# Работа с пользователями в Linux
Рассмотрим основные моменты, касающиеся работы с пользователями в системах Linux
Любая работа в Linux выполняется от имени какого-то пользователя, зарегистрированного и авторизованного в системе.
В Linux существуют три типа пользователей:
* **Администраторы** — привилегированные пользователи с полным доступом к системе. По умолчанию на Linux-сервере после установки операционной системы всегда есть один такой пользователь — `root`.
* **Локальные пользователи** — непривилегированные пользователи. Их учётные записи создаёт администратор. Особенность таких аккаунтов в ограниченном доступе к серверу — они не могут пользоваться некоторыми системными утилитами, могут работать только с теми файлами и папками, к которым им открыт доступ. Тем не менее, можно повысить привилегии локального пользователя — ниже расскажем как.
* **Системные пользователи** — учётные записи, автоматически создаваемые системой для работы внутренних процессов и служб. Например, после установки веб-сервера Apache, который входит в состав стека LAMP, на сервере появляется пользователь `www-data` (на CentOS `apache`), от имени которого потом работает веб-сервер. Такие пользователи нужны для повышения безопасности.
Каждый пользователь имеет свой уникальный идентификатор пользователя, `UID`. Он отличается в зависимости от типа пользователя:
* администратор — 0
* обычный пользователь — от 100
* системный пользователь — от 1 до 100
Чтобы упростить процесс настройки прав для новых пользователей, их объединяют в группы. Каждая группа имеет свой набор прав и ограничений. Любой пользователь, создаваемый или добавляемый в такую группу, автоматически их наследует. Если при добавлении пользователя для него не указать группу, то у него будет своя, индивидуальная группа — с именем пользователя. Один пользователь может одновременно входить в несколько групп.
Информацию о каждом пользователе сервера можно посмотреть в файле `/etc/passwd`. Пользователи в нём перечислены в следующем формате:
Для отображения только учетных записей пользователей можно ввести команду:
`users`
Если вам известно имя пользователя и вы хотите узнать о нём побольше, необязательно читать `/etc/passwd`. Всё то же самое в человекочитаемом виде можно посмотреть с помощью команды `pinky -l` :
```
pinky -l test-user
```
Вывод информации о пользователе
Эта же команда без аргументов покажет вам всех авторизованных в текущий момент пользователей сервера, включая информацию о времени и источнике входа:
Вывод информации об авторизованных в текущий момент пользователях
В качестве альтернативы можно использовать команду `w` — она тоже показывает всех авторизованных в текущий момент пользователей, включая создаваемую ими нагрузку на сервер:
Вывод информации об авторизованных в текущий момент пользователях с помощью команды w
Узнать `UID` пользователя можно с помощью команды `id` :
```
id test-user
```
Мы должны увидеть что-то на подобие:
`uid=1001(username) gid=1001(username) groups=1001(username),27(sudo)`
*\* учетная запись **username** существует, она находится в основной группе **username** и дополнительной **sudo**. Ее идентификатор **1001**.*
Также мы можем получить строку о пользователе из файла **/etc/passwd**:
`getent passwd username`
Мы увидим что-то такое:
`username:x:1001:1001::/home/username:/bin/sh`
*\* наш пользователь **username** имеет идентификатор пользователя и группы **1001**, его домашняя директория **/home/username**, командная оболочка **/bin/sh**.*
Для именования пользователей в Linux есть набор стандартных правил:
* Имя пользователя может содержать только английские буквы `[a-z]` в верхнем и нижнем регистре, цифры, символ `«_»`, тире `«-»` и точку;
* Имя пользователя может оканчиваться символом `«$»`;
* Имя пользователя не может начинаться с тире, содержать только цифры или состоять из `«.»` или `«..»`;
* Не рекомендуется использовать точку в начале имени пользователя;
* Имя пользователя может включать до 32 символов.
Теперь перейдём непосредственно к управлению пользователями.
### Создание пользователей
Процесс добавления пользователя состоит из двух шагов: создания пользователя и настройки пароля.
На первом шаге используется команда `useradd` c набором опций для настройки нового пользователя и его именем (логином):
```
useradd <имя пользователя> [опции]
```
*\* опции не являются обязательными при создании пользователя.*
Эта команда имеет ряд настроек по умолчанию, которые задаются с помощью файлов `/etc/default/useradd` и `/etc/login.defs` Увидеть основные можно с помощью команды:
```
useradd -D
```
| `GROUP` | `GID` группы, в которую пользователь будет добавлен после создания |
| ------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `HOME` | базовый каталог, в котором будет размещена директория пользователя |
| `INACTIVE` | указывает время до блокировки пользователя, когда его пароль станет недействителен. Значение `«-1»` отключает опцию |
| `EXPIRE` | дата, до которой действителен аккаунт. По умолчанию не установлена — то есть без ограничений |
| `SHELL` | используется для настройки доступа к командной оболочке |
| `SKEL` | содержит путь к директории, в которой хранятся файлы по умолчанию. После создания пользователя они будут автоматически скопированы в его домашнюю папку |
| `CREATE_MAIL_SPOOL` | определяет, нужно ли создать папку для писем этого пользователя в `/var/spool/mail/` |
\
Все эти настройки применяются, если использовать самый простой вариант команды создания пользователя без параметров:
```
useradd test-user
```
Но обычно нам требуется добавить пользователя со специфическими настройками — для этого используется расширенный вариант этой команды. Перечислим основные опции:
| `-m` | создаёт указанную домашнюю директорию, если она ещё не существует |
| ----------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `-d /home/test-user` | устанавливает `/home/test-user` в качестве домашней директории |
| `-c "Евграф Шматкунос"` | добавляет комментарий. Например, с именем пользователя |
| `-g test` | указывает группу, в которую попадёт пользователь после создания. Можно использовать с `GID` или именем группы. Указанная группа должна существовать. Используется в сочетании с ключом `-N` (отменяет автоматическое создание группы с именем пользователя) |
| `-G users,wheel` | указывает список дополнительных групп пользователя. Они перечисляются через запятую без пробелов |
| `-s /bin/bash` | позволяет настроить доступ к `shell` |
| `-r` | создаёт системного пользователя. Используется, когда вам нужно настроить службу на работу из-под конкретного пользователя. По умолчанию данные таких пользователей не вносятся в `/etc/shadow`, для них не создаётся домашняя папка |
| `-u` | позволяет указать свой `UID`, который будет присвоен новому пользователю. В качестве `UID` указывается положительное целое число. `UID` должен быть уникален |
| `-e 2021-01-01` | указывает дату, до которой аккаунт будет активен. Дата задаётся в формате `YYYY-MM-DD` |
| `-f 3` | указывает количество дней до блокировки пользователя, когда его пароль станет недействителен |
| `-b` |
Задает базовый каталог для домашнего каталога useradd test-user -b /var/home
|
| `-D` |
Позволяет показать или изменить настройки по умолчанию, которые будут применяться при последующем создании пользователей useradd test-user -Ds /bin/bash
|
| `-k` |
Путь к источнику скелета (файлы с шаблонами для нового пользователя) useradd test-user -k /var/skel
|
| `-M` |
Не создавать домашний каталог useradd test-user -M
|
| `-N` |
Не создавать основную группу с таким же именем, как у пользователя useradd test-user -N
|
| `-o` |
Разрешает создание учетной записи с повторяющимся UID useradd test-user -u 15 -o
|
| `-p` |
Задает пароль useradd test-user -p pass
|
| `-R` |
Каталог, в который выполняется chroot useradd test-user -R /var/chroot/home
|
| `-U` |
Имя группы будет таким же, как у пользователя useradd test-user -U
|
В итоге получится вот такая сборная солянка из настроек:
```
useradd -m -u 666 -d /home/users/test-user -c "Тестовый пользователь" -e 2060-01-01 -s /bin/bash test-user
```
В примере мы создаём тестового пользователя `test-user` с идентификатором `666`, домашней папкой в `/home/users/test-user`, комментарием `«Тестовый пользователь»` и доступом к командной оболочке. Учётная запись будет действительна до конца света по Ньютону.
Более подробную информацию о доступных опциях для `useradd` можно увидеть с помощью команды `man useradd`.
Очень важно после создания пользователя настроить для него надёжный пароль. Для этого нужно ввести следующую команду:
```
passwd test-user
```
Настройка пароля пользователя после его создания
Система предложит ввести и подтвердить пароль. На этом процесс создания пользователя можно считать завершённым.
### Изменение данных пользователей
Смена настроек для активного пользователя может привести к сбою системы. Поэтому перед изменением данных важно убедиться, что в текущий момент редактируемый пользователь не авторизован, под ним отсутствуют запущенные процессы, редактируемые файлы. Посмотреть список запущенных процессов пользователя `user` можно следующим образом:
```
pgrep -l -u user
```
Проверить, авторизован ли пользователь, можно с помощью уже известной команды:
```
pinky user
```
Отредактировать данные существующего пользователя можно с помощью команды `usermod`. По структуре она похожа на предыдущую команду:
```
usermod <имя пользователя> [опции]
```
Набор параметров расширен дополнительными опциями:
| `-m` | создаёт новую директорию, указанную в качестве домашней (если её не существует), и переносит туда данные из старой |
| ------------------------------ | --------------------------------------------------------------------------------------------------------------------- |
| `-d /home/users/new-test-user` | меняет домашнюю директорию пользователя на `/home/users/new-test-user` |
| `-c "Чак Норрис"` | меняет комментарий к пользователю |
| `-a -G users,wheel,sudo` | добавляет пользователя в дополнительные группы |
| `-s /bin/bash` | меняет командную оболочку пользователя |
| `-u 100500` | изменяет `UID` пользователя |
| `-e 2060-01-01` | меняет дату, до которой аккаунт будет активен |
| `-f 7` | меняет количество дней до блокировки пользователя, когда его пароль станет недействителен |
| `-l new-test-user` | меняет имя пользователя на `new-test-user` |
| `-L` | блокирует аккаунт пользователя. Для этого в файле `/etc/shadow` перед хэшем пароля пользователя ставится символ `«!»` |
| `-U` | снимает блокировку с аккаунта (удаляет символ `«!»` из пароля в `/etc/shadow`) |
То есть если мы захотим отредактировать данные пользователя `test-user`, созданного в примере выше, это будет выглядеть так:
```
usermod -l new-test-user -m -d /home/new-test-user -c "Чак Норрис" -u 100500 -e 3000-01-01 -f -1 test-user
```
В примере мы меняем логин — имя пользователя на `new-test-user`, изменяем домашнюю папку на `/home/new-test-user` с копированием файлов, меняем комментарий, `UID` пользователя, срок жизни аккаунта и отменяем блокировку в случае устаревания пароля.
При изменении данных пользователя система предпримет попытку автоматически указать новые данные для всех файлов и папок пользователя. Тем не менее, после редактирования нужно всё перепроверить и исправить права доступа, где они не изменились автоматически.
### Удаление пользователей
Как и в случае с редактированием, перед удалением пользователя нужно убедиться, что под ним отсутствуют активные процессы, не редактируются файлы. Иначе существует риск сбоя системы. В программу встроен механизм защиты, поэтому она не позволит удалить пользователя, если он авторизован или под ним работают какие-то службы.
Для удаления пользователей используется команда `userdel`. Её структура аналогична предыдущим:
```
userdel <имя пользователя> [опции]
```
Основных параметра два:
| `-r` | удаляет папки пользователя: домашнюю директорию, почтовую очередь |
| ---- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| `-f` | отключает механизм защиты. При использовании этой опции пользователь будет удалён даже при наличии запущенных процессов и пр. Используется на свой страх и риск, так как может привести к сбою системы |
После удаления пользователей важно вручную проверить, что на сервере не осталось файлов или директорий, принадлежащих удалённому пользователю.
`man userdel`
### Группы пользователей
Информация о группах хранится в файле `/etc/group`. Работа с группами пользователей куда проще.
Группы применяются для делегирования прав доступа на определённые файлы, папки, скрипты сразу нескольким пользователям. Живой пример: работа с FTP-сервером. Вы выбираете какую-то директорию для работы с файлами, создаёте группу пользователей и присваиваете ей выбранную папку. Теперь вам не нужно отдельно настраивать права каждому новому пользователю — достаточно добавить его в эту группу, и он автоматически получит доступ к FTP-каталогу.
### Блокировка
1\. Можно заблокировать пользователя, не удаляя его из системы:
`usermod -L <имя пользователя>`
Пример:
`usermod -L test-user`
Чтобы разблокировать пользователя, вводим:
`usermod -U <имя пользователя>`
2\. В некоторых системах Linux может использоваться pam-модуль tally. Он осуществляет подсчет количества неудачных попыток входа в систему. Также он может блокировать доступ при превышении данного количества.
Чтобы посмотреть счетчик для пользователя, вводим команду:
`pam_tally2 --user=admin`
> В версия постарее:
>
> `pam_tally --user=admin`
Для сброса счетчика (и блокировки, если она есть) вводим:
`pam_tally2 --user=admin --reset`
### Создание
Для создания групп используется команда `groupadd`:
```
groupadd new-group
```
Из параметров можно выделить следующие:
| `-f` | если группа с указанным именем или GID уже существует, опция прерывает выполнение команды без соответствующей ошибки |
| ------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `-g 100500` | позволяет назначить свой GID для создаваемой группы |
| `-r` | создаёт системную группу |
| `-p p@ssw0rd` |
Устанавливает для группы пароль p\@ssw0rd. Пароль запрашивается системой при попытке входа в группу с помощью команды newgrp.
Не рекомендуется к использованию из-за проблем с безопасностью. Настроенный таким образом пароль можно увидеть в истории команд.
|
#### Редактирование
Для редактирования групп используется команда **`groupmod`**. Список изменений задаётся с помощью параметров:
| `-g 100500` | меняет `GID` группы на `100500` |
| ----------------- | ----------------------------------- |
| `-n another-name` | меняет имя группы на `another-name` |
Например, если нам нужно изменить имя группы `test-group` на имя `named-group`, команда будет выглядеть так:
```
groupmod -n named-group test-group
```
#### Удаление
Нельзя удалить группу, если она указана в качестве основной для какого-то существующего пользователя. Сначала нужно предварительно удалить этого пользователя из группы.
Само удаление группы выполняется одной командой:
```
groupdel test-group
```
Как и в случае удаления пользователей, нужно вручную проверить, что на сервере не осталось данных, принадлежащих удалённой группе.
#### Управление пользователями в группе
Базовым инструментом для управления группами является утилита `gpasswd`. Она имеет несколько параметров, но с одной особенностью — в отличие от предыдущих примеров, здесь большинство параметров (кроме `-A` и `-M`) не сочетаются. То есть в команде может быть только один параметр за раз.
Структура команды проста:
```
gpasswd [что сделать] [в какой группе]
```
Рассмотрим опции команды подробнее:
| `-a new-user` | Добавляет пользователя new-user в группу |
| -------------------- | ---------------------------------------------------------------------------------------------------------------------------------- |
| `-d bad-user` | Удаляет пользователя bad-user из группы |
| `-A user1,user2,...` | Доступна для использования привилегированным пользователям (с правами root). Назначает список пользователей-администраторов группы |
| `-M user1,user2,...` | Доступна для использования привилегированным пользователям. Назначает список участников группы |
| `-r` | Отключает пароль группы. После этого только члены группы смогут использовать команду newgrp для подключения к группе |
| `-R` | Отключает внешний доступ к группе. После этого только члены группы смогут использовать команду newgrp для подключения к группе |
То есть если нам потребуется добавить пользователя в новую группу, достаточно будет использовать следующую команду:
```
gpasswd -a new-user test-group
```
Также для добавления пользователей в новую группу используется описанная выше команда `usermod`. Следующий пример добавляет пользователя `test-user` в группу `new-group`:
```
usermod -a -G new-group test-user
```
Или, если нужно указать группу `new-group` в качестве основной группы пользователя `test-user`:
```
usermod -g new-group test-user
```
Помимо этого, любой пользователь может сам авторизоваться и добавиться в новую группу с помощью команды:
```
newgrp new-group
```
Эта команда позволяет переключить группу пользователя в рамках текущей сессии, а также автоматически добавляет запрошенную группу в список групп пользователя.
Для определения в каких группах состоит пользователь, необходимо воспользоваться командой **groups**:
```
user@ubuntu:~$ groups
user adm cdrom sudo dip plugdev lxd lpadmin sambashare
```
Из этого примера видно, что пользователь user состоит в группах user, adm, cdrom, sudo, dip, plugdev, lxd, lpadmin, sambashare. Если вы хотите посмотреть, в каких группах состоит другой пользователь, то передайте его имя в качестве аргумента.
```
user@ubuntu:~$ groups root
root : root
```
### Привилегии суперпользователя. Sudo
{% content-ref url="rabota-s-polzovatelyami-v-linux/redaktirovanie-faila-sudoers" %}
[redaktirovanie-faila-sudoers](https://antons-organization-1.gitbook.io/administrirovanie-linux/bazovye-zadachi/rabota-s-polzovatelyami-v-linux/redaktirovanie-faila-sudoers)
{% endcontent-ref %}
### Список пользователей
Посмотреть список пользователей можно в файле /etc/passwd:
`cat /etc/passwd`
Мы увидим что-то на подобие:
```
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
...
```
Как правило, большая часть данных пользователей является системными — их UID меньше **1000** и больше **60000**.
Более функциональная команда для отображения содержимого файла passwd — **getent**:
`getent passwd`
Можно найти пользователя по идентификатору:
`getent passwd 1000`
Получить список не системных пользователей:
`getent passwd {1000..60000}`
Получить только список логинов не системных учетных записей:
`getent passwd {1000..60000} | awk -F: '{ print $1}'`
### Примеры работы с учетными записями
Рассмотрим несколько утилит, с помощью которых можно управлять учетными записями в Linux.
#### useradd
1\. Создать пользователя, добавить его в группу и создать домашнюю директорию:
`useradd test-user -G printer -m`
2\. Создать учетную запись с возможностью получения привилегий суперпользователя (командой **sudo su**):
`useradd test-user -G wheel -m`
*\* для систем RPM.*
`useradd test-user -G sudo -m`
*\* для систем DEB.*
3\. Создать пользователя с определенными UID и GID (соответственно идентификаторы пользователя и группы):
`useradd test-user -u 900 -g 950`
*\* группа с используемым идентификатором (в данном примере **950**) уже должна быть создана заранее с использованием команды **groupadd**.*
4\. Создать пользователя и указать путь к домашней директории:
`useradd test-user -d /home/newdmosk`
5\. Создать учетную запись без возможности входа в систему:
`useradd test-user -s /sbin/nologin`
#### usermod
1\. Потребовать сменить пароль при следующем входе в систему:
`chage -d 0 test-user`
2\. Поменять пользователю основную группу:
`usermod test-user -g kdonewgroup`
3\. Задать пользователю дополнительную группу с правами root:
`usermod test-user -G sudo`
4\. Добавить пользователя в группу:
`usermod -a -G group test-user`
*\* в данном примере мы добавим пользователя **dmosk** в группу **group**.*
5\. Сменить домашнюю директорию:
`usermod -d /var/www/dmosk test-user`
*\* данной командой мы меняем для пользователя **dmosk** домашнюю директорию на **/var/www/dmosk**.*
#### chage
1\. Автоматическая блокировка учетной записи:
`chage -E 2023-05-01 test-user`
*\* данной командой мы указали, что учетная запись* test-user *перестанет действовать после 1 мая 2023 года.*
Чтобы посмотреть информацию о дате окончания срока действия учетной записи вводим:
`chage -l test-user`
Сделать учетную запись бессрочной:
`chage -E -1 test-user`
### Возможные ошибки
#### sudo must be owned by uid 0 and have the setuid bit set
При попытке получить привилегии командой:
`sudo su`
... система возвращает ошибку:
sudo: /usr/bin/sudo must be owned by uid 0 and have the setuid bit set
**Причина:** эта ошибка возникает, когда утилита sudo не имеет правильных прав доступа на вашей системе. В частности, она происходит, когда владелец файла /usr/bin/sudo не является пользователем root или когда установлен неправильный бит setuid на файле.
**Решение:** убедитесь, что вы вошли в систему с учетной записью, имеющей права администратора. Это можно сделать, войдя напрямую под пользователем root.
Выполняем команду, чтобы проверить права файла sudo:
`ls -l /usr/bin/sudo`
Если владелец не является пользователем root, выполните следующую команду, чтобы изменить владельца файла:
`chown root:root /usr/bin/sudo`
Убедитесь, что установлен правильный бит setuid на файле sudo, выполнив следующую команду:
`chmod u+s /usr/bin/sudo`
С управлением пользователями разобрались, идём дальше. Как было сказано выше, чтобы локальный пользователь мог начать работу на сервере, администратор (`root` или пользователь c привилегиями `sudo`) должен настроить права доступа к файлам и папкам, которые понадобятся этому пользователю.
### Доп. команды
```
whoami #показать имя текущего пользователя
who #показать кто сейчас в системе
w #показать кто сейчас в системе и что делает
last #показать последние логины
```
{% embed url="" %}
{% embed url="" %}
{% embed url="" %}
{% embed url="" %}
[^1]:
