База знаний
Войти

Администраторы и пользователи

По умолчанию при установке ОС первый, созданный в инсталляторе, пользователь является пользователем-администратором Системы.

Как типичная Linux-система, ОС является многопользовательской. Администратор может управлять учетными записями других пользователей с помощью консольного интерфейса.

Также для организации работы пользователей в ОС используется объединение пользователей в группы для обеспечения доступа к ресурсам. Пользователи могут принадлежать одной или нескольким группам.

Использование команды sudo

Вход в Систему от имени суперпользователя root по умолчанию заблокирован. Для повышения полномочий пользователя до административных рекомендуется использовать команду sudo с вводом пароля Администратора Системы. Первый созданный в Системе пользователь-администратор по умолчанию имеет право на использование этой команды и повышения своих прав.

Команда sudo (superuser do) позволяет временно получить права суперпользователя для выполнения одной команды. Этот подход обеспечивает дополнительный уровень безопасности, так как пользователи не работают постоянно под учетной записью root, что снижает риски случайного или вредоносного изменения Системы.

Пример базового использования команды sudo, в котором пользователь вводит необходимую команду, требующую прав суперпользователя, предварив её ключевым словом sudo:

sudo команда

Если пользователь входит в группу, имеющую соответствующие права, Система запросит ввод пароля, после чего команда будет выполнена с правами администратора.

Для настройки прав доступа к sudo используется конфигурационный файл /etc/sudoers, который определяет, какие пользователи или группы могут использовать sudo и какие команды они могут выполнять. Редактирование этого файла должно происходить с использованием команды visudo, которая предотвращает ошибки при сохранении и синтаксические ошибки.

Для добавления пользователей в группу sudoers:

usermod -aG wheel username

Пользователи группы wheel по умолчанию имеют право выполнять команды с использованием sudo.

В целях безопасности рекомендуется ограничить список пользователей, имеющих доступ к команде sudo. Кроме того, можно настроить специальные правила для выполнения только определенных команд.

Пример команды, которая разрешает пользователю user выполнять только команду обновления Системы:

user ALL=(ALL) NOPASSWD: /usr/bin/dnf update

Все команды, выполненные с использованием sudo, записываются в системный журнал. Логи можно просмотреть в файле /var/log/auth.log или /var/log/secure. Это позволяет отслеживать действия пользователей, имеющих права суперпользователя, и выявлять возможные попытки несанкционированного доступа.

Несколько практических рекомендаций по использованию sudo:

  • sudo не используется для выполнения команд, не требующих привилегий суперпользователя;
  • всегда проверяйте команду перед её выполнением с правами root;
  • правила использования sudo должны быть настроены так, чтобы пользователи могли выполнять только те действия, которые необходимы для их работы.

Подробное описание всех команд приведено в man sudo.

Управление учетными записями пользователей

Рассмотрим основные аспекты по управлению учетными записями пользователей в Системе.

  1. Управление пользователями:
  • Создание пользователя и его профиль в /home:
sudo useradd -m <имя_пользователя>
  • Установка пароля для нового пользователя:
sudo passwd <имя_пользователя>
  • Удаление пользователя и связанных с ним данных:
sudo userdel <имя_пользователя>

Если необходимо удалить также домашний каталог пользователя, используется опция -r:

sudo userdel -r <имя_пользователя>
  1. Управление группами:
  • Создание новой группы пользователей:
sudo groupadd <название_группы>
  • Также новую группу можно создать путем редактирования файла /etc/group и ввода необходимой информации о группе. Каждой группе присваивается уникальный идентификационный номер и ОС при работе учитывает номер группы, а не имя. Поэтому, при присвоении двум группам одинакового номера, ОС будет воспринимать две группы как одну и ту же. Описание команды и ее параметров приведено в man addgroup.
  • Информация о группах содержится в файле /etc/group в следующем формате:
Admin :: 21: user1, user2, user3

где:

  • Admin — имя группы,
  • 21 — идентификатор,
  • user1, user2, user3 — члены группы.

Пользователь может состоять в нескольких группах и переходить из одной в другую в процессе работы. Описание файла /etc/group приведено в man group.

  • Добавление пользователя в группу:
sudo usermod -aG <название_группы> <имя_пользователя>
  • Удаление пользователя из группы:
sudo gpasswd -d <имя_пользователя> <название_группы>
  1. Управление паролями:
  • Смена пароля. Пользователь может изменить свой пароль с помощью команды:
passwd

Администратор может изменить пароль любого пользователя с помощью команды:

sudo passwd <имя_пользователя>

Истечение срока действия пароля. Для настройки срока действия пароля используется команда:

sudo chage -M <количество_дней> <имя_пользователя>
  1. Управление пользовательскими сессиями:
  • Просмотр списка активных пользователей в Системе:
who
  • Завершение сессии пользователя
sudo pkill -KILL -u <имя_пользователя>
  1. Проверка неудачных попыток входа в Систему:
  • Просмотр информации о неудачных попытках входа с помощью команды:
faillog
  • Информация о таких попытках входа хранится в файле /var/log/faillog. Данная команда также позволяет управлять счетчиком неудачных попыток входа и устанавливать ограничения на их количество. При запуске команды faillog без дополнительных опций, она выводит записи только тех пользователей, у которых были неудачные попытки входа.
  • Для каждой учетной записи предусмотрен лимит в 10 попыток входа. Чтобы обнулить счетчик неудачных попыток, следует использовать опцию -r.
  • Более подробное описание команды и структуры файла /var/log/faillog можно найти в справочных страницах по команде:
man faillog

Восстановление забытого пароля пользователя

В случае утраты пароля к локальной учётной записи, включая пользователя root, восстановление доступа возможно с использованием Live-образа дистрибутива. Порядок действий по восстановлению пароля пользователя в ОС:

  1. Подготовка загрузочного носителя:
  • загрузка ISO-образа дистрибутива ОС (или совместимого Linux-дистрибутива);
  • запись образ на USB-накопитель или DVD-диск;
  • загрузка Системы в режиме Live (без установки на диск).
  1. Определение раздела с установленной Системой:
  • необходимо открыть программу GParted (в Live-образах ОС РОСА "ХРОМ" она включена по умолчанию, подробнее о работе с программой см. раздел GParted). При использовании другого дистрибутива установить GParted по необходимости;
  • определить раздел с установленной ОС: это раздел с точкой монтирования, например, /dev/sda2 (рисунок 1).

Рисунок 1 – Интерфейс программы GParted

  1. Монтирование установленной Системы и вход в chroot:
  • открыть терминал;
  • создать директорию для монтирования:
sudo mkdir /chroot
  • смонтировать корневой раздел установленной Системы:
sudo mount /dev/sdXY /chroot
  • где необходимо заменить sdXY на имя раздела с точкой монтирования, определённое ранее (например, sda2);
  1. перейти в окружение установленной Системы с помощью chroot:
sudo chroot /chroot
  1. Сброс пароля:
  • для смены пароля пользователя root используется:
passwd

В запросах терминала необходимо ввести и подтвердить новый пароль.

  • для смены пароля другого пользователя:
passwd <имя_пользователя>

Если имя пользователя неизвестно, его можно определить одной из команд:

  • просмотр содержимого директории /home;
  • вывод всех пользователей:
cut -d: -f1 /etc/passwd
  1. Завершение работы:
  • завершить сеанс chroot, выйти из Live-режима и перезагрузить компьютер;
  • при следующей загрузке войти в Систему с новым паролем.