Správu uživatelů je možné provádět z příkazové řádky popř. přes grafické rozhraní. Tato kapitola pojednává převážně o druhé z možností.
Práce s operačním systémem Linux je podmíněna existencí tzv. účtu. Účty patří uživatelům a umožňují jim se do systému přihlásit pomocí jména a hesla. Po úspěšném přihlášení se do systémů mohou uživatelé v rozsahu jim přiřazených práv vytvářet, měnit a mazat soubory a adresáře popř. spouštět procesy. Tato práva je možné definovat na úrovni jednotlivého uživatele nebo na úrovni tzv. skupin, kterým jsou pak následně přiřazeni uživatelé1).
Program pro správu uživatelů a skupin uživatelů lze spustit přes nabídku Systém → Správa → Uživatelé a skupiny. Kromě přidání / odebrání uživatelů a skupin lze pomocí této utility také např. nastavit domovský adresář uživatele, provést změnu či nastavit expiraci hesla nebo zvolit shell2).
Poznámka: V příkazové řádce lze přidat/ubrat uživatele pomocí příkazů useradd
resp. userdel
. Skupiny pak lze přidat/ubrat pomocí příkazů groupadd
a groupdell
(více viz. kapitola Uživatelé, která je součástí kapitoly Základy příkazové řádky).
Jak již bylo řečeno výše, každý soubor a adresář má v Linuxu svého majitele, kterým je zpravidla uživatel, který jej vytvořil. Ten, společně se superuživatelem, pak může udělovat/odebírat práva3) spojená s tímto souborem popř. adresářem jiným uživatelům.
Klikněte pravým tlačítkem myši na soubor popř. adresář a z nabídky vyberte Vlastnosti. Požadovaná práva nastavíte v záložce Oprávnění.
Poznámka: Pro nastavení změny vlastnictví souborů / adresářů pomocí příkazové řádky si přečtěte kapitolu chmod, která je součástí kapitoly Základy příkazové řádky.
U každého souboru / adresáře je možné vedle výše zmiňovaných práv změnit osobu jejich vlastníka. Z logiky věci vyplývá, že tuto změnu může provést současný vlastník popř. superuživatel. Změnu „vlastnictví“ souboru / adresáře lze provést pomocí příkazu chown
.
chown jmeno_noveho_vlastnika umisteni_souboru_nebo_adresaru
Jak již bylo zmíněno v předchozích kapitolách, některé úkony (např. instalaci nových aplikací, modifikaci skriptů) je třeba provádět s oprávněním tzv. superuživatele. Práva superuživatele jsou „nedělitelná“ - to znamená, že osoba, která vládne heslem superuživatele, vládne celým systémem. Tento „bezpečnostní“ problém se dá vyřešit pomocí příkazu sudo
.
sudo
přijímá jako svůj argument příkaz, který se následně spustí s právy superuživatele. Před samotným vykonáním tohoto příkazu sudo
kontroluje soubor /etc/sudousers
. Ten obsahuje seznam lidí, kteří mohou sudo
používat, a seznam příkazů, které mohou tito lidé zadávat.
chmod 640 /etc/sudoers gedit /etc/sudoers
V otevřeném souboru nalezněte řádky
# User privilege specification root ALL=(ALL) ALL
a za tyto řádky přidejte řádek s Vaším uživatelským jménem.
vase_uzivatelske_jmeno ALL=(ALL) NOPASSWD: ALL
Tímto jste si nastavili práva superuživatele. Sekce NOPASSWD:
je nepovinná. Jestliže však pracuje v prostředí, o kterém se domníváte, že s sebou může přinášet určitá bezpečnostní rizika, neopoužívejte tuto volbu. Jednoduše odstraňte tuto část z příslušné řádky. Jestliže tuto sekci nepoužijite, budete v případě, že spustíte příkaz pomocí sudo
, dotázáni na Vaše heslo a nikoliv heslo superuživatele.
Nastavte původní přístupová práva souboru /etc/sudoers
.
chmod 0440 /etc/sudoers
Příkazy, které byste jinak potřebovali práva superuživatele, pak lze spouštět pomocí
sudo prikaz_povoleny_v_sudoers
Poznámka: Soubor /etc/sudoers
obsahuje řadu užitečných příkladů nastavení jednotlivých příkazů.
Superuživatel je „nejmocnějším“ uživatelem systému Linux. Má právo přistupovat, smazat nebo změnit libovolné soubory či adresáře v systému a může také spustit nebo ukončit libovolný proces4).
Pomocí následujícího příkazu lze změnit/nastavit heslo superuživatele.
passwd root
Pomocí následujícího příkazu lze zakázat používání účtu superuživatele. Pravděpodobně není dobrý nápad použít tento příkaz, pokud opravdu nevíte, co děláte.
passwd -l root
/sbin/bash
. Pokud opravdu nevíte, co děláte, toto nastavení neměňte.