Linux - käyttöoikeudet Seuraavaksi läpikäydään Linuxin käyttöoikeushallintaa. Lähteinä on käytetty seuraavia: http://fi.wikibooks.org/wiki/ubuntu_tutuksi Kuutti, Rantala: Linux http://doc.ubuntu.com/ubuntu/serverguide/c/user-management.html
Ubuntu - pääkäyttäjä Jokaisessa Linux-koneessa, siis myös Ubuntussa, on yksi käyttäjä, jolla on oikeudet tehdä järjestelmässä aivan mitä vain. Tämän käyttäjän tunnus on root. Ubuntussa root-käyttäjältä on kuitenkin poistettu kirjautumisoikeus turvallisuussyistä. Sen sijaan järjestelmää hallitaan käyttäen sudo-komentoa (lyhenne sanoista superuser do).
Ubuntu - pääkäyttäjä Ryhmään admin kuuluvat käyttäjät voivat käyttää sudo-komentoa. Sudoa seuraava komento suoritetaan pääkäyttäjänä. Ennen komennon suorittamista järjestelmä kysyy ensimmäisellä kerralla salasanaa (käyttäjän salasana, ei rootkäyttäjän).
Ubuntu - pääkäyttäjä Graafisessa käyttöliittymässä edellinen näkyy siten, että avattaessa vaikkapa Synapticpakettienhallintaohjelmaa kysyy järjestelmä salasanaa. Tämä on vastine sudolle. Graafisia ohjelmia voi ajaa pääkäyttäjän oikeuksin komennolla gksudo. Pääkäyttäjäksi pääsee kirjautumaan komentorivillä antamalla komennon sudo su. (voidaan myös estää vaikka sudo olisi sallittu)
Käyttäjä Kun samaa työasemaa käyttää useampi kuin yksi käyttäjä, kannattaa jokaiselle käyttäjälle luoda oma tunnus. Näin toimitaan myös silloin kun käyttäjätiedot sijoitetaan keskitetysti palvelimelle.
Ubuntu käyttäjän lisääminen Ubuntussa käyttäjiä lisätään ja poistetaan graafisesti omalla ohjelmalla, joka löytyy valikon kohdasta System Settings -> System -> Users and Groups.
Ubuntu käyttäjän lisääminen Käyttäjää lisätessä syötetään seuraavat tiedot: Käyttäjän tunnus (pienellä kirjoitettuna) Käyttäjän koko nimi. Salasana (järjestelmä osaa luoda myös itse) Komentorivillä käyttäjä luodaan komennolla useradd.
Ubuntu käyttäjän lisääminen
Uuden käyttäjän tiedostot Käyttäjälle luodaan luonnin yhteydessä kotihakemisto. Kotihakemisto on yleensä käyttäjätunnuksen nimen mukainen hakemisto /home-hakemistossa. Kotihakemisto on tarkoitettu kaikille henkilökohtaisille konfiguraatio- ja työtiedostoille.
Uuden käyttäjän tiedostot Kotihakemistoon kopioidaan pohjaksi hakemiston /etc/skel (skeleton) mukainen sisältö. Uuden käyttäjän sähköpostilaatikko luodaan hakemistoon /var/spool/mail käyttäjätunnuksen nimen mukaiseksi.
Käyttäjäryhmät Jokainen käyttäjä kuuluu johonkin ryhmään. Käyttäjätunnusta luonnin yhteydessä luodaan uusi ryhmä, joka on saman niminen kuin luotava käyttäjätunnuskin. Tämä ryhmä on käyttäjän ensisijainen ryhmä, eli kaikki tiedostot jotka käyttäjä luo, kuuluvat myös automaattisesti tälle ryhmälle. Lisäksi käyttäjä voi kuulua useampaankin toissijaiseen ryhmään, jotka antavat kyseiselle käyttäjälle lisäoikeuksia järjestelmässä.
Käyttäjäryhmät Kannattaa muistaa, että on turhaa antaa käyttäjille liikaa oikeuksia. Esimerkiksi oikeus järjestelmänhallintaan (Admin) kannattaa varata vain sellaisille henkilöille, joilla on siihen oikeasti tarvetta ja jotka tietävät mitä ovat tekemässä. Käyttäjällä on oltava oikeus järjestelmänhallintaan voidakseen esimerkiksi asentaa tai poistaa ohjelmia. Käyttäjäryhmistä lisää myöhemmin.
Tehtäviä 1)Tutki graafisen käyttäjienhallinnan kautta minkä nimisiä paikallisia käyttäjätunnuksia koneellasi on? 2)Tutki mitä on hakemistossa /etc/skel? 3)Luo järjestelmään uusi käyttäjä nimeltä testi ja liitä se admin-ryhmään. Käyttäjää tarvitaan myöhemmissä harjoituksissa. Huom! AD:n kytketyllä koneella tulee luoda nimenomaan paikallinen käyttäjä. Oletusarvoisesti kaikki käyttäjät joiden id on 2000 tai suurempi käsitellään kerberos-modulilla. Raja tulee muuttaa esim. arvoon 3000. sudo gedit /etc/pam.d/common-password 4)Mitä luomasi käyttäjän kotihakemistossa sijaitsee luonnin jälkeen?
Tunnukset ja tiedostot Käyttäjien ja ryhmien tunnistamiseen käytetään käyttäjä- ja ryhmätunnuksia. UID (User ID) GID (Group ID) Järjestelmän hallinnollisten käyttäjien UID on on yleensä < 500, luonnollisten käyttäjien UID > 500 tai > 1000.
Tunnukset ja tiedostot Tiedot käyttäjistä on tallennettu /etc/passwdtiedostoon. Salasanat tallennetaan nykyisin yleensä /etc/shadow-tiedostoon (salattuina). Tiedot ryhmistä ja niiden jäsenistä ovat tiedostossa /etc/group.
Tehtäviä 1)Tutki mikä on edellä luomasi testi-käyttäjän UID, entä GID? Mistä löysit kyseisen tiedon? 2)Tutki miltä luomasi testi-käyttäjän salasana näyttää salattuna. 3)Tutki kuinka monta käyttäjäryhmää järjestelmään on luotu.
Käyttäjän poistaminen Käyttäjä saadaan poistettua samalla ohjelmalla jolla se luotiin valitsemalla Delete. Komentorivillä käyttäjä poistetaan komennolla userdel. Jos komennolla halutaan poistaa myös käyttäjän kotihakemisto sisältöineen, täytyy antaa vipu -r: userdel -r testi
Käyttäjän poistaminen Jos käyttäjällä on kotihakemiston lisäksi omistuksessa muualla järjestelmässä sijaitsevia tiedostoja, tulee nämä poistaa käsin. Tietosuojasyistä tulee välttää kirjoitusoikeuksien jakamista käyttäjille muualle kuin kotihakemistoon ja /tmp-hakemistoon.
Käyttäjäryhmien hallinta Ubuntussa käyttäjäryhmiä päästään hallinnoimaan käyttäjä-työkalun valinnasta Manage Groups. Tällöin voidaan luoda uusia ryhmiä, poistaa ryhmiä ja tarkastella ryhmän ominaisuuksia.
Käyttäjäryhmien hallinta
Käyttäjäryhmien hallinta Komentorivillä käyttäjäryhmä luodaan komennolla groupadd ja poistetaan komennolla groupdel. Ryhmien käyttäjiä hallitaan usermod-komennolla: Vivulla -g määritellään käyttäjän primääriryhmä Vivulla -G määritellään muut ryhmät
Käyttäjäryhmien hallinta Esimerkki. usermod -g jukka -G audio, video jukka Usermod poistaa käyttäjän kaikista ryhmistä joita ei mainita vivuissa. Jos halutaan lisätä aikaisempi lisäksi uusi ryhmä tulee käyttää lisäksi vipua -a.
Tiedostojen ja hakemistojen oikeudet Tiedostojen ja hakemistojen oikeudet nähdään esimerkiksi komennolla ls -l: jukka@norsu:~$ ls -l total 276 -rw-r--r-- 1 jukka jukka 2705 2008-03-25 12:18 ajokorttikurssi drwxr-xr-x 11 jukka jukka 4096 2008-05-05 10:00 Desktop drwxr-xr-x 2 jukka jukka 4096 2008-04-30 09:31 Documents drwxr-xr-x 2 jukka jukka 4096 2008-04-30 10:05 e-safekey lrwxrwxrwx 1 jukka jukka 26 2007-12-02 18:53 Examples -> /usr/share/example-content drwxr-xr-x 5 jukka jukka 4096 2008-03-04 14:34 gtk-gnutella-downloads -rw-r--r-- 1 jukka jukka 2 2008-04-11 15:26 hakemisto.txt drwxr-xr-x 2 jukka jukka 4096 2007-12-02 17:00 Music -rw-r--r-- 1 jukka jukka 217088 2008-02-11 15:56 nautilus-debug-log.txt drwxr-xr-x 2 jukka jukka 4096 2007-12-02 17:00 Pictures drwxr-xr-x 2 jukka jukka 4096 2007-12-02 17:00 Public drwxr-xr-x 2 jukka jukka 4096 2007-12-02 17:00 Template jukka@norsu:~$
Tiedostojen ja hakemistojen oikeudet Tiedoston ja hakemiston omistaja vaihdetaan komennolla chown. chown jukka /home/projektihakemisto Vivulla -R komento saadaan koskemaan myös kaikkia alihakemistoja ja tiedostoja.
Tiedostojen ja hakemistojen oikeudet Tiedoston ja hakemiston ryhmä vaihdetaan komennolla chgrp. chgrp projektiryhma /home/projektihakemisto Vivulla -R komento saadaan koskemaan myös kaikkia alihakemistoja ja tiedostoja.
Tiedostojen ja hakemistojen oikeudet Tiedoston ja hakemiston käyttöoikeudet vaihdetaan komennolla chmod. chmod g+rwx /home/projektihakemisto chmod g+s /home/projektihakemisto (SGID-käyttöoikeus) Vivulla -R komento saadaan koskemaan myös kaikkia alihakemistoja ja tiedostoja.
Tehtäviä 1) Muuta luomasi testi-käyttäjän kotihakemiston omistajaryhmäksi ryhmä opiskelija. 2) Anna ryhmälle testi-käyttäjän kotihakemistoon luku-, kirjoitus- ja suoritusoikeudet. 3)Luo ryhmä nimeltä testaajat. 4)Liitä testi-käyttäjä testaajat-ryhmän jäseneksi (siten että myös aiemmat ryhmäjäsenyydet säilyvät). 5) Poista testi-käyttäjä kotihakemistoineen.