Product SiteDocumentation Site

8.4. پایگاه‌داده‌های کاربران و گروه‌ها

The list of users is usually stored in the /etc/passwd file, while the /etc/shadow file stores hashed passwords. Both are text files, in a relatively simple format, which can be read and modified with a text editor. Each user is listed there on a line with several fields separated with a colon (“:”).

یادداشت ویرایش فایل‌های سیستمی

فایل‌های سیستمی که در این فصل به آن‌ها اشاره شده همگی از نوع متنی بوده که می‌توانند با استفاده از یک ویرایشگر متن تغییر یابند. با در نظر گرفتن اهمیت آن‌ها برای عملکرد صحیح سیستم، ایده خوبی است که هنگام ویرایش آن‌ها برخی نکات را مد نظر قرار دهیم. ابتدا، قبل از ویرایش یک فایل سیستمی، حتما یک رونوشت از آن تهیه کنید. سپس در سرورهایی که بیش از یک کاربر ممکن است در هر لحظه این فایل‌ها را مشاهده یا ویرایش کند، گام‌های دیگری برای جلوگیری از خراب شدن این فایل‌ها باید برداشته شوند.
به این منظور، تنها کافی است از دستور vipw برای ویرایش فایل /etc/passwd و از دستور vigr برای ویرایش فایل /etc/group استفاده کرد. این دستورات قبل از بازکردن ویرایشگر، فایل را قفل می‌کنند (ویرایشگر متن پیش‌فرض vi است، مگر توسط متغیر محلی EDITOR تغییر کرده باشد). گزینه -s در این دستورات امکان ویرایش فایل shadow مربوطه را می‌دهد.

بازگشت به مقدمات Crypt، تابعی یک-طرفه

crypt یک تابع یک-طرفه است که رشته‌ای مانند A را به رشته B تبدیل می‌کند به صورتی که رشته A از B نتواند به دست آید. تنها راه شناسایی A بررسی تمام گزینه‌های موجود است تا بتوان تشخیص داد آیا تبدیل انجام شده توسط تابع منجر به تولید B می‌شود یا خیر. تا ۸ کاراکتر را در ورودی استفاده کرده (رشته A و رشته‌ای شامل ۱۳ کاراکتر قابل چاپ با کد اسکی را تولید می‌کند (رشته B).

8.4.1. فهرست کاربران: /etc/passwd

فیلدهای مورد استفاده در فایل /etc/passwd عبارتند از:
  • نام کاربری، برای نمونه rhertzog؛
  • password: this is a password encrypted by a one-way function (crypt), relying on DES, MD5, SHA-256 or SHA-512. The special value “x” indicates that the encrypted password is stored in /etc/shadow;
  • uid: شناسه منحصربفرد هر کاربر؛
  • gid: شناسه منحصربفرد گروه هر کاربر (دبیان به صورت پیش‌فرض برای هر کاربر یک گروه خاص قرار می‌دهد)؛
  • GECOS: فید داده‌ای که معمولا نام کامل کاربر را شامل می‌شود؛
  • دایرکتروی حساب کاربری، که برای ذخیره‌سازی فایل‌های شخصی هر کاربر اختصاص می‌یابد (متغیر محلی $HOME معمولا به اینجا اشاره می‌کند)؛
  • برنامه‌ای که هنگام ورود کاربر اجرا می‌شود. این معمولا یک مفسر خط‌فرمان (پوسته) است که کنترل آزاد را در اختیار کاربر می‌گذارد. اگر گزینه /bin/false را استفاده کنید به این معنا است که کاربر نمی‌تواند لاگین کند.
As mentioned before, one can edit this file directly. But there are more elegant ways to apply changes, which are described in قسمت 8.4.3, “تغییر یک حساب کاربری موجود یا گذرواژه آن” .

بازگشت به مقدمات گروه در یونیکس

یک گروه یونیکس شامل موجودیتی مستقل از مجموعه کاربرانی است که می‌توانند طبق یک سری مجوزهای خاص عملیات یکسانی را روی سیستم انجام دهند. همچنین می‌توانید استفاده از یک سری برنامه‌ها را برای یک گروه خاص منع کنید.

8.4.2. فایل رمزگذاری‌شده و مخفی گذرواژه‌ها: /etc/shadow

فایل /etc/shadow شامل فیلدهای زیر است:
  • نام کاربری؛
  • گذرواژه رمزگذاری‌شده؛
  • تعدادی فیلد که مدت زمان اعتبار گذرواژه را تعیین می‌کنند.
One can expire passwords using this file or set the time until the account is disabled after the password has expired.

امنیت امنیت فایل /etc/shadow

/etc/shadow, unlike its alter-ego, /etc/passwd, cannot be read by regular users. Any hashed password stored in /etc/passwd is readable by anybody; a cracker could try to “break” (or reveal) a password by one of several “brute force” methods which, simply put, guess at commonly used combinations of characters. This attack — called a "dictionary attack" — is no longer possible on systems using /etc/shadow.

مستندات قالب فایل‌های /etc/passwd، /etc/shadow و /etc/group

These formats are documented in the following man pages: passwd(5), shadow(5), and group(5).

8.4.3. تغییر یک حساب کاربری موجود یا گذرواژه آن

The following commands allow modification of the information stored in specific fields of the user databases: passwd permits a regular user to change their password, which in turn, updates the /etc/shadow file (chpasswd allows administrators to update passwords for a list of users in batch mode); chfn (CHange Full Name), reserved for the super-user (root), modifies the GECOS field. chsh (CHange SHell) allows the user to change their login shell; however, available choices will be limited to those listed in /etc/shells; the administrator, on the other hand, is not bound by this restriction and can set the shell to any program of their choosing.
در نهایت، دستور chage یا CHange AGE به مدیرسیستم امکان تغییر زمان اعتبار گذرواژه را می‌دهد (گزینه -l user تنظیمات فعلی را نمایش می‌دهد). می‌توانید برای مجبور کردن کاربر به تغییر گذرواژه خود از دستور passwd -e user استفاده کنید تا در هنگام ورود بعدی به سیستم، گذرواژه جدید را وارد کند.
Besides these tools the usermod command allows to modify all the details mentioned above.

8.4.4. غیرفعال‌سازی یک حساب‌کاربری

You may find yourself needing to “disable an account” (lock out a user), as a disciplinary measure, for the purposes of an investigation, or simply in the event of a prolonged or definitive absence of a user. A disabled account means the user cannot login or gain access to the machine. The account remains intact on the machine and no files or data are deleted; it is simply inaccessible. This is accomplished by using the command passwd -l user (lock). Re-enabling the account is done in similar fashion, with the -u option (unlock). This, however, only prevents password-based logins by the user. The user might still be able to access the system using an SSH key (if configured). To prevent even this possibility you have to expire the account as well using either chage -E 1user or usermod -e 1 user (giving a value of -1 in either of these commands will reset the expiration date to never). To (temporarily) disable all user accounts just create the file /etc/nologin.
You can disable a user account not only by locking it as described above, but also by changing its default login shell (chsh -s shell user). With the latter changed to /usr/sbin/nologin, a user gets a polite message informing that a login is not possible, while /bin/false just exits while returning false. There is no switch to restore the previous shell. You have to get and keep that information before you change the setting. These shells are often used for system users which do not require any login availability.

مطالعه بیشتر NSS و پایگاه‌داده‌های سیستم

بجای استفاده از فایل‌های معمولی برای ذخیره‌سازی فهرستی از کاربران و گروه‌ها، می‌توانید از سایر پایگاه‌داده‌ها برای اینکار استفاده کنید مانند LDAP یا db با استفاده از یک ماژول NSS مناسب. ماژول‌های مورد استفاده در فایل /etc/nsswitch.conf فهرست می‌شوند، درست زیر مدخل‌های passwd، shadow و group. برای یک نمونه مشخص از کاربرد ماژول NSS توسط LDAP قسمت قسمت 11.7.3.1, “پیکربندی NSS” را مشاهده کنید.

8.4.5. فهرست گروه: /etc/group

گروه‌ها در فایل /etc/group فهرست می‌شوند، یک پایگاه‌داده ساده متنی درست مانند /etc/passwd که شامل فیلدهای زیر است:
  • نام گروه؛
  • گذرواژه (اختیاری): این فیلد برای الحاق یک گروه استفاده می‌شود که یک عضو معمولی به حساب نمی‌آید (با دستورات newgrp یا sg، قسمت بازگشت به مقدمات کار با چندین گروه را مشاهده کنید)؛
  • gid: شناسه منحصربفرد هر گروه؛
  • فهرست اعضا: فهرستی از نام کاربرانی که عضو این گروه هستند، که با کاما جدا شده‌اند.

بازگشت به مقدمات کار با چندین گروه

هر کاربر می‌تواند عضو چندین گروه باشد؛ یکی از آن‌ها “گروه اصلی” است. گروه اصلی هر کاربر، به صورت پیش‌فرض، هنگام پیکربندی اولیه حساب‌کاربری بوجود آمده است. به صورت پیش‌فرض، هر فایلی که کاربر ایجاد می‌کند به وی و گروهش اختصاص دارد. این عمل همیشه مطلوب نیست؛ برای نمونه، زمانی که کاربر باید در دایرکتروی کار کند که شامل گروه دیگری باشد. در این مورد، کاربر باید گروه اصلی‌اش را با استفاده از دستورات newgrp، که یک پوسته جدید را اَغاز می‌کند یا sg یک دستور را با توجه به گروه جایگزین وارد شده اجرا می‌کند. این دستورات یه کاربر امکان می‌دهند که به گروه جدید دیگری اضافه شوند. اگر گروه با استفاده از گذرواژه محافظت شود، باید قبل از اینکه دستور اجرا شود آن را وارد کنند.
به علاوه، کاربر می‌تواند بیت setgid را روی دایرکتوری تنظیم کند، که منجر می‌شود فایل‌های ایجاد شده روی آن دایرکتوری به صورت خودکار به گروه درستی اختصاص یابند. برای جزئیات بیشتر، قسمت امنیت دایرکتوری setgid همراه با sticky bit را مشاهده کنید.
دستور id وضعیت فعلی یک کاربر را نمایش می‌دهد، به همراه شناسه منحربفرد وی (متغیر uid)، گروه اصلی فعلی (متغیر gid) و فهرستی از گروه‌ها که کاربر به متعلق به آن‌هاست (متغیر groups).
The addgroup and delgroup commands add or delete a group, respectively. The groupmod command modifies a group's information (its gid or identifier). The command gpasswd group changes the password for the group, while the gpasswd -r group command deletes it.

نکته getent

دستور getent یا get entries به شیوه‌ای استاندارد به بررسی پایگاه‌داده‌های سیستم می‌پردازد، با استفاده از توابع کتابخانه‌ای مناسب، که در بازگشت با استفاده از فراخوانی ماژول‌های NSS موجود در فایل /etc/nsswitch.conf اطلاعات را باز می‌گرداند. دستور یک یا دو پارامتر می‌گیرد: نام پایگاه‌داده‌ای که قصد بررسی دارد و یک کلیدواژه احتمالی برای جستجو. بنابراین، دستور getent passwd rhertzog اطلاعات پایگاه‌داده کاربری را برای کاربر rhertzog بدست می‌آورد.