как создать пользователя с правами суперпользователя ubuntu
Как : Создать ПОЛЬЗОВАТЕЛЯ с Правами ROOT в Linux
Из этой статьи, Вы узнаете как создать пользователя с правами root-а и как назначить привилегии root существующему пользователю, задав ID пользователя и группы.
Я также расскажу как удалить пользователя с привилегиями root-а (в частности с UID 0).
Должен предупредить, что крайне не рекомендуется давать обыкновенному пользователю полномочия root-а, и на production серверах, когда возникает необходимость в выполнении действий от имени супер-пользователя, лучше использовать команду sudo, вместо применения методов описанных ниже.
Внимание : Очень опасно давать все полномочия root-а обыкновенному пользователю, так-как этот пользователь получит право совершать абсолютно любые действия, что приведет к большим проблемам в случае кражи его учетной записи.
Создать USER Аккаунт с Правами ROOT
Допустим нам необходимо добавить нового пользователя и назначить ему привилегии root-а.
Используйте следующие команды для того, чтобы создать нового пользователя john, дать ему права root-а и задать пароль :
Мы только что создали пользователя john с UID 0 и GID 0, т.е. он входит в ту-же группу и имеет те-же права что и root.
Назначить Привилегии ROOT Существующему ПОЛЬЗОВАТЕЛЮ
Возможно у Вас уже есть какой-то пользователь john и Вы хотите дать права root-а обыкновенному пользователю.
Откройте файл /etc/passwd и назначьте привилегии root-а пользователю john, изменив ID пользователя и группы на UID 0 и GID 0 :
Удалить ПОЛЬЗОВАТЕЛЯ с UID 0
У Вас не получится просто взять и удалить второй root аккаунт с еще одним UID 0 с помощью команды userdel :
Теперь Вы сможете удалить пользователя john командой userdel :
Добавить комментарий Отменить ответ
Для отправки комментария вам необходимо авторизоваться.
Создание нового пользователя с привилегиями sudo в Ubuntu 18.04 [Краткое руководство]
Published on April 29, 2020
Введение
Команда sudo служит механизмом для предоставления прав администратора, которые обычно доступны только пользователю root user, для обычных пользователей. Из этого руководства вы узнаете, как создать нового пользователя с привилегиями sudo в Ubuntu 18.04 без изменения файла /etc/sudoers на вашем сервере. Если вы хотите настроить sudo для существующего пользователя, перейдите к шагу 3.
Шаг 1 — Выполнение входа на ваш сервер
Выполните вход через подключение SSH на ваш сервер как root user:
Шаг 2 — Добавление нового пользователя в систему
Используйте команду adduser для добавления нового пользователя в вашей системе:
Обязательно замените sammy на имя пользователя, которое вы хотите использовать. Вам будет предложено создать и проверить пароль пользователя:
Далее вам будет предложено ввести определенную информацию о вашем новом пользователе. Вы можете принимать значения по умолчанию или оставить их пустыми:
Шаг 3 — Добавление пользователя в группу sudo
Воспользуйтесь командой usermod для добавления пользователя в группу sudo:
Шаг 4 — Тестирование доступа к sudo
Чтобы проверить, что новые разрешения sudo доступны, сначала нужно воспользоваться командой su для переключения на новую учетную запись пользователя:
При первом использовании sudo в сеансе вам будет предложено ввести пароль учетной записи данного пользователя. Введите пароль, чтобы продолжить:
Примечание: это не запрос пароля root! Введите пароль пользователя с привилегиями sudo, а не пароль root.
Если ваш пользователь находится в соответствующей группе и вы ввели правильный пароль, команда с sudo будет запущена с правами root.
Заключение
Добавление и удаление пользователей в Ubuntu
Управление пользователями – один из важнейших навыков системного администратора окружения Linux. Как правило, в новой системе по умолчанию существует только один пользователь – root.
Аккаунт root имеет широкие привилегии, и он очень гибок, однако работать с сервером как root на постоянной основе крайне не рекомендуется. Дело в том, что, обладая абсолютными правами, пользователь root может случайно нанести непоправимый вред системе и серверу. Потому для повседневной работы нужно создать дополнительного пользователя с обычными привилегиями, а затем передать ему права суперпользователя. Также можно создать дополнительные аккаунты для других пользователей, которые должны иметь доступ к серверу.
Данное руководство научит создавать аккаунты новых пользователей, передавать права sudo и удалять пользователей.
Добавление пользователя
Чтобы добавить нового пользователя в сессии root, введите:
Находясь в сессии не- root пользователя с доступом sudo, можно добавить нового пользователя с помощью команды:
sudo adduser newuser
Новый пользователь готов! Теперь можно подключиться к серверу с его помощью.
Настройка прав доступа sudo
Чтобы иметь возможность использовать новый аккаунт для выполнения задач администратора, нужно разрешить пользователю доступ к команде sudo. Это можно сделать двумя способами:
Добавление пользователя в группу sudo
В системе Ubuntu 16.04 все пользователи, входящие в группу sudo, по умолчанию имеют доступ к команде sudo.
Чтобы узнать, в какие группы входит новый пользователь, введите:
По умолчанию каждый новый пользователь системы входит только в одноименную группу. Чтобы добавить пользователя в группу, введите:
Флаг –aG добавляет пользователя в перечисленные группы.
Тестирование настройки
Теперь нужно убедиться, что новый пользователь имеет доступ к команде sudo.
По умолчанию команды в сессии нового пользователя запускаются так:
Чтобы выполнить команду с правами администратора, добавьте sudo в начало команды:
При этом система запросит пароль текущего пользователя.
Редактирование файла /etc/sudoers
Альтернативный способ расширить привилегии пользователя – отредактировать файл sudoers. Для этого используется команда visudo которая позволяет открыть файл /etc/sudoers в редакторе и явно указать привилегии каждого системного пользователя.
Редактировать файл sudoers рекомендуется исключительно при помощи visudo, поскольку эта команда блокирует внесение нескольких одновременных правок и выполняет проверку содержания перед перезаписью файла. Это предотвращает ошибки в настройке sudo, которые могут повлечь за собой потерю привилегий.
Если вы находитесь в сессии root, введите:
В сессии не-root пользователя с доступом к sudo введите:
Как правило, visudo открывает /etc/sudoers в редакторе vi, который может показаться сложным для новичков. По умолчанию в новых установках Ubuntu visudo использует более знакомый редактор nano. Для перемещения курсора используйте клавиши со стрелками. Найдите строку:
root ALL=(ALL:ALL) ALL
Скопируйте эту строку и вставьте её ниже, заменив root именем пользователя, которому нужно передать права суперпользователя.
root ALL=(ALL:ALL) ALL
newuser ALL=(ALL:ALL) ALL
Добавьте такую строку для каждого пользователя, которому нужны расширенные привилегии. Сохраните и закройте файл.
Удаление пользователей
Ненужные аккаунты можно удалить.
Чтобы удалить пользователя, оставив его файлы, введите:
как root
deluser newuser
как обычный пользователь с расширенными привилегиями:
sudo deluser newuser
Чтобы удалить пользователя вместе с его домашним каталогом, используйте:
Если удалённый пользователь обладал правами суперпользователя, необходимо отнять эти права, отредактировав файл:
visudo
Или
sudo visudo
root ALL=(ALL:ALL) ALL
newuser ALL=(ALL:ALL) ALL # удалите эту строку
Если бы строка осталась в файле, а в системе появился одноименный пользователь, он получил бы расширенные привилегии автоматически. Теперь этого не случится.
Заключение
Управление пользователями – необходимый навык при администрировании сервера Ubuntu 16.04. Он позволит отделить пользователей и дать им только необходимый для работы доступ.
Для получения дополнительных сведений о настройке sudo, ознакомьтесь с нашим руководством о редактировании файла sudoers.
Права суперпользователя Linux
Как вы знаете, Linux очень серьезно относится к управлению пользователями и предоставлению им прав на работу с системой. Обычный пользователь может записывать файлы только в свой каталог и каталог /tmp/. Также есть возможность читать некоторые файлы в корневой файловой системе. Но вы не можете устанавливать программы, ведь для этого нужно право на запись, не можете изменять атрибуты файлов, не можете запускать сервисы, не можете читать некоторые файлы логов и еще много чего не можете.
В Linux управлять корневой файловой системой и создавать там файлы имеет право только пользователь root.
В этой статье мы рассмотрим какие программы нужны для того, чтобы получить права root пользователя linux, как они работают, как выполнять программу с правами root от обычного пользователя и как запускать графические программы с правами root. А также выясним что такое sudo в чем разница su или sudo.
Права суперпользователя в Linux
Очень долго перечислять чего не может обычный пользователь Linux, проще сказать на что у него есть право, а именно при стандартной настройке полномочий для файлов в Linux, обычный пользователь может:
Если же нужно сделать что-то большее нам понадобятся права root пользователя linux. У root есть право делать все в вашей файловой системе независимо от того какие права установлены на файл.
Вход под суперпользователем
Чтобы войти под пользователем root можно переключиться в одну из виртуальных консолей, например, с помощью сочетания клавиш Ctrl+Alt+F1 и затем ввести логин root и пароль root пользователя.
Вы получите полноценное окружение root с возможностью выполнять все действия, но такой способ очень непрактичный, так как вы теряете все преимущества использования графического интерфейса.
Можно поступить полностью противоположным путем, ввести логин root и его пароль в графическом менеджере входа, чтобы окружение рабочего стола работало от имени root, и мы получаем все права root linux, но такой вариант крайне не рекомендованный, и очень опасный, вы можете случайно повредить всю систему. Поэтому этот способ был отключен во многих менеджерах входа.
Переключение на суперпользователя в терминале
Теперь мы подошли к более интересному и практичному. С помощью специальных утилит вы можете переключить текущий эмулятор терминала в окружения суперпользователя и выполнять все следующие команды не от своего имени, а от его, таким образом, дав программе права root linux. Для этого существует утилита su. Вообще говоря, эта утилита позволяет не только переключаться на пользователя root но и на любого другого пользователя, но по умолчанию используется именно root. Рассмотрим ее подробнее. Команда su linux имеет следующий синтаксис:
$ su опции пользователь
Вот ее основные опции:
Теперь немного поэкспериментируем, чтобы понять как работает команда su linux.
Сначала выполним su без параметров, но для начала создадим переменную окружения, чтобы проверить как с ними обходится эта команда:
Теперь смотрим что получилось:
Из этих команд мы видим, что теперь мы пользователь root, но домашней директорией считается директория нашего предыдущего пользователя и наша переменная не сохранилась также изменилась переменная PATH, теперь там добавлен путь /sbin.
Теперь используем вход в режиме логина:
И повторим ту же комбинацию:
Как видите, наша переменная осталась. Вы также можете переключится на любого другого пользователя. Например:
Более подробно о команде su вы можете почитать в отдельной статье. Получение прав суперпользователя таким способом используется во многих дистрибутивах, например, Debian, OpenSUSE, ArchLInux, Gentoo и т д. Но в Ubuntu, как дистрибутиве для начинающих вход под пользователем root отключен. Это сделано потому, что это тоже не очень безопасно, вы можете забыть что выполняете команду от root и что-то натворить в системе. Поэтому переходим к следующей программе.
Получение прав root без переключения
Чтобы реализовать максимально безопасный интерфейс для работы с правами суперпользователя в Linux была разработана команда sudo. Давайте рассмотрим что такое sudo. Эта команда пишется перед каждой командой, которую нужно выполнить от имени суперпользователя, и для ее выполнения нужно ввести пароль уже не root, а всего лишь вашего пользователя. Так же, как и в предыдущей, в этой утилиты есть свои опции. Сначала рассмотрим синтаксис:
$ sudo опции команда
Вы можете выполнить те же эксперименты, только для этой команды, чтобы понять как использовать команду sudo. Например:
Графически приложения от имени суперпользователя
Для запуска графических приложений от имени суперпользователя существуют специальные утилиты. Они сохраняют все необходимые переменные окружения и полномочия. В KDE это команда kdesu, а в Gnome команда gksu.
Просто наберите gksu или kdesu, а затем нужную команду:
Эта команда запустит файловый менеджер KDE с правами суперпользователя. В Gnome это будет выглядеть вот так:
Программа запросит пароль, уже в графическом окне, а потом откроется файловый менеджер.
Выводы
Вот и все. Теперь вы знаете как получить права суперпользователя в Linux, знаете как использовать команду sudo и в чем разница sudo или su. Теперь программы, требующие дополнительных привилегий в системе, не вызовут у вас проблем. Если остались вопросы, пишите в комментариях!
Управление пользователями
Содержание
Управление пользователями
Управление пользователями является важной частью безопасности системы. Неэффективные пользователи и управление привилегиями часто приводят множество систем к компрометации. Поэтому важно чтобы вы понимали как защитить ваш сервер с помощью простых и эффективных методик управления пользовательскими учетными записями.
Где суперпользователь?
Разработчики Ubuntu приняли сознательное решение заблокировать административную корневую учетную запись (root) по умолчанию во всех установках Ubuntu. Это не означает, что учетная запись root удалена или к ней нет доступа. Ей просто присвоен пароль, который не совпадает ни с одним возможным шифрованным значением, соответственно, ее невозможно использовать для входа напрямую.
Вместо этого поощряется применение пользователями инструмента с именем sudo для переноса административных обязанностей. Sudo позволяет авторизованным пользователям временно повышать их привилегии, используя их собственный пароль вместо знания пароля, присвоенного суперпользователю. Эта простая и к тому же эффективная методика обеспечивает ответственность для всех действий пользователей и дает административный раздельный контроль над тем, какие действия может выполнять пользователь с указанными привилегиями.
1. Если по какой-то причине вы хотите разрешить учетную запись суперпользователя, просто установите ей пароль:
Sudo запросит ваш пароль, а затем предложит установить новый пароль для root как показано ниже:
2. Для блокирования учетной записи root используйте следующий синтаксис passwd:
3. Вы можете прочитать больше по sudo вызвав ее man страницу:
По умолчанию изначальный пользователь, созданный установщиком Ubuntu является членом группы «admin», которая добавлена в файл /etc/sudoers как авторизованные sudo пользователи. Если вы желаете разрешить другой учетной записи полный доступ суперпользователя через sudo, просто добавьте ее в группу admin.
Добавление и удаление пользователей
Процесс управления локальными пользователями и группами простой и мало отличается от большинства других операционных систем GNU/Linux. Ubuntu и другие дистрибутивы на основе Debian поощряют использование пакета «adduser» для управления учетными записями.
1. Для добавления учетной записи пользователя используйте следующий синтаксис и следуйте подсказкам для указания пароля и опознавательных характеристик таких как полное имя, телефон и пр.:
2. Для удаления пользователя и его первичной группы используйте следующий синтаксис:
Удаление пользователя не удаляет связанный с ним домашний каталог. Оставлено на ваше усмотрение хотите ли вы удалить каталог вручную или оставите его в соответствии с вашими политиками хранения.
Помните, что любой пользователь, добавленный позднее с теми же UID/GID, как и предыдущий, получит доступ к этому каталогу если вы не предпримете необходимых мер предосторожности.
Вы можете захотеть изменить эти значения UID/GID каталога на что-то более подходящее, как, например, значения суперпользователя и, возможно, переместить каталог для предотвращения будущих конфликтов:
3. Для временного блокирования или разблокирования используйте следующий синтаксис:
4. Для добавления или удаления персональной группы используйте, соответственно, следующий синтаксис:
5. Для добавления пользователя в группу, используйте:
Безопасность профиля пользователя
Когда создается новый пользователь, утилита adduser создает, соответственно, новый именной каталог /home/username. Профиль по умолчанию формируется по содержимому, находящемуся в каталоге /etc/skel, который включает все основы для формирования профилей.
Если ваш сервер является домашним для множества пользователей, вы должны уделять пристальное внимание правам доступа на пользовательские домашние каталоги для поддержания конфиденциальности. По умолчанию пользовательские домашние каталоги создаются с правами чтения/выполнения для всех. Это означает, что все пользователи просматривать и получать доступ к содержимому других домашних каталогов. Это может не подходить для вашего окружения.
1. Для проверки прав доступа на домашние каталоги существующих пользователей используйте такой синтаксис:
Следующий вывод показывает, что каталог /home/username имеет доступ на чтение для всех:
2. Вы можете удалить права чтения для всех, используя следующий синтаксис:
Более эффективный подход к данному вопросу будет в изменении глобальных прав доступа по умолчанию для adduser при создании домашних каталогов. Просто отредактируйте файл /etc/adduser.conf, изменив переменную DIR_MODE на что-то более подходящее, после чего все новые домашние каталоги будут получать корректные права доступа.
3. После исправления прав доступа к каталогам, используя любую из ранее упоминавшихся методик, проверьте результаты используя следующую команду:
Результат ниже показывет, что права на чтение для всех удалены:
Политика паролей
Минимальная длина пароля
По умолчанию Ubuntu требует минимальную длину пароля в 6 символов, также как и некоторые основные проверки на разброс значений. Эти параметры управляются файлом /etc/pam.d/common-password и приведены ниже:
Если вы хотите установить минимальную длину в 8 символов, измените соответствующую переменную на min=8. Изменения приведены ниже:
Время жизни пароля
При создании учетных записей пользователей вы должны создать политику минимального и максимального времени жизни пароля чтобы заставлять пользователей менять их пароли по истечении определенного времени.
1. Для простого просмотра текущего статуса учетной записи пользователя используйте следующий синтаксис:
Вывод, приведенный ниже, показывает интересные факты об учетной записи пользователя, а именно что нет никаких примененных политик:
2. Для установки этих значений просто используйте следующую команду и следуйте интерактивным подсказкам:
3. Для проверки изменений используйте ту же команду, что и упоминалась выше:
Вывод команды ниже показывает новые политики, которые применяются к учетной записи:
Иные соображения безопасности
Многие приложения используют альтернативные механизмы аутентификации, которые могут быть запросто пропущены даже опытными системными администраторами. Поэтому важно понимать и контролировать как пользователи авторизуются и получают доступ к сервисам и приложениям на вашем сервере.
Доступ по SSH заблокированными пользователями
Аутентификация по внешней базе данных
Большинство корпоративных сетей требуют централизованной аутентификации и контроля доступа для всех системных ресурсов. Если вы настроили свой сервер для аутентификации пользователей по внешней базе данных, убедитесь, что вы отключаете учетные записи как внешние, так и локальные, таким образом вы будете уверены что откат на локальную аутентификацию невозможен.
© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.