прав доступа ко всем файлам в указанном каталоге и в подкаталогах. mode записывается в следующем виде:
Здесь who указывает для кого необходимо изменить права доступа, и может принимать одно из следующих значений: u (для владельца файла), g (для группы-владельца), o (для всех остальных) или a (для всех). Operator указывает действие: + (добавить право), — (удалить право) или = (задать права на чтение, запись и выполнение). Permissions указывает собственно права, которые должны быть изменены: r (чтение), w (запись), x (выполнение), s (право на выполнение файла от имени его владельца, то есть SUID (если в поле who содержится или подразумевается u), или от имени группы-владельца, то есть SGID (если в поле who содержится или подразумевается g)) и другие.
Пример записи команды chmod:
chmod a+x,og-r myfile file2 zzz
Существует и более короткий формат записи данной команды:
Здесь каждый разряд восьмеричного числа, состоящий из трёх бит, определяет права на чтение запись и выполнение для владельца, группы-владельца и всех остальных.
Если права на использование файла для владельца и для группы, в которую он входит различны, то для самого владельца файла права определяются исключительно его правами, независимо от прав группы-владельца, а для всех остальных членов этой группы права определяются правами группы.
Для изменения владельца файла предназначена утилита chown. Синтаксис:
Опция –R используется для изменения владельца всех файлов в указанном каталоге и в подкаталогах. owner – имя пользователя или его ID. group – имя группы или ID группы.
Пример записи команды chown:
Несмотря на то, что утилита chown может быть выполнена любым пользователем, она позволяет изменить владельца файла только администратору. Обычным пользователям запрещено изменять владельца даже своих собственных файлов.