Группа wheel – FreeBSD 11 Добавляем пользователя в группу wheel | Повышение привилегий до root

Users and groups (Русский) — ArchWiki

Эта страница нуждается в сопроводителе

Статья не гарантирует актуальность информации. Помогите русскоязычному сообществу поддержкой подобных страниц. См. Команда переводчиков ArchWiki

Эта статья или раздел нуждается в переводе

Примечания: пожалуйста, используйте первый аргумент шаблона для указания дополнительной информации. (обсуждение: Talk:Users and groups (Русский)#)

Пользователи и группы пользователей используются на GNU/Linux для управления доступом — то есть, для управления доступом к системным файлам, каталогам и переферии. Linux предлагает относительно простые и грубые механизмы контроля доступа по умолчанию. Для более продвинутых вариантов, см. ACL и LDAP authentication

Обзор

Пользователь это любой кто использует компьютер. Имена пользователей могут быть любыми, например Mary или Bill, или псевдонимы вместо реальных имен, например Dragonlady или Pirate. Единственное что важно — это то что у компьютера есть имя для каждого созданного аккаунта, и то, что это имя, с помощью которого человек получает доступ к компьютеру. Некоторые службы и программы также запускаются с ограниченными или полными правами.

Управление аккаунтами пользователей используется в целях безопасности, ограничивая доступ несколькими способами.

Любой человек может иметь один и более аккаунт, поэтому каждому аккаунту должно соответствовать уникальное имя. Также есть несколько зарезервированных имен, которые нельзя использовать, например «root», «hal», и «adm».

Пользователи могут быть объединены в группы, и в зависимости от того в каких группах состоят пользователи их привилегии будут различаться.

Примечание: Новичкам стоит использовать эти инструменты аккуратно и воздержаться от изменения уже созданных аккаунтов, кроме своего.

Права и собственность

From In UNIX Everything is a File:

ОС семейства UNIX созданы следуя нескольким единым идеям и концептам, которые отразились в их дизайне, интерфейсе, культуре и эволюции. Одна из важнейших таких идей: «все — это файл»
Этот ключевой принцип состоит в предоставлении единой парадигмы для доступа к широкому кругу устройств ввода/вывода: документы, директории, жесткие диски, CD-диски, модемы, клавиатуры, принтеры, мониторы, терминалы и даже некоторые межпроцессовые взаимодействия и сетевые соединения. Фокус в том, чтобы предоставить простые абстракции для всех этих ресурсов, каждую из которых отцы UNIX назвали «файлом». Так как доступ к любому «файлу» можно получить через один и тот же интерфейс(API, не путать с GUI), вы можете использовать один и тот же набор базовых команд для чтения/записи диска, клавиатуры, документа или сетевого устройства.
Extending UNIX File Abstraction for General-Purpose Networking:
A fundamental and very powerful, consistent abstraction provided in UNIX and compatible operating systems is the file abstraction. Many OS services and device interfaces are implemented to provide a file or file system metaphor to applications. This enables new uses for, and greatly increases the power of, existing applications — simple tools designed with specific uses in mind can, with UNIX file abstractions, be used in novel ways. A simple tool, such as cat, designed to read one or more files and output the contents to standard output, can be used to read from I/O devices through special device files, typically found under the /dev directory. On many systems, audio recording and playback can be done simply with the commands, «cat /dev/audio > myfile» and «cat myfile > /dev/audio,» respectively.

Каждый файл в системе GNU/Linux принадлежит определённому пользователю и группе. Также следует отметить, что существует три типа доступа к файлу: чтение, запись, и выполнение. Различные типы доступа могут быть применены к пользователю и группе, владеющими файлом, а так же всем остальным (не являющимся владельцами файла). Владельцев файлов, а также права доступа можно определить с помощью команды ls:

$ ls -l /boot/
total 13740
drwxr-xr-x 2 root root    4096 Jan 12 00:33 grub
-rw-r--r-- 1 root root 8570335 Jan 12 00:33 initramfs-linux-fallback.img
-rw-r--r-- 1 root root 1821573 Jan 12 00:31 initramfs-linux.img
-rw-r--r-- 1 root root 1457315 Jan  8 08:19 System.map26
-rw-r--r-- 1 root root 2209920 Jan  8 08:19 vmlinuz-linux

Первая колонка отображает права доступа к файлу (например, файл initramfs-linux.img имеет права доступа -rw-r--r--). Третья и четвёртая колонки отображают пользователя и группу, владеющих файлом, соответственно. В этом примере, всеми файлами владеет пользователь root, а так же одноимённая группа: root.

$ ls /media/ -l
total 16
drwxrwx--- 1 root vboxsf 16384 Jan 29 11:02 sf_Shared

В этом примере, каталог sf_Shared принадлежит пользователю root и группе vboxsf. Также можно определить владельцев и права доступа используя команду stat:

Пользователь:

$ stat -c %U /media/sf_Shared/
root

Группа:

$ stat -c %G /media/sf_Shared/
vboxsf

Права доступа:

$ stat -c %A /media/sf_Shared/
drwxrwx---

Права доступа отображаются в виде трёх групп символов, представляющих права доступа пользователя, владеющего файлом, владеющей группы, и всех остальных соответственно. Например, символы -rw-r--r-- означают, что владелец файла имеет право на чтение и запись, но не выполнение (rw-), в то время как пользователи, относящиеся к владеющей группе, и все остальные пользователи имеют лишь право на чтение (r-- и r--). Между тем, символы drwxrwx--- указывают на то, что владелец файла и прочие пользователи, относящиеся к владеющей группе, все имеют право на чтение, запись, и выполнение (rwx и rwx), тогда как остальные пользователи вообще не имеют никаких прав доступа к файлу (---). Первый символ означает тип файла: «d» — каталог, «-» — файл, «l» — ссылка.

Узнать список файлов, которыми владеет тот или иной пользователь и группа, можно с помощью команды find:

# find / -group [group]
# find / -user [user]

Пользователь и группа могут быть изменены с помощью команды chown (change owner). Права доступа к файлу могут быть изменены с помощью команды chmod (change mode).

See chown(1), chmod(1), and Linux file permissions for additional detail.

This article or section needs expansion.

Управление пользователями

Информация о пользователях находится в файле /etc/passwd. Чтобы узнать список всех пользователей в системе:

$ cat /etc/passwd

На каждый аккаунт приходится по одной строке, имеющей следующий формат:

account:password:UID:GID:GECOS:directory:shell

где:

  • account — имя пользователя
  • password — пароль пользователя
  • UID — идентификационный номер пользователя
  • GID — идентификационный номер основной группы пользователя
  • GECOS — необязательное поле, используемое для указания дополнительной информации о пользователе (напирмер, полное имя пользователя)
  • directory — домашний каталог ($HOME) пользователя
  • shell — командный интерпретатор пользователя (обычно /bin/sh)

Примечание: Arch Linux использует затенённые пароли. Файл passwd доступен для чтения всем, поэтому хранить в нём пароли небезопасно. С целью сохранить секретность, в поле password находится символ x, указываюший на то, что пароль сохранён в файле с ограниченным доступом /etc/shadow.

Посмотреть список пользователей, вошедших в систему, можно с помощью команды who.

Чтобы добавить нового пользователя, следует использовать команды useradd:

# useradd -m -g [основная группа] -G [дополнительные группы] -s [командный интерпретатор] [имя пользователя]
  • -m — создаёт домашний каталог пользователя, вида /home/[имя пользователя]; в пределах которого, пользователь, не имеющий прав доступа root, может создавать и удалять файлы, устанавливать программы, и т. д.
  • -g — определяет имя или номер основной группы пользователя; группа должна существовать; номер группы должен относится к уже существующей группе; если параметр не указан, пользователю будет присвоена группа в соответствии с переменной USERGROUPS_ENAB, находящейся в /etc/login.defs.
  • -G — определяет список дополнительных групп, в которые входит пользователь; каждая группа отделяется от другой запятой без пробелов; по умолчанию пользователь принадлежит только основной группе.
  • -s — определяет командную оболочку пользователя; сценарии запуска Arch Linux используют Bash; после завершения запуска системы, командная оболочка будет той, что указана в данном параметре; при выборе отличного от Bash интерпретатора, убедитесь, что он установлен в систему.

Стандартный пример — добавление нового пользователя archie, с выбором баша в качестве оболочки и включением его в группы wheel и audio:

# useradd -m -g users -G wheel,audio -s /bin/bash archie

Для более продвинутых примеров, наберите:

$ man useradd

Для того, чтобы ввести полную информацию о пользователе (ФИО, и пр.), наберите:

# chfn [имя пользователя] option specifies that the user's home directory and mail spool should also be deleted

(при таком использовании chfn запускается в интерактивном режиме).

Для указания пароля пользователя, наберите:

# passwd [имя пользователя]

Также доступна интерактивная утилита для добавления пользователей:

# adduser

adduser запрашивает различную информацию о пользователе, и составляет команду для useradd. Также включает в себя действия, выполняемые chfn и passwd.

Удаление пользователей выполняется командой userdel.

# userdel -r [имя пользователя]

Опция -r также удаляет домашнюю директорию и почту пользователя.

Управление группами

/etc/group — файл, хранящий информацию о группах пользователей.

Чтобы отобразить группы, в которые включен пользователь, можно использовать команду groups:

$ groups [имя пользователя]

Если имя пользователя не указано, команда отобразит группы текущего пользователя.

Используя команду id можно получить дополнительную информацию, такую как ID пользователя и его групп (UID и GID):

$ id [имя пользователя]

Отобразить список всех групп:

$ cat /etc/group

Добавить новую группу командой groupadd:

# groupadd [имя группы]

Добавить пользователя в группу, команда gpasswd:

# gpasswd -a [имя пользователя] [имя группы]

Удалить группу:

# groupdel [имя группы]

Убрать пользователя из группы:

# gpasswd -d [имя пользователя] [имя группы]

Пользователю необходимо перезайти в систему, чтобы изменения вступили в силу.

Группы

Пользовательские группы

Некоторые пользователи должны состоять в некоторых из следующих групп, чтобы получить доступ к периферийным устройствам и упростить администрирование системы:

ГруппаЗатронутые файлыЦель
admГруппа администрирования, аналогичная wheel.
ftp/srv/ftp/Доступ к файлам, обслуживаемым FTP серверами.
games/var/gamesДоступ к некоторым игровым программам.
http/srv/http/Доступ к файлам, обслуживаемым HTTP серверами.
logДоступ к лог-файлам в /var/log/, созданным syslog-ng.
rfkill/dev/rfkillПраво управления состоянием питания беспроводных устройств (используется rfkill).
sysПраво администрирования принтеров в CUPS.
systemd-journal/var/log/journal/*Может использоваться для обеспечения доступа (только для чтения) к журналам systemd, в качестве альтернативы adm and wheel [1]. В противном случае отображаются только сообщения, созданные пользователем.
usersСтандартная группа пользователей.
uucp/dev/ttyS[0-9]+, /dev/tts/[0-9]+, /dev/ttyUSB[0-9]+, /dev/ttyACM[0-9]+, /dev/rfcomm[0-9]+RS-232 последовательные порты и подключенные к ним устройства.
wheelГруппа администрирования, обычно используемая для предоставления доступа к sudo и su (Не использует его по умолчанию, настраивается в /etc/pam.d/su и /etc/pam.d/su-l). Он также может использоваться для получения полного доступа на чтение к journal[broken link: invalid section] файлам.

Системные группы

Следующие группы используются для системных целей, назначение пользователям требуется только для специальных целей:

ГруппаЗатронутые файлыЦель
dbusИспользуется внутри dbus
kmem/dev/port, /dev/mem, /dev/kmem
locate/usr/bin/locate, /var/lib/locate, /var/lib/mlocate, /var/lib/slocateСмотрите Core utilities#locate[broken link: invalid section].
lp/dev/lp[0-9]*, /dev/parport[0-9]*, /etc/cups, /var/log/cups, /var/cache/cups, /var/spool/cupsДоступ к устройствам параллельного порта (принтеры и другие) и доступ (только для чтения) к файлам CUPS. Если вы запустите устройство параллельного порта без принтера, см. FS#50009 возможные.
mail/usr/bin/mail
nobodyНепривилегированная группа.
proc/proc/pid/Группа, уполномоченная изучать информацию о процессах, в противном случае запрещена опцией монтирования proc filesystem. Группа должна быть явно задана с помощью опции монтирования.
smmspsendmail группа.
tty/dev/tty, /dev/vcc, /dev/vc, /dev/ptmx
utmp/run/utmp, /var/log/btmp, /var/log/wtmp

Pre-systemd groups

Перед переходом arch на systemd, пользователи должны были быть добавлены вручную в эти группы, чтобы иметь возможность доступа к соответствующим устройствам. This way has been deprecated in favour of udev marking the devices with a uaccess tag and logind assigning the permissions to users dynamically via ACLs according to which session is currently active. Обратите внимание: сеанс не должен быть разбит, чтобы это сработало (см. General troubleshooting#Session permissions).

Есть некоторые исключения, которые требуют добавления пользователя в некоторые из этих групп: например, если вы хотите разрешить пользователям доступ к устройству, даже когда они не вошли в систему. Однако обратите внимание, что добавление пользователей в группы может добавить некоторые функциональные возможности(например, группа audio нарушит быстрое переключение пользователей и позволяет приложениям блокировать смешение программного обеспечения).

ГруппыЗатронутые файлыЦель
audio/dev/audio, /dev/snd/*, /dev/rtc0Прямой доступ к звуковому оборудованию для всех сеансов. По-прежнему требуется, чтобы ALSA и OSS работали в удаленных сеансах, см.ALSA#User privileges.
disk/dev/sd[a-z][1-9]Доступ к блочным устройствам, не затронутым другими группами, такими как optical, floppy, и storage.
floppy/dev/fd[0-9]Доступ к флоппи-дискам.
input/dev/input/event[0-9]*, /dev/input/mouse[0-9]*Доступ к устройствам ввода. Введено в systemd 215 [2].
kvm/dev/kvmДоступ к виртуальным машинам с использованием KVM.
optical/dev/sr[0-9], /dev/sg[0-9]Доступ к оптическим устройствам, таким как CD- и DVD-приводы.
scanner/var/lock/saneДоступ к оборудованию сканера.
storageДоступ к съемным дискам, таким как жесткие диски USB, флеш-накопители, MP3-плееры; Позволяет пользователю монтировать запоминающие устройства.
video/dev/fb/0, /dev/misc/agpgartДоступ к устройствам захвата видео, аппаратное ускорение 2D / 3D, framebuffer (X можно использовать без поддержки этой группы).

wiki.archlinux.org

POSIX Cycles: FreeBSD : стандартные группы

2004 г

Некогда на одном из форумов был поднят вопрос о том, как разрешить получение административных полномочий одному-единственному пользователю. Что плавно переросло в обсуждение проблемы — а для чего вообще нужны стандартныегруппы, и что дает пользователю принадлежность к ним. На поверхности информации, относящейся к этому вопросу, обнаружить не удалось. И я решил выполнить маленькое исследование.

Для начала — что такое стандартные группы во FreeBSD? Это — те, которые не связаны с каким-либо реальным пользователем. Ведь в этой системе, как известно, каждый вновь создаваемый пользователь автоматически причисляется к своей собственной группе — одноименной его пользовательскому имени (разумеется, такое положение можно легко изменить, но по умолчанию происходит именно так). Ознакомиться со списком стандартных групп очень просто — просмотрев файл /etc/group в любом пейджере или редакторе, например, так:

$ less /etc/group

Вывод ее будет примерно следующим (на примере версии 5.2.1, от версии к версии он может меняться):

wheel:*:0:root
daemon:*:1:
kmem:*:2:
sys:*:3:
tty:*:4:
operator:*:5:root
mail:*:6:
bin:*:7:
news:*:8:
man:*:9:
games:*:13:
staff:*:20:
sshd:*:22:
smmsp:*:25:
mailnull:*:26:
guest:*:31:
bind:*:53:
uucp:*:66:
dialer:*:68:
network:*:69:
www:*:80:
nogroup:*:65533:
nobody:*:65534:

Можно видеть, что /etc/group — очень простая база данных о четырех полях, в качестве разделителей которых выступает символ двоеточия — :. Первое поле — имя группы, второе, неиспользуемое во FreeBSD (и, насколько я знаю, во всех остальных POSIX-системах также) — групповой пароль, третье — уникальный идентификатор (GUID), четвертое — список членов каждой группы.

Последнее поле в большинстве записей пусто. Это не значит, что соответствующие группы не включают в себя никаких членов. Нет, минимум одного пользователя, пусть даже и виртуального, включает каждая группа — имя его идентично имени группы. В чем легко убедиться просмотром файла /etc/passwd. Исключение — группа wheel, пользователя с таким именем в базе учетных записей мы не обнаружим. Но зато в ней явным образом изначально прописан один член — тот самый легендарный суперпользователь, именуемый root’ом, права которого столь часто требуются обычному юзеру для выполнения всякого рода административных действий.

Из этого можно догадаться о назначении группы wheel: во FreeBSD возможность получения прав администратора командой su по умолчанию имеют только те из обычных юзеров, которые являются ее членами. На самом деле это не какая-то исключительная особенность именно Free — то же самое можно видеть и в некоторых дистрибутивах Linux (например, в Gentoo). А вообще говоря, особый статус членов группы wheel зависит не от ОС или дистрибутива, а устанавливается в файле /etc/login.access. Где и может быть отменен при желании.

Впрочем, необходимости в этом я не вижу. Гораздо проще включить пользователя, для которого могут потребоваться административные полномочия, в группу wheel, оставив за ее пределами всех остальных. Что дает некоторую дополнительную гарантию от фатальных ошибок. Так, в моей домашней системе, единственным физическим пользователем которой являюсь я сам, всегда существует две учетные записи реальных пользователей. Одна — для себя, любимого, под которой я выполняю всякую работу (например, сочиняю эти заметки). Вторая подразумевает опять же меня, но предназначена для всякого рода нездоровых экспериментов. Так вот — к группе wheel приписан только первый аккаунт, так что в роли второго пользователя я даже случайно не могу нанести серьезного вреда:-).

Приписать пользователя к какой-либо дополнительной группе можно при создании его учетной записи, например, командой типа adduser, в диалоге которой предусмотрен соответствующий вопрос. Но это можно сделать и позднее, и тогда самым удобным инструментом будет команда pw:

$ pw usermod username -G wheel

Основная группа пользователя при этом затронута не будет.

К группе wheel приписано большинство исполнимых файлов базовой системы, расположенных в каталогах /{bin,sbin} и /usr/{bin,sbin}. В нее же, за редким исключением, попадают и исполнимые файлы программ, устанавливаемых из портов или пакетов, которые записываются в каталог /usr/local/bin. Все файлы группы wheel имеют маску доступа -r-xr-xr-x, то есть теоретически их исполнение разрешено любому пользователю (что, конечно, не значит, будто обычный пользователь, не получив прав root’а, может выполнить дисковую разметку, будь он хоть трижды членом группы wheel: для таких действий нужны еще и права доступа к соответствующим устройствам).

Некоторые файлы из каталогов /{bin,sbin} и /usr/{bin,sbin} (напомню, что владельцем всех их является пользователь root) имеют, однако, иную групповую принадлежность. Причем характерно, что для них устанавливается маска доступа -r-xr-x---, запрещающая исполнение не-членами группы. А часто они помечены и т.н. битом суидности (-r-sr-x---) с теми же ограничениями на запуск. Возникает вопрос, для чего предназначены прочие стандартные группы, и как атрибуты принадлежащих им файлов могут отразиться на пользовательских действиях?

Для определения назначения стандартных групп посмотрим, а какие же именно из испоняемых файлов к ним приписаны. Начнем группы operator, которая, как и группа wheel, изначально имеет одного приписанного к ней члена — все того же вездесущего root’а. Для чего выполним простой поиск в соответствующих каталогах:

$ find /{bin,sbin,usr/{bin,sbin}} -group operator

Результат получится весьма скромным: к искомой группе принадлежит всего два файла,

/sbin/mksnap_ffs
/sbin/shutdown

оба с атрибутами доступа -r-sr-x---. Из которых следует, принадлежность к группе operator дает возможность без административных прав выключить, перезагрузить или реинциализировать систему (командой /sbin/shutdown), а также сделать слепок (snapshot) текущего состояния какой-либо из наличных файловых систем (командой mksnap_ffs). Нужно ли оно нам — на этот вопрос каждый должен ответить для себя. Мне принадлежность к группе operator представляется ненужной.

Иное дело — группы dialer и network: интуитивно понятно, что первая имеет какое-то отношение к установке модемного соединения, а вторая — к работе с сетью. Проверяем тем же методом:

$ find /{bin,sbin,usr/{bin,sbin}} -group dialer

дает нам на выводе

/usr/sbin/pppd

а

find /{bin,sbin,usr/{bin,sbin}} -group network

обнаруживает

/usr/sbin/sliplogin
/usr/sbin/ppp

А поскольку права доступа у них установлены как -r-sr-x---, становится ясным, что без членства в соответствующей группе для пользователя невозможно модемное соединение ни посредством пользовательской программы ppp, ни с помощью демона pppd. Не удастся соединиться и с помощью всякого рода front-end’ных звонилок, типа kppp из комплекта KDE.

Так что лучше нашего любимого пользователя причислить к той или иной, в зависимости от используемой программы, группе (а то и к обеим сразу). Однако если сделать это, как ранее, командой вида

$ pw usermod username -G network

то тем самым будет уничтожена принадлежность пользователя к группе wheel, так что устанавливаем список всех желательных групп в один заход:

$ pw usermod username -G wheel,dialer,network

Аналогичным образом разбираемся и с остальными группами из списка /etc/group. С помощью все той же команды find выясняется, что группе daemon принадлежит несколько файлов, имеющих отношение к печати:

/usr/bin/lpq
/usr/bin/lpr
/usr/bin/lprm
/usr/sbin/lpc

Однако все они имеют атрибуты доступа вида -r-sr-sr-x, то есть никаких действий по переопределению групп как-будто бы не требуется.

Относительно прочих групп из списка /etc/group затрудняюсь сказать что-нибудь определенное. Некоторые из них характеризуют принадлежность файлов устройств. Например, к группе tty относятся активизированные терминалы, как виртуальные консоли (устройства вида /dev/ttyv*, на которых авторизован какой-либо пользователь, так и псевдотерминалы (устройства вида /dev/ttyp*, соответствующие открытым терминальным окнам в Иксах (неактивизированные терминалы принадлежат к группе wheel).

К некоторым группам (например, staff) в моей системе не принадлежат никакие файлы — не только в каталогах для испоняемых бинарников или устройств, но и вообще. Так что о их назначении я могу только гадать.

В общем, исчерпывающего описания стандартных групп у меня не получилось. Так что буду признателен за уточнения и дополнения.

alv-posix.blogspot.com

Писец копипастер » Blog Archive » Как разрешить запускать su только пользователям группы wheel

По умолчанию, сразу после установки Debian 8.3 повышение привилегий через su было включено для всех пользователей. Однако нам такой расклад не подходит, и сделаем мы вот что:

  • Создадим группу wheell
  • Разрешим пользоваться su только ее членам.

Посмотрим какие группы есть в системе

Полный список групп:

Или дадим команду “найди и покажи строки содержащие wheel”:

cat /etc/group | grep имя_группы



cat /etc/group | grep имя_группы

Создадим группу wheel

Если группы нет то создадим ее, для этого воспользуемся командой groupadd с ключом -r (системная группа):

Теперь посмотрим на нашу группу:

сat /etc/group | grep wheel #Команда
wheel:x:113: #Ответ



сat /etc/group | grep wheel       #Команда

wheel:x:113:                      #Ответ

Добавить пользователя в группу wheel

usermod – изменяет учётную запись пользователя

usermod -aG wheel имя_пользователя



usermod -aG wheel имя_пользователя

-a, –append – Добавить пользователя в дополнительную группу(ы). Использовать только вместе с параметром -G.

Или вот такой командой:

gpasswd -a имя_пользователя wheel



gpasswd -a имя_пользователя wheel

Проверяем командой groups

Показать группы в которых состоит пользователь:

groups имя_пользователя
faber : faber cdrom floppy audio dip video plugdev netdev wheel



groups имя_пользователя

faber : faber cdrom floppy audio dip video plugdev netdev wheel

Редактируем конфиг /etc/pam.d/su

Раскоментируем строку:

auth required pam_wheel.so group=wheel



auth    required        pam_wheel.so group=wheel

Как удалить пользователя из группы wheel?

Тут опять же два варианта, один простой, другой чуть сложнее, простой:

gpasswd -d имя_ пользователя wheel



gpasswd -d имя_ пользователя wheel

Сложный:

usermod -G faber,cdrom,floppy,audio,dip,video,plugdev,netdev faber



usermod -G faber,cdrom,floppy,audio,dip,video,plugdev,netdev faber

В usermod нужно перечислить все группы в которых состоит пользователь, если какую то не указать то пользователь будет удален из нее.

-G, –groups ГРУППА1[,ГРУППА2,…[,ГРУППАN]]] – Список дополнительных групп, в которых числится пользователь. Перечисление групп осуществляется через запятую, без промежуточных пробелов. На указанные группы действуют те же ограничения, что и для группы указанной в параметре -g.

Пример:

[email protected]:/home/faber# groups faber #Здесь мы смотрим в каких группах состоит пользователь faber
faber : faber cdrom floppy audio dip video plugdev netdev wheel #Он состоит в группе wheel и еще в 7 группах
[email protected]:/home/faber# usermod -G faber,cdrom,floppy,audio,dip,video,plugdev,netdev faber #Удалим пользователя faber из группы wheel просто не указав ее
[email protected]:/home/faber# groups faber #Проверяем
faber : faber cdrom floppy audio dip video plugdev netdev #Готово
[email protected]:/home/faber#



[email protected]:/home/faber# groups faber                                                       #Здесь мы смотрим в каких группах состоит пользователь faber

faber : faber cdrom floppy audio dip video plugdev netdev wheel                             #Он состоит в группе wheel и еще в 7 группах

[email protected]:/home/faber# usermod -G faber,cdrom,floppy,audio,dip,video,plugdev,netdev faber #Удалим пользователя faber из группы wheel просто не указав ее

[email protected]:/home/faber# groups faber                                                       #Проверяем

faber : faber cdrom floppy audio dip video plugdev netdev                                   #Готово

[email protected]:/home/faber#

blog.segamilk.ru

Исполнители, похожие на High Wheel

Похожие исполнители

Воспроизвести все

  1. Похожие теги

    CRYPTIC VISION является прогрессивной рок-группой из города Сарасота, штат Флорида, США. Группа была образована мультиинструменталистом и п… подробнее

    CRYPTIC VISION является прогрессивной рок-группой из города Сарасота, штат Флорида, США. Группа была образована мультиинструменталистом и продюсером Риком Дунканом и вокалистом Тоддом … подробнее

    CRYPTIC VISION является прогрессивной рок-группой из города Сарасота, штат Флорида, США. Группа была образована мультиинструменталистом и продюсером Риком Дунканом и вокалистом Тоддом Плантом в 2003 году. Рик спродюсировал несколько… подробнее

  2. Надоела реклама? Оформи подписку

  3. Похожие теги

    Mindgames (Игры разума) — бельгийская нью-прогрессив/-рок-группа. Группа была основана в 1997 году басистом Эриком Вандормайером и вокалист… подробнее

    Mindgames (Игры разума) — бельгийская нью-прогрессив/-рок-группа. Группа была основана в 1997 году басистом Эриком Вандормайером и вокалистом Бэртом Шрамом . После того, как в музыкаль… подробнее

    Mindgames (Игры разума) — бельгийская нью-прогрессив/-рок-группа. Группа была основана в 1997 году басистом Эриком Вандормайером и вокалистом Бэртом Шрамом . После того, как в музыкальные магазины были даны несколько объявлений к ко… подробнее

  4. Похожие теги

    LITTLE ATLAS — прог-роковая группа из Майами. Группа играет музыку на стыке современного рока и классики 70-х. Музыканты удачно совмещают д… подробнее

    LITTLE ATLAS — прог-роковая группа из Майами. Группа играет музыку на стыке современного рока и классики 70-х. Музыканты удачно совмещают драйв хард-рока и мелодику прогрессива, чему с… подробнее

    LITTLE ATLAS — прог-роковая группа из Майами. Группа играет музыку на стыке современного рока и классики 70-х. Музыканты удачно совмещают драйв хард-рока и мелодику прогрессива, чему способствуют техничная игра на гитаре и яркие кла… подробнее

  5. Похожие теги

    Ever since it was found out that Thomas Johnson (keyboards) of Anglagard fame was added as a full time member to the line-up that recorded … подробнее

    Ever since it was found out that Thomas Johnson (keyboards) of Anglagard fame was added as a full time member to the line-up that recorded Shibboleth in 2003, the expectations for Thie… подробнее

    Ever since it was found out that Thomas Johnson (keyboards) of Anglagard fame was added as a full time member to the line-up that recorded Shibboleth in 2003, the expectations for Thieves’ Kitchen fourth album simply sky-rocketed. E… подробнее

  6. Похожие теги

    Группа из Глазго «Abel Ganz», относимая критиками к стилю нео-прог, начала свою деятельность в 1980 году. Основали ее почитатели … подробнее

    Группа из Глазго «Abel Ganz», относимая критиками к стилю нео-прог, начала свою деятельность в 1980 году. Основали ее почитатели «Genesis» и «Yes», клавиш… подробнее

    Группа из Глазго «Abel Ganz», относимая критиками к стилю нео-прог, начала свою деятельность в 1980 году. Основали ее почитатели «Genesis» и «Yes», клавишник Хью Монтгомери и мультиинструменталист Хью К… подробнее

www.last.fm

Добавление пользователя FreeBSD | ColumbianX

    В unix системах действует определенная иерархия пользователей. Следует понять, что в системе существует главный пользователь обладающий всеми правами — root. Остальные пользователи так или иначе ограничены в своих правах. Отсюда существует правило — работать в системе под ограниченным пользователем, и только для выполнения административных задач переключаться в суперпользователя root. У каждого пользователя в системе существует свой домашний каталог, в котором хранятся все личные настройки в виде конфигурационных файлов, по умолчанию этот каталог располагается в /usr/home, на который ведет символическая ссылка /home. Грубо говоря, для того чтобы установить ПО, управлять системными процессами, вносить изменения в системные файлы, настраивать сеть, монтировать диски, нужно будет переключаться в суперпользователя root. А для обычной повседневной деятельности (работа с документами, интернет, мультимедия и т.д.) достаточно простого пользователя. Если игнорировать это правило и использовать аккаунт root для повседневной деятельности, на порядок повышается уязвимость системы, так как все процессы будут запущены с правами суперпользователя, к примеру — браузер запущенный таким образом — грубейшее игнорирование правил безопасности системы. Злоумышленник, используя какую-либо уязвимость браузера, теоретически сможет получить полный доступ к управлению системой. К примеру, такой неправильный подход к безопасности — как работа интернет браузера с полными правами, реализован в операционных системах семейства Windows (собственно, там фактически нет нормального разделения прав пользователей), что приводит к простому механизму поражения системы, при помощи простого захода на зараженный сайт. Чтобы свести подобные вероятности к минимуму следует работать в системе в качестве пользователя и только при необходимости переключаться в суперпользователя root.

    Каждый пользователь в системе может принадлежать к одной или нескольким группам. Членство в какой то определенной группе дает пользователю дополнительно те или иные права. К примеру, чтобы наш пользователь смог переключаться в суперпользователя, его следует поместить в группу wheel, это группа системных администраторов системы, к которой принадлежит root. В системе каждый пользователь (и группа) имеет свой идентификационный номер, пользователь root и группа wheel имеют при этом нулевые идентификаторы. В системе так же имеется масса пользователей не имеющих возможности подключиться в систему и не имеющие пароля авторизации, для системных нужд. Пример — пользователь ftp, от его имени выполняется штатный ftp сервер. Таких пользователей несколько.
    Итак, наша задача создать пользователя — системного администратора, с авторизацией по паролю и возможностью входа в систему. Для этого входим в систему как суперпользователь root и набираем команду:

# adduser

После выполнения на дисплее появится следующий диалог для ввода данных. Запросы идут друг за другом, следует вводить необходимые данные и нажимать «enter»:

Username: alex — набираем имя пользователя (в данном случае «alex»), которое будет использоваться для входа в систему
Full name: Alexey — набираем полное имя, это имя будет фигурировать в личном профиле пользователя, его можно пропустить просто нажав «enter»
Uid (Leave empty for default): — в этой строке можно принудительно указать идентификационный номер пользователя, в нашем случае мы просто нажимаем «enter», представляя системе самой присвоить свободный идентификатор
Login group [alex]: wheel — в эту строку следует ввести группу к которой будет принадлежать пользователь в системе, по умолчанию имя группы аналогично имени пользователя, такая группа не будет обладать никакими дополнительными правами, а наша задача состоит в том, чтобы создать системного администратора, поэтому мы вводим имя группы системных администраторов «wheel» и нажимаем «enter»
Login group is wheel. Invite alex into other groups? []: — данный запрос мы тоже пропускаем, это запрос о том, стоит ли сделать пользователя членом еще каких либо групп в системе, в нашем случае достаточно лишь одной группы «wheel», которую мы уже указали выше
Login class [default]: — этот запрос мы тоже пропускаем, изменение этого параметра мы будем рассматривать ниже в статье о русификации, фактически в этой строке можно сразу задать класс пользователя «russian» для определения локали — раскладки и языка пользователя
Shell (sh csh tcsh nologin) [sh]: — этот запрос означает выбор командного процессора консоли, который собственно интерпритирует команды набранные на клавиатуре, по умолчанию командный процессор для пользователя — sh, поэтому пропускаем этот параметр нажимая «enter», изменение командного процессора мы рассмотрим в дальнейших статьях на сайте
Home directory [/home/test]: — в этой строке можно принудительно указать домашний каталог пользователя, в данном случае нас устраивает это размещение, поэтому снова нажимаем «enter»
Home directory permissions (Leave empty for default): — в этой строке можно принудительно задать права доступа для директории пользователя, в нашем случае так же оставляем все «по умолчанию» нажимая «enter»
Use password-based authentication? [yes]: — использовать ли пароль для авторизации пользователя в системе, по умолчанию стоит «yes» (да), если ответить «no» (нет) то штатным образом в систему войти мы не сможем, поэтому нажимаем «enter» тем самым отвечая «да»
Use an empty password? (yes/no) [no]: — оставить ли пустой пароль для авторизации пользователя, в данном случае если ответить «да», то в систему возможно будет войти без пароля, что является неприемлимым, поэтому нажимаем «enter» тем самым отвечая «нет», т. к. по умолчанию указан ответ «no» (нет)
Use a random password? (yes/no) [no]: — присвоить ли пользователю случайный пароль, в нашем случае тоже пропускаем этот вопрос нажимая «enter» и тем самым отвечая «no» (нет), т.к. пароль мы зададим самостоятельно
Enter password: — в данной строке следует ввести пароль пользователя, который будет ему присвоен, при этом ввод символов никак не отобразится в строке
Enter password again: — следует повторить ввод пароля
Lock out the account after creation? [no]: — на этот вопрос следует так же ответить «no» (нет), т.к. вопрос гласит «Заблокировать ли аккаунт после создания?», нажимаем «enter»

После чего на экране появится профиль пользователя с запросом:

Username   : alex
Password   : *****
Full Name  : Alexey
Uid        : 1001
Class      : 
Groups     : wheel
Home       : /home/alex
Home Mode  : 
Shell      : /bin/sh
Locked     : no
OK? (yes/no): 

На вопрос следует набрать «yes» (да) и нажать «enter», если набрать «no» (нет), то пользователь создан не будет. Итак набираем «yes» и нажимаем «enter»:
OK? (yes/no): yes
adduser: INFO: Successfully added (alex) to the user database.
На дисплее появится следующий запрос:
Add another user? (yes/no): no — на него уже следует ответить отрицательно, он гласит «Добавить ли еще одного пользователя?».
Goodbye!

    Теперь в систему можно будет войти набрав логин — «alex» и пароль указанный в процессе создания пользователя. Для того, чтобы пользователю состоящему в группе wheel переключиться в режим суперпользователя root, следует набрать команду:
$ su
Password:
И после набора пароля суперпользователя root, аккаунт переключится. Возврат из режима суперпользователя в данном случае выполняется по команде:
# exit
Так же повторный набор этой команды уже из режима пользователя приведет к выходу из системы.

На этом процесс добавления пользователя закончен.

P.S. Для удаления пользователя существует команда «rmuser» действующая по аналогии.

 

 

По умолчанию root-доступ через SSH в FreeBSD закрыт. Это сделано для обеспечения безопасности сервера. Существуют три способа для открытия root-доступа через SSH:

  1. включение обычного пользователя в группу администраторов
  2. разрешение подключения root через SSH
  3. команда sudo

Первый способ

Открыть файл /etc/group
Добавить пользователя user в группу wheel
wheel:*:0:root,user
После этого пользователь user может получить права root с помощью команды su.

Второй способ

Открыть файл /etc/ssh/sshd_config
Добавить PermitRootLogin yes

 

Понравилось это:

Нравится Загрузка…

Похожее

columbianx.wordpress.com

Отправить ответ

avatar
  Подписаться  
Уведомление о