Seperti banyak tugas dan tugas sysadmin, manajemen akun pengguna bukan hanya satu hal, juga tidak ada dalam ruang hampa. Manajemen akun pengguna adalah aspek pekerjaan yang berkelanjutan dan ada banyak aspek di dalamnya:pembuatan akun, penghapusan akun, manipulasi izin, akun yang kedaluwarsa, menetapkan standar kata sandi, menegakkan keamanan, menegakkan perubahan kata sandi, dan memanipulasi UID dan GID untuk menjaga sistem tetap teratur dan mendukung. Bagian satu berfokus pada perintah yang berguna. Artikel saat ini berkaitan dengan mengelola ID pengguna (UID) dan ID grup (GID).
Pengantar UID dan GID
Secara default, sistem Linux secara otomatis menetapkan UID dan GID ke akun pengguna baru dalam urutan numerik mulai dari 1000. Dengan kata lain, jika Anda membuat akun pengguna baru selama instalasi, itu akan memiliki UID =1000 dan GID =1000, seperti yang ditunjukkan di bawah ini:
khess:x:1000:1000:Ken Hess:/home/khess:/bin/bash Teori di balik penetapan arbitrer ini adalah bahwa apa pun di bawah 1000 dicadangkan untuk akun sistem, layanan, dan akun khusus lainnya, dan UID dan GID pengguna reguler tetap di atas 1000. Teori ini didasarkan pada asumsi bahwa 999 nomor akun dikurangi beberapa pra- yang ditugaskan akan lebih dari cukup untuk memenuhi sebagian besar sistem selama bertahun-tahun. Sebagai administrator Linux selama lebih dari 20 tahun, saya pribadi tidak pernah kehabisan 999 nomor akun sistem pertama.
Akun root memiliki hak istimewa yang luar biasa untuk memiliki UID =0 dan GID =0. Angka-angka inilah yang memberikan kekuatan luar biasa pada akun root. Kalau tidak percaya, ganti nama akun root menjadi goonygoogoo , atau apa pun yang Anda pilih, lalu buat akun pengguna baru bernama root , memungkinkan sistem untuk menetapkan UID dan GID berikutnya yang tersedia. Akun ini tidak memiliki kekuatan lebih dari akun pengguna lain di sistem. Bukan namanya, tetapi UID dan GID yang memberi kekuatan pada akun administrasi. Untuk menguji pernyataan ini lebih lanjut, tetapkan akun pengguna pengujian dengan 0 untuk UID dan GID, dan pengguna tersebut sekarang menjadi root, apa pun nama akunnya.
Seperti yang dapat Anda lihat dari daftar di bawah, akun pengguna (seperti yang dinyatakan sebelumnya) diberikan UID dan GID dalam urutan numerik dari 1000. UID dan GID selalu cocok untuk menjaga semuanya tetap teratur:
khess:x:1000:1000:Ken Hess:/home/khess:/bin/bash
msmith:x:1001:1001::/home/msmith:/bin/bash
mjones:x:1003:1003:Mary Jones:/home/mjones:/bin/bash
jjones:x:1004:1004:John Jones:/home/jjones:/bin/bash
djones:x:1005:1005:Don Jones:/home/djones:/bin/bash Tidak ada keajaiban dalam pengaturan ini. Sistem melakukannya. Saya tidak perlu khawatir tentang itu.
Tetapi bagaimana jika kebijakan Anda berbeda mengenai informasi pengguna dan grup? Ada kemungkinan bahwa perusahaan Anda ingin UID dan GID ditetapkan berdasarkan ID karyawan atau pengenal unik lainnya (Semoga bukan Nomor Jaminan Sosial, meskipun saya telah melihat nomor ini digunakan dalam praktik.) Atau, bagaimana jika Anda ingin menetapkan GID tertentu berdasarkan peran daripada menambahkan pengguna ke GID di /etc/group ? Cukup mudah untuk melakukan semua ini dengan useradd perintah dari artikel saya sebelumnya tentang topik ini, yang mencakup dasar-dasar pengelolaan akun pengguna.
Berikut adalah daftar pengguna dari /etc/group :
khess:x:1000:
msmith:x:1001:
mjones:x:1003:
jjones:x:1004:
djones:x:1005: Menyesuaikan UID dan GID
Biasanya, administrator yang ingin menambahkan pengguna ke grup non-utama melakukannya saat membuat akun, menggunakan useradd alat dengan -G mengalihkan. Pastikan untuk mencantumkan semua grup sekunder setelah -G sakelar, dipisahkan dengan koma tanpa spasi. Perintah berikut memungkinkan sistem untuk memilih UID dan GID utama dari nomor berikutnya yang tersedia tetapi menambahkan jdoe pengguna ke sysadmin dan helpdesk grup:
$ sudo useradd -G sysadmin,helpdesk jdoe
Jika Anda ingin menentukan grup utama dengan -g beralih, grup harus sudah ada. Misalnya, jika Anda memasukkan perintah berikut:
$ sudo useradd -u 10600 -g 10600 -G sysadmin,helpdesk jdoe Anda akan mendapatkan kesalahan "useradd:grup '10600' tidak ada," dan sistem tidak akan membuat akun. Jika Anda harus menentukan grup, maka tambahkan grup terlebih dahulu:
$ groupadd 10600
$ sudo useradd -u 10600 -g 10600 -G sysadmin,helpdesk jdoe Mengelola izin grup
Saat pengguna membuat file, pemilik pengguna mendapat izin baca (r) dan tulis (w), grup mendapat izin baca, dan yang lain mendapatkan izin baca (rw-r--r--), atau dalam istilah numerik, 644. izin eksekusi (x) tidak diberikan secara default. Jadi, sebagai administrator sistem, jika anggota grup meminta izin eksekusi ditempatkan pada file atau grup file, maka berikan izin eksekusi hanya untuk grup:
$ sudo chmod g+x coolscript.sh Pengguna dapat mengubah izin sendiri jika mereka adalah pemilik pengguna tetapi sering kali tidak melakukannya karena takut salah melakukannya. Hanya pemilik pengguna atau pengguna root yang dapat mengubah izin pada file meskipun grup memiliki izin menulis ke file tersebut. Izin menulis berarti anggota grup dapat mengedit atau menghapus file.
Pastikan direktori grup bersama memiliki akses tulis (izin) untuk grup, dan file yang perlu dimodifikasi oleh anggota grup juga memiliki akses tulis. Beberapa dari Anda yang memiliki pengetahuan izin lebih lanjut mungkin bertanya mengapa saya tidak menyebutkan chattr (ubah atribut), dan ini adalah pertanyaan yang valid. chattr perintah di luar cakupan artikel ini tetapi akan dibahas di artikel selanjutnya yang hanya berfokus pada chattr dan banyak pilihannya.
Menutup
Artikel ini memberikan liputan singkat tentang atribut UID dan GID dan cara memanipulasinya jika Anda perlu melakukannya. Saya juga membahas sedikit tentang izin grup. Di artikel mendatang, saya akan membahas chattr perintah yang memberi Anda opsi untuk mencegah penghapusan yang tidak disengaja oleh anggota grup. Jika Anda ingin membaca lebih awal, lakukan dengan hati-hati. chattr perintah dapat membuat frustasi bagi administrator baru yang tidak terbiasa dengan sintaks dan konsekuensi opsi.
[Ingin mencoba Red Hat Enterprise Linux? Unduh sekarang secara gratis. ]