19. Пользователи и группы (RHCSA)
HTML-код
- Опубликовано: 26 июн 2020
- Немного про хэширование: habr.com/ru/post/345740/
Немного про соль: ru.wikipedia.org/wiki/%D0%A1%...)
Плейлист: • Основы GNU/Linux и под...
Телеграм: t.me/gnuslashlinux
Текстовой вариант: basis.gnulinux.pro
Мурад, спасибо большое что даете возможность подготовиться к RHCSA, так как на русском языке очень мало информации для подготовки.
Отличное видео, как и текстовый его вариант!! Автору особая благодарность за столь ценный материал в видео и текстовом формате!!!
Благодарочка за видео!
Спасибо! Классно объясняете )
Спасибо!
Спасибо большое!
Мурад, ты крутой!
Мурад, спасибо большое за ваши видео! Очень познавательно. У меня вопрос, скорее по доступам. Вы сказали что можно назначить администратора и он без судо сможет добавлять пользователей в группу. Я пытаюсь мыслить с точки зрения утилит и как это работает. За счёт чего у утилиты добавления пользователя в группу будут права на редактирование passwd?
Спасибо!
Хороший вопрос. Ну, добавление в группу это больше файл /etc/group, но суть та же. Права за счёт SUID. Это я разбираю в следующем видео, про права, на примере утилиты passwd (он ведь тоже редактирует /etc/shadow, хотя запускается от обычного пользователя). Вкратце, утилита gpasswd работает от пользователя root, кто бы её не запускал, поэтому у неё полный доступ и она может изменять /etc/group
@@GNULinuxPro ага, спасибо. Разбираюсь. Впервые с правами столкнулся ещё лет 15 назад, но как-то подзабил и не вник детально, так и жил с этим. Сейчас буду уже второй раз пересматривать, но логику понял. Хочу ещё «похакать» эту систему в уме (не сомневаюсь что все надежно), просто разложить все по полочкам.
Спасибо за урок.
Подскажите пожалуйста по поводу практики. В 3 задании сказано, что manager-ы должны иметь возможность залогиниться, а юзеры нет. Нужно заблокировать юзеру запись через usermod -L или есть еще какие варианты запрета логина пользователя?
Через оболочку лучше всего
Доброго времени суток! А есть ли текстовый вариант лекций? Дошел до этой лекции и понял, что зря не конспектировал по старинке - ручкой на бумаге. Из текстовой версии было бы удобнее выжимку основной информации для конспекта сделать.
З.Ы. Не устаю говорить спасибо за уроки!
Добрый день!
Спасибо!
Да, в описании есть ссылка - basis.gnulinux.pro
Спасибо, интересно. Но в чём итоге разница между звёздочкой и восклицательным знаком в поле пароля, если и там и там аккаунт считается заблокированным?
Честно говоря, я не смог найти единого правильного ответа. В манах я не нашел чёткого ответа и в разных дистрибутивах этот файл отличается - скажем, у меня Арч и тут нет никаких звёздочек в файле, только восклицательные знаки. Из того, что точно: если аккаунт блокируется, то перед паролем в файле ставится восклицательный знак. Если аккаунт создали, но не поставили пароль - то стоит восклицательный знак. Где-то пишут, что * ставится, если это дефолтный сервисный аккаунт, через который запрещено логиниться. Пруфов я не нашел, смущает, что на арче как-то по другому. Поэтому и не стал делиться догадками. Но в целом, мне кажется, это правильный ответ.
По поводу задания №. 3
Если мы удалим пользователя user.marketing с помощью команды userdel -r, то директория manager.marketing также будет удалена, можно ли этого избежать?
Удалять без ключа -r, просто userdel user.marketing
За урок спасибо, но вот со вторым пунктом, в практике, вообще разобраться не могу.
Sysadmin - все права получил на систему (В sudoers прописал везде ALL)
Netadmin - запускает утилиту от имени рута, но он и без прав пользователя это может сделать или я что то не пойму, зачем ему ее давать от рута запускать, если он и сам может это сдлать.
Ну и последнее, где helpdesk должен уметь менять пароли всем кроме рута и админа, саму утилиту ему разрешить очень просто, а вот что бы он не менял некоторым пользователям пароли, вот с этим проблема.
Я точно чего то не могу понять, но пока в какую сторону смотреть, тоже не могу разобраться.
А за уроки огромное спасибо)
П,С.
И вот еще вопрос, а можно ли пользователю запретить вообще выполнение каких то команд, указав это в sudoers, или это надо менять права доступа на директории, в которых лежат исполняемые файлы этих программ
1) Насчёт netadmin - саму команду-то можно запускать, но не всё в ней можно делать без рут прав.
2) не менять конкретным пользователям - очень просто - !/usr/bin/passwd user1,!/usr/bin/passwd user2. А вот как запрещать менять руту - поищите в мане sudoers, там это есть (нужны регулярки, потому что не всё так просто. Ведь можно просто написать sudo passwd, тогда меняется пароль руту, а запрещать эту команду не хочется).
3) Через sudoers меняются права только на те команды, которые выполняются с sudo. Т.е. можно запретить sudo ls, но не просто ls. А как запретить или разрешить команды - тут сложно. Надо окружение пользователя менять. Например - access.redhat.com/solutions/65822
@@GNULinuxPro по второму пункту у меня заработало вот так
helpdesk ALL(root) /usr/bin/passwd, !/usr/bin/passwd sysadmin, !/usr/bin/passwd root
я еще очень зеленый)) но интересно поправьте если что. Спасибо.
@@GNULinuxPro и все же интересно, что за регулярное выражение такое, запрещающее менять пароль руту. Застрял на этом пункте, никак не могу в мане найти подсказку х)
@@alesha6820 = /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
@@GNULinuxPro спасибо, буду пробовать!
И спасибо за Ваш курс. Все подаётся плавно и понятным языком
Про usermod надо бы поподробнее немного.
usermod практически совпадает с useradd, разве что вместо создания пользователя она меняет значения у существующих пользователей
а почему в /etc/group у группы user в конце не добавлен полбзователь user?
В /etc/group указываются дополнительные группы пользователя, а для пользователя user группа user основная
@@GNULinuxPro ясно спасибо
Немного не понял практическое задание, а именно "manager-ы должны иметь возможность залогиниться, а юзеры нет." Куда именно должны залогиниться менеджеры? И куда логинка для юзеров запрещена?
Про это речь? -s /usr/sbin/nologin
В системе залогиниться
Большой респект тебе за труд, уроки, внимание к вопросам и "все такое")) Спасибо!!!