Администрирование почтового сервера
Помимо функции укрывания паролей от чужих глаз, файл shadow можно использовать и для других целей. В зависимости от применения тех или иных утилит ОС Linux, назначение остальных полей в файле shadow может меняться. Так, третье поле показывает количество дней, прошедших с 1 января 1970 года, до дня последнего изменения пароля. В четвертом поле всем пользователям, представленным в примере, задано значение 0. Это говорит о том, что все они могут изменять свои пароли самостоятельно без вмешательства администратора. Если в этом поле указать значение 1, то пользователи не смогут самостоятельно изменять свои пароли. В пятом поле указывается количество дней, которые пройдут с 1 января 1970 года, до дня, когда истекает срок действия пароля. Всем учетным записям, приведенным в примере, заданы наибольшие возможные значения этого поля.
В шестом поле указано количество дней до истечения срока действия пароля, за которые система должна выдать предупреждение о приближающемся окончании срока действия пароля. В седьмом поле указывается количество дней с момента истечения срока действия пароля до того момента, когда система прекратит допуск пользователя с недействительным паролем. Восьмое поле используется для паролей, срок действия которых истек, и содержит количество дней, прошедших с 1 января 1970 года, до дня, когда пароль был признан недействительным.
Однако при использовании файла shadow имеется и обратная сторона медали: любая программа, которая требует проверки идентификатора пользователя, должна получить возможность чтения пароля из этого файла. К таким программам относятся пакеты, реализующие функции серверов FTP, POP3 и IMAP. К счастью, в большинстве сетевого программного обеспечения уже реализованы эти возможности.
Пароли пользователей электронной почты
Администратор системы электронной почты может использовать файл теневых паролей для управления применением паролей среди пользователей почтовой системы. Необходимо помнить о том, что не все пользователи, работающие с электронной почтой, подключаются к почтовому серверу в интерактивном режиме, поэтому изменение паролей пользователей может оказаться более сложной задачей, чем вы думали.
Файл group
Еще один файл, важный с точки зрения администратора почтовой системы, — файл /etc/group. В нем указывается к каким группам принадлежат те или иные пользователи. Группирование пользователей позволяет задавать права доступа к определенным файлам не каждому пользователю отдельно, а группе пользователей, что намного удобней. Пример файла /etc/group представлен в листинге 14.3.
1 root::0:root 2 bin::1:root,bin,daemon 3 daemon::2:root,bin,daemon 4 sys::3:root,bin,adm 5 adm::4:root,adm,daemon 6 tty::5: 7 disk::6:root 8 lp::7:daemon,lp 9 mem::8: 10 kmem::9: 11 wheel::l0:root 12 mail::12:mail 13 news::13:news 14 uucp::14:uucp 15 man::5: 16 games::20: 17 gopher::30: 18 dip::49: 19 ftp::50: 20 nobody::99: 21 users::100: 22 postgres:x:101: 23 utmp:x:102: 24 lists:x:500: 25 floppy:x:19: 26 console:x:11 : 27 xfs:x:103: 28 pppusers:x:230: 29 popusers:x:231: 30 slipusers:x:232: 31 slocate:x:21: 32 rich::501: 33 dba:x:502: 34 oinstall:x:503:oracle 35 oracle:x:504: 36 pop:x:505:Листинг 14.3. Пример файла /etc/group
В листинге 14.3 представлен общий формат файла group для ОС Linux. В каждой строке описывается отдельная группа пользователей. Вся информация о группе находится в полях, разделенных двоеточиями. В первом поле содержится имя группы пользователей. Во втором поле содержится пароль для этой группы пользователей. Если это поле пустое, то для доступа к файлам, принадлежащим группе, пароль не требуется. Как видно из листинга 14.3, в приведенном файле group используются теневые пароли (определенные буквой x ). В третьем поле содержится идентификатор группы, который присваивается членам группы для организации доступа к файлам и каталогам. В четвертом поле указываются идентификаторы пользователей, принадлежащих к группе. Так, например, в строке 34 пользователь oracle принадлежит группе oinstall, но, кроме того, он имеет собственную группу с именем oracle. То есть один пользователь может быть членом нескольких групп.
Группы и пользователи электронной почты
При работе с почтовым сервером возможность объединения пользователей в группы практически не используется. Иногда безопаснее создавать каждому пользователю свою группу — это предотвратит случайное разрешение совместного доступа к файлам. Использование групп представляется целесообразным лишь для обеспечения совместного доступа к почтовым ящикам пользователям одного отдела или подразделения компании без предоставления им специальных прав доступа.
Утилиты для обслуживания учетных записей пользователей
Если в имеющейся у вас версии Linux не применяются теневые пароли, то добавление и удаление учетных записей можно осуществлять путем редактирования файла /etc/passwd. Однако мы настоятельно рекомендуем не делать этого. Ошибки, допущенные при редактировании этого файла, могут привести в негодность вашу систему. Лучше всего с этой целью использовать специальные утилиты для удаления и добавления учетных записей. Причем они, как правило, работают и в системах с теневыми паролями, и без таковых.
Наиболее часто вам придется сталкиваться с утилитой useradd. Эта утилита, как вы уже догадались, используется для добавления учетных записей в систему под управлением ОС Linux. Формат утилиты useradd следующий:
useradd [-c comment][-d home_dir] [-e expire_date][-f inactive_time] [-g initial_group][-G group[,...]] [-m [-k skeleton_dir] | -M][-s shell] [-u uid [-o]][-n][-r] login
В табл. 14.1 дается описание параметров, используемых с утилитой useradd.
| Параметр | Описание |
|---|---|
| -c | Добавление комментария в запись в файле passwd |
| -d | Задание рабочего каталога |
| -e | Дата истечения срока действия пароля |
| -f | Количество дней с момента истечения срока действия пароля до прекращения доступа по данному паролю |
| -g | Группа по умолчанию |
| -G | Список других групп, которым может принадлежать данный идентификатор пользователя |
| -m | Создание рабочего каталога пользователя, если он не был создан ранее |
| -k skeldir | Использование альтернативного каталога skel |
| -M | Рабочий каталог пользователя не создается, если он не был создан ранее |
| -n | В Red Hat Linux группа с тем же именем, к которой принадлежит пользователь, не может быть создана |
| -r | Создание системной учетной записи |
| -s | Определение оболочки для входа в систему |
| -u | Определение идентификатора пользователя |
В листинге 14.4 представлен пример создания новой учетной записи в ОС Linux с применением утилиты useradd.
1 [root@shadrach /root]# useradd -c "Riley M." riley 2 [root@shadrach /root]# cat /etc/passwd | grep riley 3 riley:x:504:506:Riley M.:/home/riley:/bin/bash 4 [root@shadrach /root]# cat /etc/group | grep riley 5 riley:x:506: 6 [root@snadracn /root]# ls -al /home/riley 7 total 21 8 drwx------ 5 riley riley 1024 Nov 1 16:48 . 9 drwxr-xr-x 7 root root 1024 Nov 1 16:48 .. 10 -rw-r--r-- 1 riley riley 1899 Nov 1 16:48 .Xdefaults 11 -rw-r--r-- 1 riley riley 24 Nov 1 16:48 .bash_logout 12 -rw-r--r-- 1 riley riley 230 Nov 1 16:48 .bash_profile 13 -rw-r--r-- 1 riley riley 434 Nov 1 16:48 .bashrc 14 -rw-r--r-- 1 riley riley 2626 Nov 1 16:48 .emacs 15 drwxr-xr-x 3 riley riley 1024 Nov 1 16:48 .kde 16 -rw-r--r-- 1 riley riley 1416 Nov 1 16:48 .kderc 17 -rw-r--r-- 1 riley riley 185 Nov 1 16:48 .mailcap 18 -rw-r--r-- 1 riley riley 3846 Nov 1 16:48 .vimrc 19 -rw-r--r-- 1 riley riley 397 Nov 1 16:48 .zshrc 20 drwxr-xr-x 5 riley riley 1024 Nov 1 16:48 Desktop 21 drwxr-xr-x 2 riley riley 1024 Nov 1 16:48 tmp 22 [root@shadrach /root]#Листинг 14.4. Создание новой учетной записи пользователя
В строке 1 листинга 14.4 задается команда на создание нового пользователя с именем riley и с текстом комментария, который будет добавлен в поле комментария создаваемой учетной записи. В этом примере идентификатор пользователя и оболочки для входа в систему заданы равными значениям по умолчанию. В строке 3 выведена соответствующая этой учетной записи строка из файла /etc/passwd. Для нового пользователя добавлена новая строка со следующим идентификационным номером ( 504 ) и со следующим номером идентификатора группы ( 506 ). По умолчанию утилитой useradd создается рабочий каталог пользователя с именем /home/riley. В качестве оболочки для входа этого пользователя в систему по умолчанию устанавливается /bin/bash. Задав в строке 6 команду для просмотра содержимого только что созданного рабочего каталога, вы увидите несколько файлов, которые были созданы вместе с ним. И откуда только взялось столько установок по умолчанию!?