* Uživatelé

• Má nějaký název (např. teď jste přihlášeni za uživatele „skoleni“)
• Může mít i delší jméno nebo popis (gecos)
• Má domovský adresář
• Uživatelů ja na každém systému několik

* Skupiny

• Skupina má název
• Každý uživatel je součástí alespoň jedné skupiny
• Může být (a zpravidla bývá) součástí skupin více

* Identifikátory

• Uživatelé mají UID
• Skupny mají GID
• Uživatelé jsou tudíž asociováni se seznamem GID
• Názvy jsou pro jednodušší použití a identifikaci (syntactic sugar), ale hlavní je ID

* Jak je to uložené v systému

• Vypsat /etc/passwd a /etc/group
• Jsou tam vsechny veci o kterych jsme se bavili (uid, gid, home, atd.)
• Všimli jste si něčeho zajímavého?

* Zajímavosti s vysvétlením (strucnym)

• root - administrátor
  • nejen názvem, ale má speciální práva
  • UID 0
• Uzivatel „skoleni“ ma UID 1000
• Spousta uzivatelu s UID <1000 (systemovi)

* Příkazy

• Soubory které jsme si vypsali, tak se zásadné needitují ručně (stačí malá chyba a už se nepřihlásíte)
• id, id <username>, id <uid> (v prikladech zkusit roota)
• useradd (nefunguje, vypise to chybu)
• prepnout na roota (rozdil mezi `su` a `su -`)
• useradd
• passwd (nastavit mu nejake heslo)
• otevrit novou zalozku v teminalu a tam se prepnout (su -) na noveho uzivatele
• id
• passwd za uzivatele
• zpet v prvni zalozce (za roota)
• groupadd
• usermod (pridat grupu uzivateli, bacha na rozdil mezi `-G` a `-a -G`)
• v druhe zalozce (za noveho uzivatele)
• id (neni v nove grupe, vysvetlit, ze se to aplikuje az po prihlaseni)
• Jak zrušit uzivatele
  • userdel - používat opatrně, nesmaže všechno co uživatel vlastnil
  • raději e.g. `chage -E 0` - expirovat ho, pockat nejakou dobu a pak ho smazat pomocit userdel (s parametry pro smazani domovskeho adresare) a pomoci `find` najit vse co vlastnil a smazat (aspon zminit, ze je to dulezite pro konzistenci systemu)
• Pravidla pro uzivatele (politiky)
  • Soubor /etc/login.defs
  • Minimalni/maximalni cas platnosti hesla, atd.
  • Lze pro konkretniho uzivatele menit pomoci chage

* Práva

• Znovu si vypíšeme soubory /etc/{passwd,group}
• Nikde není uložené heslo
• Vypíšeme /etc/shadow
• Abysme vytvořili uživatele, tak jsme se museli přepnout na roota, on je totiž vlastníkem těch souborů
• ls -l /etc/{passwd,group,shadow}
• „root root“ je vlastník uživatel a vlastník skupina
• co je ten řetězec na začátku řádku (např. rw-r–r–)
  • vysvetlit zakladni prava (rwx), zatim vynechat rozdily mezi soubory a adresari
  • tady bude v prezentaci kratky kahoot, ktery navede na to, ze si muzeme zmenit heslo, ale pritom nemame pravo zapisovat do toho souboru kde je ulozene
  • vysvetlit setuid, setgid, sticky bit
  • vysvetlit rozdily mezi adresari a soubory (tohle bude muset byt nejspis spojene s predchozim bodem, samostatne to asi nebude davat smysl)
• Priklady prav na adresarich
  • /tmp (sticky bit na adresari)
  • /home (chybi r i x pro others)
    • mozna rict, ze kdyz uzivatel A rekne uzivateli B aby si od nej precetl neco z /home/A/soubor.txt, tak pak na /home/A staci aby B mel x a na ten soubor.txt staci aby mel r
• ACL
  • existuji nejake ACL
  • {get,set}facl
  • priklady:
    • povoleni vice ruznych skupin
    • povoleni ruznych lidi co nejsou v nejake skupine
    • dynamicnost (muzu pridelavat/oddelavat uzivatele co maji nekam pristup aniz bych jim musel vytvaret skupiny, pridelavat je tam, oddelavat a vsechny uzivatele odhlasovat/prihlasovat
    • konkretni priklady:
      • neco kde consolekit pridava prava lokalne prihlasenemu uzivateli (napada me jen /dev/video* zatim)

• uživatelé v Linuxu (root, systémoví uživatelé, normální uživatelé)
• účet superuživatele (root) - jeho vlastnosti, práva a povinnosti
  • skupina wheel
  • /etc/sudoers
• soubory /etc/passwd, /etc/shadow a /etc/login.defs
  • UID, GID, EUID, EGID, SETUID (prijit na to pres to jak passwd funguje)
• vytváření uživatelů (CLI)
• mazání uživatelů (CLI)
• nastavování vlastností uživatelům
  • expirace hesel
  • expirace účtů (chage/usermod)
  • domovský adresář, důsledky absence domovského adresáře
  • přihlašovací shell, /sbin/nologin
  • co si mohou nastavit sami uživatelé, co může jen root
• alternativní způsoby správy uživatelů (GUI, Cockpit, …)
• Skupiny
  • funkce a vlastnosti
  • vytváření a mazání

• Unixová práva v systému
  • co jsou to práva a proč jsou důležitá?
  • co to je vlastnictví?
  • práva vlastníka, skupiny a ostatních
  • čtení, zápis, spouštění
  • setuid bit, sticky bit
• Nastavování práv
  • nastavení vlastnictví (chown)
  • nastavení práv („chmod 755“ i „chmod u+rwx“)
  • nastavení setuid („chmod 4755“ i „chmod u+s“)
  • nastavení setgid („chmod 2755“ i „chmod g+s“, bacha na rozdil „0755“ a „00755“)
  • sticky bit („chmod 1777 dir“ a „chmod +t dir“ )
  • Tabulečku na efekty
  • Práva na

    /tmp

    a proč tak fungují

• Rozšířená práva (ACL)
  • Jak fungují rozšířená práva? Jak se doplňují se standardními právy?
  • Zobrazení ACL práv (getfacl)
  • Nastavení ACL práv (setfacl)
  • Zmínit pristup víc skupin

Existencia a potreba užívateľských účtov je jedným z fundamentálnych predpokladov systémov odvodených z UNIXu. Užívateľské účty tvoria spolu so skupinami bázu pre kontrolu riadenia prístupu k zdrojom (angl. resource access control).

Užívateľom je jednoducho každý, kto s daným systémom pracuje. Okrem bežných (tzv. human) užívateľov rozlišujeme ešte užívateľov systémových a špeciálny administrátorský (angl. superuser) účet root.

S každým užívateľským účtom je asociovaný nejaký názov, napr. skoleni:

$ whoami
skoleni

a jedinečný číselný identifikátor nazývaný UID. V prípade bežných užívateľov to môže byť taktiež domovský adresár (home) alebo nejaké ďalšie doplňujúce informácie o účte, ktoré súhrnne nazývame GECOS a ktoré vieme získať v zrozumiteľnej podobe programom finger (nie je súčasťou základnej inštalácie).

Na rozdiel od názvu účtu, ktorý slúži pre jednoduchosť zapamätania si, UID nám pomáha rozlíšiť jednotlivé druhy účtov. Všeobecne platí, že UID systémových užívateľov sa pohybuje v rozmedzí 1-999 a bežných potom od 1000 vyššie.

Systémoví užívatelia sú takí uživatelia, ktorí majú typicky jeden dedikovaný účel, pre ktorý existujú, napr. beh webserveru a jeho právomoci (viac o systémových právach v kapitole !!!<interny_odkaz_na>Práva!!!) budú obmedzené na užívateľa apache. Ako neskôr uvidíme, nie je spravidla taktiež možné sa za nich prihlásiť.

Administrátorský účet root má vždy UID 0 a má plný prístup k celému systému. Z pohľadu bezpečnosti a ochrany systému platí zásada, že tento účet by mal byť používaný v najnižšej možnej miere, práve kvôli spomínanej skutočnosti.

Hoci je možné sa prepnúť na ľubovoľného užívateľa (s patričnou dávkou autentizácie a s výnimkou systémových užívateľov), najčastejšie to bude účet root pre potrebu administratívnych úkonov (správa služieb, správa užívateľov, aktualízacie, atď.). K tomu existuje príkaz su:

$ su -
Password:
[root@localhost]#

prípadne za iného užívateľa:

$ su - skoleni
Password:
[skoleni@localhost ~]$

Zaujímavosť: Všimnime použitie voliteľného parametru -. Jeho použitie bolo zámerné pre demonštráciu dobrých administrátorských návykov, pretože tento parameter zaručí nové čisté prostredie shell (angl. login shell), a teda eliminujeme akékoľvek potenciálne riziká v podobe vedľajších účinkov spôsobených zachovaním nastavení pôvodného prostredia. Bližšie uvidíme efekt tohto parametru pri rozširovaní skupín o nových uživateľov.

Každý užívateľský účet je v systéme nejakým spôsobom uložený. Filozofiou UNIXových systémov je fakt, že „všetko je súbor“, preto aj definície účtov nájdeme v špeciálnom súbore /etc/passwd. Po nahliadnutí do tohto súboru

$ cat /etc/passwd | tail -n 2
skoleni:x:1000:1000:Skoleni Linuxu,Red Hat,0123456789,,:/home/skoleni:/bin/bash

uvidíme na prvý pohľad mätúci formát definujúci užívateľský účet, pozrime sa teda bližšie na jednotlivé položky oddelených znakom :

názov účtu
    |  heslo je uložené v /etc/shadow
    |   |  UID
    |   |   |  GID
    |   |   |   |    |------------GECOS----------------|
    |   |   |   |                   |                   domovský adresár
    |   |   |   |                   |                           |   login shell
    v   v   v   v                   v                           v         v
skoleni:x:1000:1000:Skoleni Linuxu,Red Hat,0123456789,,:/home/skoleni:/bin/bash

Zaujímavou je rozhodne druhá položka x, ktorá nám vraví, že pre heslo existuje záznam v súbore /etc/shadow ku ktorému má prístup iba užívateľ root. Existencia x v /etc/passwd však neznamená, že nejaké heslo skutočne existuje. Na demonštráciu poslúži náš užívateľ skoleni a systémový užívateľ apache:

# cat /etc/shadow | egrep "apache|skoleni"
apache:!!:17804::::::
skoleni:$6$cloJ.lu4v49Cz7g2$dfLjUkj7yzqQWuUuvxoXmEoMzxkf3LoctZN0EHa/tcJ3BNCY.hqM7XtucDUM.vikvQ.Pv3pDgw.ADEkbA2Xyo0::0:99999:7:::

Ako vidíme, heslo užívateľa skoleni je uložené v podobe hash, naopak u užívateľa apache vidíme namiesto hesla !!, to znamená, že za daného užívateľa nie je možné sa prihlásiť heslom (v našom prípade vôbec, avšak v iných prípadoch by mohlo byť možné použiť alternatívne metódy prihlásenia).

Za zmienku stojí aj posledná položka, ktorá určuje tzv. login shell, ktorý sme si už stručne popísali. Login shell je úplne prvá služba, ktorá sa spustí pri prihlásení užívateľa, vytvorí čisté prostredie a nakonfiguruje ho podľa požiadavkov, ktoré sú nad rámec tohto kurzu. Čo je ale dôležité si pamätať, že existuje špeciálna hodnota pre položku login shell nazývaná /sbin/nologin, ktorá zamietne akýkoľvek pokus o prihlásenie za daného užívateľa. Spravidla to nájdeme u systémových užívateľov. Na ukážku sa pozrime na záznam užívateľa apache v /etc/passwd:

$ cat /etc/passwd | grep apache
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin

• passwd (5)
• pwconv (5)
• shadow (8)

Skupiny slúžia na združovanie užívateľských účtov podľa ich právomocí (napr. učitelia vs študenti, učitelia môžu pridávať a modifikovať študijné materiály, študenti ich naopak môžu iba čítať). Rovnako ako v prípade užívateľov, každá skupina má svoje meno a unikátny identifikátor zvaný GID. Každý užívateľ je členom aspoň jednej skupiny (tú potom nazývame primárnou) a pokiaľ neuvedieme inak, vytvorí sa v tomto prípade automaticky nová skupina s identickým názvom. Pre súhrnné informácie o spomínaných identifikátoroch, ako aj ohľadom členstva užívateľov v skupinách použijeme príkaz id nad aktuálnym užívateľom:

$ id
uid=1000(skoleni) gid=1000(skoleni) groups=1000(skoleni)

prípadne nad iným uživateľom:

$ id root
uid=0(root) gid=0(root) groups=0(root)

Ako si môžeme všimnúť, užívateľ skoleni je aktuálne členom iba jednej skupiny skoleni, ktorá je zároveň jeho primárnou skupinou (druhý stĺpec - gid). Taktiež si všimnime, že v prípade, že ak parametre užívateľa nemodifikujeme, GID a UID bude rovnaké.

Podobne ako pri užívateľoch, aj skupiny sú v systéme uložené v špeciálnom súbore /etc/group:

$ cat /etc/group | tail -n 1
skoleni:x:1000:

Význam jednotlivých položiek je analogický k /etc/passwd:

názov skupiny
    |  heslo je uložené v /etc/gshadow v podobe hash
    |   |  GID
    |   |   | zoznam členov skupiny
    v   v   v  v
skoleni:x:1000:

Napriek tomu, že reprezentácia skupín v systéme je temer identická s užívateľmi, v praxi skupinové heslá majú použitie len v ojedinelých prípadoch, navyše značné množstvo systémových administrátorov túto funkcionalitu ani nepozná.

• group (5)
• grpconv (8)
• gpasswd (8)

V predchádzajúcich sekciách sme získali základné povedomie o užívateľoch a skupinách. Nadobudnuté poznatky teraz využijeme v praktických ukážkach správy užívateľov.

Najzákladnejším úkonom správy užívateľov je zmena hesla užívateľa. Každý užívateľ má právo zmeniť svoje vlastné heslo (na zmenu hesla iných užívateľov je pochopiteľne potrebný root). Na zmenu použijeme príkaz passwd:

$ passwd
Changing password for user skoleni.
Current password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

Hoci passwd ponúka pre roota ďalšie parametre, tieto sú spoločné pre viacero nástrojov, z ktorých sa my budeme venovať tým v praxi najpoužívanejším.

Existuje mnoho nadstavieb shell prinášajúcich rôzne vychytávky a užívatelia majú preto rôzne preferencie a preto majú možnosť si svoj login shell sami zmeniť. Na zmenu sa používa príkaz chsh, ktorý vie taktiež vypísať zoznam dostupných shell-ov. Zmeňme login shell pre užívateľa skoleni na /bin/sh

$ chsh -s /bin/sh skoleni

Je asi zrejmé, že k vytvoreniu nového užívateľa bude potrebné byť prihlásený ako root, následne použijeme príkaz useradd. Stručný prehľad parametrov pre príkaz useradd použijeme parameter –help:

# useradd --help

Ako praktickú ukážku vytvorme užívateľa ucitel s UID 5000 a primárnou skupinou skoleni.

# useradd -u 5000 -g skoleni
# id ucitel
uid=5000(ucitel) gid=1000(skoleni) groups=1000(skoleni)

Všimnime si, že sme pri vytváraní účtov nešpecifikovali heslo. Ak nazrieme do /etc/shadow (ako root), uvidíme niečo podobné:

# cat /etc/shadow | tail -n 1
ucitel:!!:17806:0:99999:7:::

V sekcii o užívateľoch sme si povedali, že !! namiesto hesla znamená, že prihlasovanie heslom je pre daný účet zakázané, v našom prípade jednoducho preto, že sme žiadne nenastavili. Nastavme teda novému užívateľovi heslo ucitel (opäť ako root):

# passwd ucitel

Následne sa už môžeme úspešne za daného užívateľa prihlásiť do systému za použitia hesla.

Veľmi častým úkonom je pridanie užívateľa do ďalších sekundárnych skupín, prípadne zmenu primárnej skupiny, expirácia hesiel a expirácia celých účtov a ich následné mazanie. Na nasledujúce úkony budeme využívať nástroje usermod a chage a na všetko bude potrebný root.

Predtým než sa pustíme do samotných nastavení, vytvorme si testovacieho užívateľa test s heslom test:

# useradd test
# passwd test

V novej záložke terminálu (alebo v novom okne) a prihlásme sa za užívateľa test a zistime informácie o jeho identite:

$ id test
uid=1001(test) gid=1001(test) groups=1001(test)

Prepneme späť na roota a pridajme užívateľa test do skupiny skoleni za pomoci príkazu usermod:

# usermod -a -G skoleni test

Dôležitý je parameter -a, ktorý hovorí, že zoznam skupín daných -G má byť pridaný do už existujúceho zoznamu skupín, ktorých je test členom.

Zaujímavosť: Ak teraz prepneme naspäť na užívateľa test a spustíme id, tak skoleni v zozname skupin neuvidime:

$ id test
uid=1001(test) gid=1001(test) groups=1001(test)

Je tomu tak preto, že tieto zmeny vyžadujú nové prihlásenie (nový login shell). Zmenu primárnej skupiny na skoleni vykonáme nasledovne:

# usermod -g skoleni test
# id test
uid=1001(test) gid=1000(skoleni) groups=1000(skoleni),1001(test)

Existujú bezpečnostné politiky, ktoré vyžadujú pravidelnú zmenu hesla inak dôjde k uzamknutiu a následnej expirácii užívateľského účtu, účet síce nezanikne, ale o jeho opätovnú aktiváciu bude užívateľ musieť požiadať administrátora. Správu hesiel a platnosť účtov riešime za pomoci príkazu chage a taktiež z pochopiteľných dôvodov potrebujeme práva root. Pred praktickými ukážkami sa však najprv pozrime na možnosti tohto príkazu:

# chage -h
Usage: chage [options] LOGIN

Options:
  -d, --lastday LAST_DAY        set date of last password change to LAST_DAY
  -E, --expiredate EXPIRE_DATE  set account expiration date to EXPIRE_DATE
  -h, --help                    display this help message and exit
  -I, --inactive INACTIVE       set password inactive after expiration
                                to INACTIVE
  -l, --list                    show account aging information
  -m, --mindays MIN_DAYS        set minimum number of days before password
                                change to MIN_DAYS
  -M, --maxdays MAX_DAYS        set maximum number of days before password
                                change to MAX_DAYS
  -R, --root CHROOT_DIR         directory to chroot into
  -W, --warndays WARN_DAYS      set expiration warning days to WARN_DAYS

Začnime povinnou zmenou hesla po prvom prihlásení. Použijeme k tomu užívateľa ucitel, ktorému sme nastavili predvolené heslo ucitel a použijeme parameter -d

# chage -d 0 ucitel

Učiteľ bude následne po prvom prihlásení vyzvaný na zmenu hesla:

$ su - ucitel
Password:
You are required to change your password immediately (administrator enforced)
Current password:
New password:

Ďalej by sme chceli, aby si ho ucitel z bezpečnostných príčin pravidelne menil, takže musíme nastaviť maximálny počet dní od poslednej zmeny hesla (v našom prípade raz za mesiac):

# chage -M 30 ucitel

Ďalším častým úkonom, ktorý si ukážeme je expirácia účtov. Pri voľbe dátumu expirácie nám systém dáva hodne veľkú flexibilitu v tom ako dátum špecifikovať, ukážeme si preto aj jednoduchší, ale aj komplexnejší prístup. Expirácia ku konkrétnemu dátumu 13.1.2019 by vyzerala nasledovne:

# chage -E 01/13/2019 ucitel

Na expiráciu napr. o 42 dní od aktuálneho dátumu by sme už museli použiť kombináciu s príkazom date:

# chage -E $(date +42days) ucitel

Súhrn našich dosavadných zmien si môžeme pozrieť s parametrom -l:

# chage -l ucitel
Last password change  : password must be changed
Password expires      : password must be changed
Password inactive     : password must be changed
Account expires       : Nov 14, 2018
Minimum number of days between password change      : 0
Maximum number of days between password change      : 30
Number of days of warning before password expires   : 7 

Keďže pri expirácii môžeme špecifikovať aj počet dní (od epochy 1.1.1970), pre okamžitú expiráciu jednoducho použijeme 0:

# chage -E 0 ucitel

Zaujímavosť: Hoci je možné účet uzamknúť aj za pomoci passwd -l alebo usermod -L, tieto metódy majú efekt IBA na autentizáciu heslom do systému, pričom dovoľujú alternatívne metódy prihlásenia, napr. použitím SSH prístupu a autentizácie verejným kľúčom. Preto sme si ukázali príkaz chage, ktorý nám pri zaručí, že účet bude skutočne nedostupný.

Hoci na sa na prvý pohľad môže zdať, že zmazať účet je triviálnou operáciou, nie je tomu celkom tak a treba k tomu pristupovať s maximálnou rozvahou, inak hrozí, že zanecháme systém v nekonzistentnom stave, napr. pokus o zmazanie účtu spolu s domovským adresárom môže ovplyvniť aj iných užívateľov, ktorí mohli domovský adresár zdieľať! Ďalším problémom mazania účtov sú súbory, ktoré po danom užívateľovi zostali a ktoré je nutné dodatočne dohľadať a zmazať, nakoľko userdel zmaže iba domovský adresár, užívateľský mailový inbox a skupinu s rovnomenným názvom. Preto dopredu zvážme, či nie je pre nás výhodnejšie účet expirovať. Ak sme sa predsa rozhodli účet a všetko s ním súvisiace zmazať, nezabudnime najprv účet expirovať, zabezpečiť, že daný užívateľ je odhlásený a že domovský adresár, skupina a mailový inbox nie sú zdieľané s inými užívateľmi. Následne užívateľa zmažeme:

# userdel -r <uzivatel>

• useradd (1)
• usermod (1)
• chage (1)
• chsh (1)
• userdel (1)

V tejto sekcii si ukážeme ako pridať do systému novú skupinu a ako si za bežného užívateľa zmeniť primárnu skupinu. Ostatné operácie nad skupinami sú nad rámec tohto školenia, pre záujemcov sú nižšie uvedené manuálové stránky.

Novú skupinu vytvoríme príkazom groupadd nasledovne:

# groupadd bar

Zmenu skupiny sme si už ukázali v sekcii o užívateľoch. Na trvalú zmenu sme potrebovali práva administrátora. Tu si ukážeme ako si užívateľ dokáže primárnu skupinu dočasne zmeniť sám, pokiaľ už je danej skupiny členom.

Príklad: Vytvorme užívateľa foo a pridajme mu sekundárnu skupinu bar:

# useradd foo -u 10000 -G bar
# passwd fo na zopakovanio
# id foo
uid=10000(foo) gid=10000(foo) groups=10000(foo),1002(bar)

Za užívateľa foo si teraz v aktuálnom prostredí zmeníme primárnu skupinu na bar:

$ newgrp bar
$ id
uid=10000(foo) gid=1002(bar) groups=1002(bar),10000(foo)

Ak by foo na začiatku nebol členom skupiny bar, operácia by vyžadovala heslo do skupiny, pokiaľ žiadne neexistuje, sú potrebné práva administrátora!

1. vytvorte skupinu ucitele s GID 5001 a pridajte do nej užívateľa ucitel
2. vytvorte skupiny matematika a fyzika
3. vytvorte užívateľov honza, pepa, petr a nastavte im ako primárnu skupinu studenti, petr patrí aj do skupiny matematika, domovské adresáre studentov nájdeme pod /home/studenti
4. každý nový študent má predvolené heslo student, ktoré si musí pri prvom prihlásení zmeniť
5. nové nariadenie školy taktiež prikazuje z bezpečnostných dôvodov meniť študentom heslo každý mesiac
6. honza a pepa patria do skupiny fyzika
7. honza sa rozhodol prestúpiť z matematického do fyzikálneho krúžku, vykonajte príslušnú zmenu v skupinách
8. pepa je krutoprísny a rád by si nastavil login shell na /sbin/nologin
9. petr prestúpil na inú školu, preto je treba jeho účet bezpečne invalidovať, a následne zmazať, vykonajte všetky potrebné kroky

Blblbalbalba

• proces
  • co to je
  • jak se identifikuji (PID)
  • dedicnost (PPID, fork/exec)
  • posilani signalu
  • top
  • /proc/PID
• init proces
  • co je a na co to je
  • Typy, historie (velice strucne)
  • systemd
• sluzby
  • co je to
  • rozdily oproti jinym procesum (pidfile, reakce na signaly - reload, reexec)
  • jak se to ovlada (systemctl)
  • start/stop
  • enable/disable (–now)
  • list-units
  • default
  • isolate
  • journalctl
  • strucny priklad vytvorenia unit-file