Obsah

Hlavní stránka

Správa uživatelů

Správu uživatelů je možné provádět z příkazové řádky popř. přes grafické rozhraní. Tato kapitola pojednává převážně o druhé z možností.

Přidání, editace a mazání uživatelů a skupin

Práce s operačním systémem Linux je podmíněna existencí tzv. účtu. Účty patří uživatelům a umožňují jim se do systému přihlásit pomocí jména a hesla. Po úspěšném přihlášení se do systémů mohou uživatelé v rozsahu jim přiřazených práv vytvářet, měnit a mazat soubory a adresáře popř. spouštět procesy. Tato práva je možné definovat na úrovni jednotlivého uživatele nebo na úrovni tzv. skupin, kterým jsou pak následně přiřazeni uživatelé1).

Program pro správu uživatelů a skupin uživatelů lze spustit přes nabídku Systém → Správa → Uživatelé a skupiny. Kromě přidání / odebrání uživatelů a skupin lze pomocí této utility také např. nastavit domovský adresář uživatele, provést změnu či nastavit expiraci hesla nebo zvolit shell2).

 Správa uživatelů

Poznámka: V příkazové řádce lze přidat/ubrat uživatele pomocí příkazů useradd resp. userdel. Skupiny pak lze přidat/ubrat pomocí příkazů groupadd a groupdell (více viz. kapitola Uživatelé, která je součástí kapitoly Základy příkazové řádky).

Změna práv k souborům a adresářům

Jak již bylo řečeno výše, každý soubor a adresář má v Linuxu svého majitele, kterým je zpravidla uživatel, který jej vytvořil. Ten, společně se superuživatelem, pak může udělovat/odebírat práva3) spojená s tímto souborem popř. adresářem jiným uživatelům.

Klikněte pravým tlačítkem myši na soubor popř. adresář a z nabídky vyberte Vlastnosti. Požadovaná práva nastavíte v záložce Oprávnění.

 Nastavení oprávnění

Poznámka: Pro nastavení změny vlastnictví souborů / adresářů pomocí příkazové řádky si přečtěte kapitolu chmod, která je součástí kapitoly Základy příkazové řádky.

Změna vlastnictví souborů a adresářů

U každého souboru / adresáře je možné vedle výše zmiňovaných práv změnit osobu jejich vlastníka. Z logiky věci vyplývá, že tuto změnu může provést současný vlastník popř. superuživatel. Změnu „vlastnictví“ souboru / adresáře lze provést pomocí příkazu chown.

chown jmeno_noveho_vlastnika umisteni_souboru_nebo_adresaru

Nastavení sudo

Jak již bylo zmíněno v předchozích kapitolách, některé úkony (např. instalaci nových aplikací, modifikaci skriptů) je třeba provádět s oprávněním tzv. superuživatele. Práva superuživatele jsou „nedělitelná“ - to znamená, že osoba, která vládne heslem superuživatele, vládne celým systémem. Tento „bezpečnostní“ problém se dá vyřešit pomocí příkazu sudo.

sudo přijímá jako svůj argument příkaz, který se následně spustí s právy superuživatele. Před samotným vykonáním tohoto příkazu sudo kontroluje soubor /etc/sudousers. Ten obsahuje seznam lidí, kteří mohou sudo používat, a seznam příkazů, které mohou tito lidé zadávat.

chmod 640 /etc/sudoers
gedit /etc/sudoers

V otevřeném souboru nalezněte řádky

# User privilege specification
root	ALL=(ALL) ALL

a za tyto řádky přidejte řádek s Vaším uživatelským jménem.

vase_uzivatelske_jmeno ALL=(ALL) NOPASSWD: ALL

Tímto jste si nastavili práva superuživatele. Sekce NOPASSWD: je nepovinná. Jestliže však pracuje v prostředí, o kterém se domníváte, že s sebou může přinášet určitá bezpečnostní rizika, neopoužívejte tuto volbu. Jednoduše odstraňte tuto část z příslušné řádky. Jestliže tuto sekci nepoužijite, budete v případě, že spustíte příkaz pomocí sudo, dotázáni na Vaše heslo a nikoliv heslo superuživatele.

Nastavte původní přístupová práva souboru /etc/sudoers.

chmod 0440 /etc/sudoers

Příkazy, které byste jinak potřebovali práva superuživatele, pak lze spouštět pomocí

sudo prikaz_povoleny_v_sudoers

Poznámka: Soubor /etc/sudoers obsahuje řadu užitečných příkladů nastavení jednotlivých příkazů.

Nastavení a změna hesla superuživatele

Superuživatel je „nejmocnějším“ uživatelem systému Linux. Má právo přistupovat, smazat nebo změnit libovolné soubory či adresáře v systému a může také spustit nebo ukončit libovolný proces4).

Pomocí následujícího příkazu lze změnit/nastavit heslo superuživatele.

passwd root

Zakázání účtu superuživatele

Pomocí následujícího příkazu lze zakázat používání účtu superuživatele. Pravděpodobně není dobrý nápad použít tento příkaz, pokud opravdu nevíte, co děláte.

passwd -l root

Hlavní stránka

1)
Přitom platí, že jeden uživatel může být členem několika skupin. Tímto jednoduchým způsobem lze nastavit relativně komplikovaný systém práv.
2)
Standardním shellem je /sbin/bash. Pokud opravdu nevíte, co děláte, toto nastavení neměňte.
3)
Konkrétně se jedná o právo čtení, zápisu a spuštění v případě souboru a o právo prohlížení obsahu, manipulace se soubory a zobrazování informací o souborech v případě adresáře.
4)
Toto se týká také souborů, adresářů a procesů, které patří jiným uživatelům.