Users and groups (Русский)
Пользователи и группы пользователей используются на GNU/Linux для управления доступом — то есть, для управления доступом к системным файлам, каталогам и переферии. Linux предлагает относительно простые и грубые механизмы контроля доступа по умолчанию. Для более продвинутых вариантов, см. ACL и LDAP authentication
Обзор
Пользователь это любой кто использует компьютер. Имена пользователей могут быть любыми, например Mary или Bill, или псевдонимы вместо реальных имен, например Dragonlady или Pirate. Единственное что важно — это то что у компьютера есть имя для каждого созданного аккаунта, и то, что это имя, с помощью которого человек получает доступ к компьютеру. Некоторые службы и программы также запускаются с ограниченными или полными правами.
Управление аккаунтами пользователей используется в целях безопасности, ограничивая доступ несколькими способами.
Любой человек может иметь один и более аккаунт, поэтому каждому аккаунту должно соответствовать уникальное имя. Также есть несколько зарезервированных имен, которые нельзя использовать, например "root", "hal", и "adm".
Пользователи могут быть объединены в группы, и в зависимости от того в каких группах состоят пользователи их привилегии будут различаться.
Права и собственность
From In UNIX Everything is a File:
- ОС семейства UNIX созданы следуя нескольким единым идеям и концептам, которые отразились в их дизайне, интерфейсе, культуре и эволюции. Одна из важнейших таких идей: "все - это файл"
- Этот ключевой принцип состоит в предоставлении единой парадигмы для доступа к широкому кругу устройств ввода/вывода: документы, директории, жесткие диски, CD-диски, модемы, клавиатуры, принтеры, мониторы, терминалы и даже некоторые межпроцессовые взаимодействия и сетевые соединения. Фокус в том, чтобы предоставить простые абстракции для всех этих ресурсов, каждую из которых отцы UNIX назвали "файлом". Так как доступ к любому "файлу" можно получить через один и тот же интерфейс(API, не путать с GUI), вы можете использовать один и тот же набор базовых команд для чтения/записи диска, клавиатуры, документа или сетевого устройства.
Extending UNIX File Abstraction for General-Purpose Networking:
- A fundamental and very powerful, consistent abstraction provided in UNIX and compatible operating systems is the file abstraction. Many OS services and device interfaces are implemented to provide a file or file system metaphor to applications. This enables new uses for, and greatly increases the power of, existing applications — simple tools designed with specific uses in mind can, with UNIX file abstractions, be used in novel ways. A simple tool, such as cat, designed to read one or more files and output the contents to standard output, can be used to read from I/O devices through special device files, typically found under the
/devdirectory. On many systems, audio recording and playback can be done simply with the commands, "cat /dev/audio > myfile" and "cat myfile > /dev/audio," respectively.
Каждый файл в системе GNU/Linux принадлежит определённому пользователю и группе. Также следует отметить, что существует три типа доступа к файлу: чтение, запись, и выполнение. Различные типы доступа могут быть применены к пользователю и группе, владеющими файлом, а так же всем остальным (не являющимся владельцами файла). Владельцев файлов, а также права доступа можно определить с помощью команды ls:
$ ls -l /boot/
total 13740 drwxr-xr-x 2 root root 4096 Jan 12 00:33 grub -rw-r--r-- 1 root root 8570335 Jan 12 00:33 initramfs-linux-fallback.img -rw-r--r-- 1 root root 1821573 Jan 12 00:31 initramfs-linux.img -rw-r--r-- 1 root root 1457315 Jan 8 08:19 System.map26 -rw-r--r-- 1 root root 2209920 Jan 8 08:19 vmlinuz-linux
Первая колонка отображает права доступа к файлу (например, файл initramfs-linux.img имеет права доступа -rw-r--r--). Третья и четвёртая колонки отображают пользователя и группу, владеющих файлом, соответственно. В этом примере, всеми файлами владеет пользователь root, а так же одноимённая группа: root.
$ ls /media/ -l
total 16 drwxrwx--- 1 root vboxsf 16384 Jan 29 11:02 sf_Shared
В этом примере, каталог sf_Shared принадлежит пользователю root и группе vboxsf. Также можно определить владельцев и права доступа используя команду stat:
Пользователь:
$ stat -c %U /media/sf_Shared/
root
Группа:
$ stat -c %G /media/sf_Shared/
vboxsf
Права доступа:
$ stat -c %A /media/sf_Shared/
drwxrwx---
Права доступа отображаются в виде трёх групп символов, представляющих права доступа пользователя, владеющего файлом, владеющей группы, и всех остальных соответственно. Например, символы -rw-r--r-- означают, что владелец файла имеет право на чтение и запись, но не выполнение (rw-), в то время как пользователи, относящиеся к владеющей группе, и все остальные пользователи имеют лишь право на чтение (r-- и r--). Между тем, символы drwxrwx--- указывают на то, что владелец файла и прочие пользователи, относящиеся к владеющей группе, все имеют право на чтение, запись, и выполнение (rwx и rwx), тогда как остальные пользователи вообще не имеют никаких прав доступа к файлу (---). Первый символ означает тип файла: «d» — каталог, «-» — файл, «l» — ссылка.
Узнать список файлов, которыми владеет тот или иной пользователь и группа, можно с помощью команды find:
# find / -group [group]
# find / -user [user]
Пользователь и группа могут быть изменены с помощью команды chown (change owner). Права доступа к файлу могут быть изменены с помощью команды chmod (change mode).
See man chown, man chmod, and Linux file permissions for additional detail.
Управление пользователями
Информация о пользователях находится в файле /etc/passwd. Чтобы узнать список всех пользователей в системе:
$ cat /etc/passwd
На каждый аккаунт приходится по одной строке, имеющей следующий формат:
account:password:UID:GID:GECOS:directory:shell
где:
-
account— имя пользователя -
password— пароль пользователя -
UID— идентификационный номер пользователя -
GID— идентификационный номер основной группы пользователя -
GECOS— необязательное поле, используемое для указания дополнительной информации о пользователе (напирмер, полное имя пользователя) -
directory— домашний каталог ($HOME) пользователя -
shell— командный интерпретатор пользователя (обычно/bin/sh)
Посмотреть список пользователей, вошедших в систему, можно с помощью команды who.
Чтобы добавить нового пользователя, следует использовать команды useradd:
# useradd -m -g [основная группа] -G [дополнительные группы] -s [командный интерпретатор] [имя пользователя]
-
-m— создаёт домашний каталог пользователя, вида/home/[имя пользователя]; в пределах которого, пользователь, не имеющий прав доступа root, может создавать и удалять файлы, устанавливать программы, и т. д. -
-g— определяет имя или номер основной группы пользователя; группа должна существовать; номер группы должен относится к уже существующей группе; если параметр не указан, пользователю будет присвоена группа в соответствии с переменнойUSERGROUPS_ENAB, находящейся в/etc/login.defs. -
-G— определяет список дополнительных групп, в которые входит пользователь; каждая группа отделяется от другой запятой без пробелов; по умолчанию пользователь принадлежит только основной группе. -
-s— определяет командную оболочку пользователя; сценарии запуска Arch Linux используют Bash; после завершения запуска системы, командная оболочка будет той, что указана в данном параметре; при выборе отличного от Bash интерпретатора, убедитесь, что он установлен в систему.
Стандартный пример - добавление нового пользователя archie, с выбором баша в качестве оболочки и включением его в группы wheel и audio:
# useradd -m -g users -G wheel,audio -s /bin/bash archie
Для более продвинутых примеров, наберите:
$ man useradd
Для того, чтобы ввести полную информацию о пользователе (ФИО, и пр.), наберите:
# chfn [имя пользователя] option specifies that the user's home directory and mail spool should also be deleted
(при таком использовании chfn запускается в интерактивном режиме).
Для указания пароля пользователя, наберите:
# passwd [имя пользователя]
Также доступна интерактивная утилита для добавления пользователей:
# adduser
adduser запрашивает различную информацию о пользователе, и составляет команду для useradd. Также включает в себя действия, выполняемые chfn и passwd.
Удаление пользователей выполняется командой userdel.
# userdel -r [имя пользователя]
Опция -r также удаляет домашнюю директорию и почту пользователя.
Управление группами
/etc/group - файл, хранящий информацию о группах пользователей.
Чтобы отобразить группы, в которые включен пользователь, можно использовать команду groups:
$ groups [имя пользователя]
Если имя пользователя не указано, команда отобразит группы текущего пользователя.
Используя команду id можно получить дополнительную информацию, такую как ID пользователя и его групп (UID и GID):
$ id [имя пользователя]
Отобразить список всех групп:
$ cat /etc/group
Добавить новую группу командой groupadd:
# groupadd [имя группы]
Добавить пользователя в группу, команда gpasswd:
# gpasswd -a [имя пользователя] [имя группы]
Удалить группу:
# groupdel [имя группы]
Убрать пользователя из группы:
# gpasswd -d [имя пользователя] [имя группы]
Пользователю необходимо перезайти в систему, чтобы изменения вступили в силу.
Groups
Workstation/desktop users often add their non-root user to the following groups to allow access to peripherals and other hardware and facilitate system administration:
- audio
- floppy
- lp
- network
- optical
- power
- storage
- video
- wheel
| Group | Affected files | Purpose |
|---|---|---|
| adm | /var/log/* |
Read access to log files. |
| audio | /dev/audio, /dev/snd/*, /dev/rtc0 |
Access to sound hardware. |
| avahi | ||
| bin | /usr/bin/* |
Right to modify binaries only by root, but right to read or executed by anyone. (Please modify this for better understanding...) |
| camera | Access to Digital Cameras. | |
| clamav | /var/lib/clamav/*, /var/log/clamav/* |
Used by Clam AntiVirus. |
| daemon | ||
| dbus | /var/run/dbus/* |
|
| disk | /dev/sda[1-9], /dev/sdb[1-9] |
Access to block devices not affected by other groups such as optical, floppy, and storage. |
| floppy | /dev/fd[0-9] |
Access to floppy drives. |
| ftp | /srv/ftp |
|
| games | /var/games |
Access to some game software. |
| gdm | ||
| hal | /var/run/hald, /var/cache/hald |
|
| http | ||
| kmem | /dev/port, /dev/mem, /dev/kmem |
|
| locate | /usr/bin/locate, /var/lib/locate, /var/lib/mlocate, /var/lib/slocate |
Right to use updatedb command.
|
| log | /var/log/* |
Access to log files in /var/log,
|
| lp | /etc/cups, /var/log/cups, /var/cache/cups, /var/spool/cups |
Access to printer hardware; enables the user to manage print jobs. |
| mem | ||
/usr/bin/mail |
||
| network | Right to change network settings such as when using NetworkManager. | |
| networkmanager | Requirement for your user to connect wirelessly with NetworkManager. This group is not included with Arch by default so it must be added manually. | |
| nobody | Unprivileged group. | |
| ntp | ||
| optical | /dev/sr[0-9], /dev/sg[0-9] |
Access to optical devices such as CD and DVD drives. |
| policykit | ||
| power | Right to use suspend utilities and power management controls. | |
| rfkill | ||
| root | /* |
Complete system administration and control (root, admin). |
| scanner | /var/lock/sane |
Access to scanner hardware. |
| smmsp | sendmail group
|
|
| storage | Access to removable drives such as USB hard drives, flash/jump drives, MP3 players; enables the user to mount storage devices through HAL and D-Bus. | |
| stb-admin | ||
| sys | Right to admin printers in CUPS. | |
| thinkpad | /dev/misc/nvram |
Used by ThinkPad users for access to tools such as tpb. |
| tty | /dev/tty, /dev/vcc, /dev/vc, /dev/ptmx |
Eg. to acces /dev/ACMx |
| users | Standard users group. | |
| uucp | /dev/ttyS[0-9], /dev/tts/[0-9] |
Serial and USB devices such as modems, handhelds, RS-232/serial ports. |
| vboxusers | /dev/vboxdrv |
Right to use VirtualBox software. |
| video | /dev/fb/0, /dev/misc/agpgart |
Access to video capture devices, DRI/3D hardware acceleration (X can be used without belonging to this group). |
| vmware | Right to use VMware software. | |
| wheel | Right to use sudo (setup with visudo), also affected by PAM.
|