Uživatelský účet

Z MiS
(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
(Pročištění struktury poznámek)
m (Stránka Oprávnění pro přístup k souborům přemístěna na stránku Uživatelský účet: Nový název lépe postihuje obsah stránky.)
 
(Není zobrazeno 7 mezilehlých verzí od 1 uživatele.)
Řádka 1: Řádka 1:
[[Category:VSE]]
+
[[Category:VSE]][[Category:Informatika]][[Category:OSY]][[Category:Linux]][[Category:Uživatelské účty]][[Category:Ukládání_dat]]
[[Category:Informatika]]
+
[[Category:OSY]]
+
  
== Co se máte naučit? ==
 
* vytvořit uživatelský účet
 
* změnit heslo uživatele
 
* zařadit uživatele do skupiny
 
* vysvětlit význam souborů <tt>/etc/passwd</tt>, <tt>/etc/group</tt> a <tt>/etc/shadow</tt>
 
  
== UID ==
+
== UID (User IDentificator) ==
**User IDentificator
+
* číslo
**identifikátor uživatele
+
* identifikuje uživatele v systému
**v souboru /etc/passwd <#_Freemind_Link_828580762>
+
* uloženo v souboru <code>/etc/passwd</code>
**Perličky
+
***stejné uživatelské jméno neznamená stejného uživatele
+
***Dva uživatelé se stejným UID.
+
***UID 0 => root
+
  
== Nastavování hesla ==
 
***passwd
 
***root může
 
****passwd username
 
  
== Přidávání uživatelů ==
+
== Nastavení hesla ==
***Grafika
+
* Své heslo změníme příkazem <code>passwd</code>:
***adduser
+
passwd
****zeptá se na všechny potřebné údaje
+
* Administrátor může nastavit heslo i jinému uživateli:
***useradd
+
passwd username
****Ubuntu
+
*****useradd -m -n -s /bin/bash bittnerova_pavlina
+
******useradd -m -g IE2010 bittnerova_pavlina
+
*****passwd bittnerova_pavlina
+
*****parametry useradd
+
******-m
+
*******vytvoří uživatelskou složku v /home
+
******-g
+
*******přiřadí uživateli primární skupinu
+
******-n
+
*******vytvoří i skupinu se stejným jménem
+
******-s
+
*******nastaví default-ní shell
+
******-p
+
*******nastaví úvodní heslo
+
*******ale kryptované funkcí crypt()
+
*******takže spíše dodatečně přes passwd
+
****heslo je pak potřeba nastavit ručně
+
***newusers
+
****cyberciti.biz > Tips > Linux-how-to-create-multiple-users-accounts-in-batch <http://www.cyberciti.biz/tips/linux-how-to-create-multiple-users-accounts-in-batch.html>
+
****soubor s uživatelskými jmény a hesly
+
****ale je třeba zadat i UID
+
****touch /root/batch-user-add.txt
+
****chmod 0600 /root/batch-user-add.txt
+
****obsah /root/batch-user-add.txt
+
*****user1:password:1001:513:Student Account:/home/user1:/bin/bash
+
*****user2:password:1002:513:Sales user:/home/user2:/bin/bash
+
*****user100:password:1100:513:Sales user:/home/user100:/bin/bash
+
*****tom:password:1110:501:Guest Account:/home/guest:/bin/menu
+
*****jerry:password:1120:501:Guest Account:/home/guest:/bin/menu
+
****newusers /root/batch-user-add.txt
+
***Změna vlastností a zrušení uživatele
+
****usermod
+
*****usermod -a -G admin simunek
+
******Všichni admini jsou ve skupině admin
+
*****usermod -aG skupina uzivatel
+
****userdel
+
**Vytvoření skupiny, přiřazení uživatelů do skupiny
+
***Uživatel může být ve více skupinách, ve skupině může být více uživatelů.
+
***Vytvoření, zrušení
+
****groupadd
+
****groupdel
+
***Přiřazení uživatelů
+
****groupmod
+
****usermod <#_Freemind_Link_490610556>
+
  
== Konfigurační soubory ==
+
 
***/etc/group
+
== Správci a běžní uživatelé ==
****man -s 5 group
+
Některé příkazy smí používat pouze správce počítače.
***/etc/passwd
+
 
****Jak zjistit uživatelské jméno, které jsem si vytvořil při instalaci Ubuntu???
+
; Účet <tt>root</tt>
****Co udělá?
+
* V unixových systémech je vyhrazen speciální uživatel <tt>root</tt> (má UID = 0), který může provádět cokoli.
*****cat /etc/passwd | cut -d : -f 1 | sort
+
* Z bezpečnostních důvodů lze tento účet zakázat/nevytvořit vůbec.
***UK* Vytvoření účtu.
+
 
***Vytvořte pro každého z vás uživatelský účet na počítači, u kterého pracujete.
+
; Příkaz <code>sudo</code>
***Vytvořte skript, kterým nastavíte x uživatelů.
+
* Dalším uživatelům lze povolit spouštět jednotlivé příkazy s právy administrátora/správce tak, že jim povolíme spouštět příkaz <code>sudo</code>.
***Vytvořte skupinu treti_b. Přiřaďte uživatele.
+
* Před příkaz zapíšeme <code>sudo</code>, čímž říkáme, že se příkaz spustí s právy administrátora.
***Zkontrolujte v konfiguračních souborech.
+
<div class="Priklad">
**Složka ~
+
sudo nano /etc/samba/smb.conf
***~/Desktop
+
* Spustí textový editor <tt>nano</tt> s právy administrátora.
*Přepínání uživatelů
+
sudo -i
**su + sudo <#Freemind_Link_1014734255>
+
* Spustí nový shell s právy administrátora.
**su
+
* Nový shell ukončíte příkazem <code>exit</code>.
***nebo sudo -i
+
</div>
**spuštění jednoho příkazu jako admin
+
 
***sudo
+
; Povolování příkazu <code>sudo</code>
**spuštění grafického programu jako admin
+
Nastavení toho, kdo (kteří uživatelé) smí spouštět <code>sudo</code>, se liší podle distribuce.
***gksu
+
Příklady:
****například gparted
+
* Fedora: uživatelé jsou uvedeni v souboru <tt>/etc/sudoers</tt> včetně toho, co smí provádět a co ne.
***v KUbuntu
+
* Debian: uživatelé jsou zařazení do skupiny <tt>sudo</tt>.
****kdesu
+
* Ubuntu: uživatelé jsou zařazení do skupiny <tt>admin</tt>.
*Nastavování práv
+
 
** *UK* Zjistěte sami na Internetu
+
; Spuštění grafického programu s právy administrátora
***Komu můžeme přiřadit práva k souborům (3 subjektům)
+
* Některé programy lze spustit přes <code>sudo</code>.
***Práva se označují písmenky r, w, x, co písmenka znamenají pro soubor a co pro adresář
+
* Příkaz <code>gksu</code>: pro prostředí Gnome.
***Co vypíše příkaz ls -l (hlavně význam prvních 10 písmenek)
+
* Příkaz <code>kdesu</code>: prostředí KDE.
**Práva pro přístup k souborům
+
 
***R, W, E
+
 
***význam pro
+
== Přepínání uživatelů ==
****soubor
+
; Příkaz <code>su</code>
*****Na začátek spustitelných skriptů: #!/bin/sh
+
* Spustí nový shell s uživatelskými právy zadaného uživatele.  
****adresář
+
* Shell následně ukončíme příkazem:
*****Představa
+
exit
******složka jako seznam názvů souborů a odkazů na jejich data
+
* Příkaz vyžaduje zadání hesla uživatele, kterým se chceme stát. Vyjímkou je správce počítače, ten se může stát kým chce. ;)
******r
+
<div class="Priklad">
******w
+
su franta
******x
+
* Pro Moraváky zcela přirozené, že? ;) Odteď vše funguje, jako byste byl <tt>franta</tt>.
*******přístup k souborům ve složce
+
su
**Zjištění práv
+
* Přepne na uživatelský účet <tt>root</tt>
***Jak zjistíte vlastníka souboru,
+
</div>
***práva vlastníka, skupiny a všech k souboru,
+
 
***do kterých skupin patří uživatel?
+
 
**Nastavování práv
+
== Systémy správy oprávnění uživatelů ==
***chmod
+
* Unix
***číselné vyjádření práv
+
** Na většině stránek budeme mluvit o klasickém nastavování odvozenému ze systému Unix.
***změna jednotlivých práv
+
* ACL
**Se SUDO mohu stejně všechno!
+
** standard POSIX
**Změna vlastníka a skupiny
+
** stále jen práva rwx, ale lze je nastavovat jednotlivým uživatelům
***Vlastníkem souboru je na začátku ten, kdo ho vytvoří.
+
* [http://www.abclinuxu.cz/clanky/bezpecnost/nebojte-se-selinuxu-1-uvod-prvni-spusteni SELinux]
***chown
+
** Například distribuce Fedora
****změna vlastníka
+
* A další...
****obvykle může provádět pouze root
+
** AppArmor (Novell/SUSE)
*****Lze změnit v jádře
+
** ...
*****Macro: int _POSIX_CHOWN_RESTRICTED
+
***chgrp
+
****změna vlastnické skupiny
+
****může provádět vlastník a root
+
***UK* Nastavování práv
+
****SUK* Soubor jen pro skupinu
+
****Vytvořte ve své domovské složce adresář 3b
+
****Adresář bude přístupný všem uživatelům ve skupině 3b (kterou si vytvoříte)
+
****Vytvořte uživatele Jakub, který bude ve skupině 3b
+
****Vytvořte uživatele Franta, který tam nebude
+
****Ve složce 3b vytvořte soubor ahoj.txt.
+
****Zařiďte, aby ho Franta mohl přečíst, nikoli však smazat, ani do něj zapisovat.
+
****Jakub může číst, psát, ale nemůže mazat.
+
***Starší
+
*****PR* Hromadné vytváření uživatelů
+
*****Vytvořte všechny uživatele třídy a odpovídající skupinu
+
*****Vytvořte složku, ke které budou mít přístup všichni uživatelé systému.
+
*****UK*
+
*****Máme složku /var/ftp, vlastník má být root, skupina ftpusers. Vlastník všechna, skupina taktéž, ostatní jen číst
+
*****Vytvořte složku public ve své domovském adresáři, bude přístupný kompletně všem.
+
******Co vypíše příkaz ls -l ~ | grep public
+
*****Složku public z předchozího zpřístupněte pouze skupině kamaradi, ostatním uživatelům přístup zakažte.
+
****Zpřístupněte
+
***** soubor pozdrav.txt ve svém ~ ostatním uživatelům pro čtení.
+
*****soubor vzkazy.txt ve svém $HOME ostatním i pro zápis.
+
*****Nebudou ale moci vypsat obsah vašeho ~.
+
*****res
+
******d: --x, f: r--
+
*****UK* ??? V /etc/fstab?
+
*****Nastavte práva pro montování disku s Windows.
+
*****Nastavte práva pro montování disků s Novellem.
+
**Další
+
***Uživatelé os: připojonání disků s uživatelskými právy, vlastník, skupina
+
***UK* Otázky
+
***Jak zjistíte, zda uživatel může soubor smazat | přejmenovat,...
+
***Není nastavování práv v rozporu s tím, že administrátor „může všechno“?
+
*Rozšíření
+
**SUID, SGID, Sticky bit
+
***SUID
+
****~ Set UID
+
****pro spustitelné soubory
+
****Program bude spouštěn s právy vlastníka programu.
+
*****nikoli toho, kdo program spustil
+
****Příklad použití:  
+
*****např. /usr/bin/passwd
+
****nastavení
+
*****chmod u+s program
+
*****POZOR!!!
+
******Nebezpečné, pouze velmi důvěryhodné programy.
+
****výpis ls -l
+
*****-rwsr...
+
*****s... SUID + právo spouštět
+
*****S... SUID - právo spouštět
+
***SGID
+
****pro spustitelné soubory
+
****Program bude spouštěn s právy skupiny, která program vlastní
+
****nastavení
+
*****chmod g+s program
+
****výpis ls -l
+
*****?????s???
+
*****s... SGID + právo spouštět pro skupinu
+
*****S... SGID - právo spouštět pro skupinu
+
***sticky-bit
+
****pro adresáře
+
*****původně zamýšlená složitější funkčnost, i pro soubory
+
*****PR* Příklad použití
+
*****/tmp
+
****vlastník souboru může soubor mazat
+
*****neplést s vlastníkem složky
+
****nastavení
+
*****chmod o+t soubor.txt
+
*****chmod o-t soubor.txt
+
****výpis ????????t
+
*****t
+
*****T
+
*****PR* Vyzkoušejte!
+
*****mkdir tmp
+
*****cd pokus
+
*****touch student.txt
+
*****chmod o+t tmp
+
*****ls -l tmp
+
*****touch moje.txt
+
*****chown student.txt student
+
*****ls
+
*****su student
+
*****rm moje.txt
+
*****rm student.txt
+
**umask
+
***nastavuje, jaká práva má mít nově vytvořený soubor
+
****Vlastník bude:
+
*****ten, kdo ho vytvořil
+
****Skupina:
+
*****primární skupina toho, kdo soubor vytvořil
+
***bity masky odečteme od základní masky
+
***základ
+
****pro soubory 666
+
****pro adresáře 777
+
***standardní maska je 022
+
*****PR* Jaká práva bude mít s touto maskou nově vytvořený
+
*****soubor
+
*****adresář
+
**Jiné způsoby nastavování práv
+
***ACL (viz POS4) <../pos4/pos4.mm>
+
****POSIX
+
****stále jen práva rwx, ale lze jednotlivým uživatelům
+
***SELinux <http://www.abclinuxu.cz/clanky/bezpecnost/nebojte-se-selinuxu-1-uvod-prvni-spusteni>
+
****Obzvláště Fedora
+
***A další...
+
****AppArmor (Novell/SUSE)
+
****...
+
**VH* Další, pokročilé
+
***L* Nastavení standardního shellu
+
***Jestliže nemáte /bin/bash nastaven jako implicitní shell, napravte to následujícím příkazem a poté spusťte BASH, protože změny se projeví až po přihlášení.
+
***Shelly v /bin
+
*****PR* Např. /bin/bash
+
***Změna se projeví až po přihlášení.
+
***$ usermod -s /bin/bash $USER
+
***$ /bin/bash
+
**Konfigurace systému.
+
***~/.profile, resp ~/bash_profile
+
***L* Jiné způsoby autentizace <#Freemind_Link_66015739>
+
*Přihlašování z více počítačů (Kerberos, LDAP,...) <#Freemind_Link_116980941>
+
  
 
== Zdroje ==
 
== Zdroje ==
 
* [http://www.abclinuxu.cz/clanky/navody/unixove-nastroje-5-opravneni-chmod-chown-chgrp AbcLinuxu.cz > Unixové nástroje, oprávnění, chmod-chown-chgrp]
 
* [http://www.abclinuxu.cz/clanky/navody/unixove-nastroje-5-opravneni-chmod-chown-chgrp AbcLinuxu.cz > Unixové nástroje, oprávnění, chmod-chown-chgrp]

Aktuální verze z 2. 10. 2020, 09:37


Obsah

UID (User IDentificator)


Nastavení hesla

passwd
passwd username


Správci a běžní uživatelé

Některé příkazy smí používat pouze správce počítače.

Účet root
Příkaz sudo
sudo nano /etc/samba/smb.conf
  • Spustí textový editor nano s právy administrátora.
sudo -i
  • Spustí nový shell s právy administrátora.
  • Nový shell ukončíte příkazem exit.
Povolování příkazu sudo

Nastavení toho, kdo (kteří uživatelé) smí spouštět sudo, se liší podle distribuce. Příklady:

Spuštění grafického programu s právy administrátora


Přepínání uživatelů

Příkaz su
exit
su franta
  • Pro Moraváky zcela přirozené, že? ;) Odteď vše funguje, jako byste byl franta.
su
  • Přepne na uživatelský účet root


Systémy správy oprávnění uživatelů

Zdroje

Osobní nástroje
Jmenné prostory
Varianty
Akce
Výuka
Navigace
Nástroje