Práce s operačním systémem Linux je podmíněna existencí tzv. účtu. Účty patří uživatelům, a umožňují jim se do systému přihlásit pomocí jména a hesla. Po úspěšném přihlášení se do systémů mohou uživatelé v rozsahu jim přiřazeným práv vytvářet, měnit a mazat soubory a adresáře popř. spouštět procesy. Tato práva je možné definovat na úrovni jednotlivého uživatele nebo hromadně na úrovni tzv. skupin a těmto skupinám pak přiřazovat uživatele1).
Program pro správu uživatelů a skupin uživatelů lze spustit přes nabídku Aplikace → Systém → Správa → Uživatelé a skupiny. Kromě přídání / odebrání uživatelů a skupin lze pomocí této utility také např. nastavit domovský adresář uživatele, provést změnu či expiraci hesla nebo zvolit shell2).
Poznámka: V příkazové řádce lze přidat/ubrat uživatele pomocí příkazů useradd
resp. userdel
. Skupiny pak lze přidat/ubrat pomocí příkazů groupadd
a groupdell
. Více viz. kapitola Uživatelé.
Jak již bylo řečeno výše, každý soubor a adresář má v OS Linux svého majitele, kterým je zpravidla uživatel, který jej vytvořil. Ten, společně se superuživatelem, pak může udělovat/odebírat práva3) spojená s tímto souborem popř. adresářem jiným uživatelům.
Klikněte pravým tlačítkem myši na soubor popř. adresář a z nabídky vyberte Vlastnosti. Požadovaná práva nastavíte v záložce Oprávnění.
Poznámka: Pro nastavení změny vlastnictví souborů / adresářů pomocí příkazové řádky přečtěte kapitolu chmod.
U každého souboru / adresáře je možné vedle výše zmiňovaných práv změnit osobu jejich vlastníka. Z logiky věci vyplývá, že tuto změnu může provést současný vlastník popř. superuživatel. Změnu „vlastnictví“ souboru / adresáře lze provést pomocí příkazu chown
.
chown jmeno_noveho_vlastnika umisteni_souboru_nebo_adresaru
Jak již bylo zmíněno v předchozích kapitolách, některé úkony (např. instalaci novým aplikací, modifikaci skriptů) je třeba provádět s oprávněním tzv. superuživatele. Práva superuživatele jsou „nedělitelná“ - to znamená, že osoba, která vládne heslem superuživatelem, vládne celým systémem. Tento „bezpečnostní“ problém se dá vyřešit pomocí příkazu sudo
.
sudo
přijímá jako svůj argument příkaz, který se následně spustí s právy superuživatele. Před samotným vykonáním tohoto příkazu sudo
kontroluje soubor /etc/sudousers
, který obsahuje seznam lidí, kteří mohou sudo
používat, a seznam příkazů, které mohou tito lidé používat.
chmod 640 /etc/sudoers gedit /etc/sudoers
V otevřeném souboru nalezněte řádky
# User privilege specification root ALL=(ALL) ALL
a za tyto řádky přidejte řádek s Vaším uživatelským jménem.
your_user_name ALL=(ALL) NOPASSWD: ALL
Sekce NOPASSWD:
je nepovinná. Jestliže však pracuje v prostředí, o kterém se domníváte, že s sebou může přinášet určitá bezpečnostní rizika, neopoužívejte tuto volbu. Jednoduše odstraňte tuto část z příslušné řádky. Jestliže tuto sekci nepoužijite, budete v případě, že spustíte příkaz pomocí sudo
, dotázáni na Vaše heslo a nikoliv heslo superuživatele.
Nastavte původní přístupová práva souboru /etc/sudoers
.
chmod 0440 /etc/sudoers
Příkazy pak lze spouštět pomocí
sudo prikaz_povoleny_v_sudoers
Poznámka: Soubor /etc/sudoers
obsahuje řadu užitečných příkladů nastavení jednotlivých příkazů.
Superuživatel je „nejmocnějším“ uživatelem systému Linux. Má právo přistupovat, smazat nebo změnit libovolné soubory či adresáře v systému a může také spustit nebo ukončit libovolný proces4).
Pomocí následujícího příkazu lze změnit/nastavit heslo superuživatele.
passwd root
Pomocí následujícího příkazu lze zakázat používání účtu superuživatele. Pravděpodobně není dobrý nápad použít tento příkaz, pokud opravdu nevíte, co děláte.
passwd -l root
/sbin/bash
. Pokud opravdu nevíte, co děláte, toto nastavení neměňte.