Глава 8 Управление пользователя м и и группами 8.1. Введение

В системе Linux как «живым» пользователям, так и системным процессам назна чаются учетные записи (accounts), необходимые для управления привилегиями
и правилами доступа.
Запомните два важнейших принципа безопасности Linux.
1. Всегда используйте минимальный уровень привилегий, необходимый для вы полнения работы.
2. Используйте сильные пароли.
Соблюдение этих двух принципов избавит вас от многочисленных огорчений
и неудач.
В Linux входит набор утилит для выполнения операций с пользователями
и группами: useradd, groupadd, userdel, groupdel, usermod, groupmod, passwd, chfn и chsh.
Они входят в семейство «Shadow Suite», разработанное Джулианом Фрэнсисом
Хо (Julianne Frances Haugh) для улучшения защиты паролей и упрощения опера ций управления учетными записями. Когда-то все файлы приходилось редакти ровать по отдельности, а шифрованные пароли хранились в файле /etc/passwd.
Но поскольку файл /etc/passwd должен оставаться доступным для чтения, хране ние паролей в нем, пусть даже в зашифрованном виде, чревато потенциальными
неприятностями. Скопировав этот файл, любой желающий теоретически сможет
вычислить пароли. Перемещение зашифрованных паролей в файл /etc/shadow,
доступный только для привилегированного пользователя root, создает полезный
дополнительный уровень защиты.
Команда useradd по-разному работает в разных системах. Традиционно она
включала всех новых пользователей в одну группу users(lOO). Все домашние ката логи становились общедоступными, потому что все пользователи принадлежали
к одной группе. В Red Hat эта схема была заменена схемой «User Privacy Group».
Команда useradd в Red Hat создает для каждого нового пользователя приватную
группу, идентификатор которой (GID) совпадает с идентификатором пользова теля (UID). Разумеется, разные пользователи обладают разными потребностями;
некоторые из них могут предпочесть, чтобы их каталоги были открытыми. Фун даментальный принцип безопасности гласит: «сначала все запретить, потом раз решать по мере необходимости».
Adduser и addgroup, сценарные Perl-обертки для команд useradd и groupadd, по явились относительно недавно. Эти сценарии полностью руководят вашими дей ствиями при создании нового пользователя. Они очень удобны для создания от дельных учетных записей, но не для серийных (batch) операций (разве что если
вы самостоятельно внесете изменения в сценарии adduser и addgroup).
В разделе 8.17 приведен сценарий для серийного создания новых пользовате лей и изменения паролей.