FundamentosdosistemaLinuxusuriosegrupos

Autor:DavidsonRodriguesPaulo<davidsonpauloatgmail.com> Data:04/11/2005 Introduo OLinuxfoidesenvolvidodesdeocomeoparatrabalharemrede.Porisso,elepossuisuporteausurios egrupos,quegarantemumaorganizaoeseguranaaosistema. Cadausuriopossuiumaidentificaoeumasenha,semaqualnopossvelacessarosistema.Alm disso, cada usurio deve fazer parte de pelo menos um grupo, o que vai lhe garantir acesso a determinadoscomponentesdosistemadeacordocomadeterminaodoadministrador. Para voc entender melhor, suponhamos que o administrador do sistema crie um grupo chamado "audio" e determine que somente os usurios que pertenam a esse grupo tenham acesso placa de som. Sendo assim, se o administrador no definir voc como integrante do grupo audio, voc no poderouvirmsicaouqualquertipodesom. Seguindoessaidia,existemdiversosgruposnumsistemaGNU/Linux,cadaumcomseusprivilgios deacessoadeterminadoscomponentesefunesdosistema,deformaquepossveldefinirfacilmente osprivilgiosdecadausurio,apenasincluindoonosrespectivosgrupos.

Comoasinformaesdeusuriosoarmazenadasnosistema NossistemasGNU/Linux,asinformaessobreusuriosegrupospodemserarmazenadasdediversas formas,dependendodanecessidadeecomplexidadedosistema,nmerodeusurios,etc. Entretanto,essasinformaes,porpadro,ficamarmazenadasemarquivosdetextodentrododiretrio /etc/.

/etc/passwd
Nesse arquivo ficam armazenadas as informaes sobre os usurios. Ele constitudo de diversas linhas,umaparacadausurio.Essaslinhascontmdiversoscampos,asaber:

Logindeusurio Passwordcriptografado UID:OUID(UserIdentity,ouidentidadedeusurio)onmerodeidentificaodousurio GID: O GID (Group Identity, ou identidade do grupo) o nmero de identificao do grupo padrodousurio Comentrios Diretriopessoal Shell. Veja nesse exemplo como esto dispostas as informaes sobre o usurio private no arquivo /etc/passwd. private:x:1014:1014:UsurioAnnimoFTP:/pub/privado/:/bin/bash

Shadowpasswords
O arquivo /etc/passwd contm informaes sobre todos os usurios, inclusive as suas senhas criptografadas. Ele legvel por todos os usurios e, por isso, estas senhas podem ser facilmente descobertas por crackers. Para evitar isso e aumentar a segurana do sistema, adotaram o sistema de sombreamentodesenhas,oshadowpasswords. Quando o sistema de sombreamento de senhas est disponvel, o campo password do arquivo /etc/passwdsubstitudoporum"x"easenhadousurioarmazenadanoarquivo/etc/shadow.Este arquivospodeserlidopelousurioroot,oadministradordosistema,oquedificultamuitoaaode usuriosmaliciosos,aumentandoaseguranadassenhasdosusurios. Oarquivo/etc/shadoworganizadodamesmaformaqueo/etc/passwd:umalinhaparacadausurio, divididasemcampos,queso: Logindeusurio Passwordcriptografado Tempodeexpiraodasenha. Comonoexemploabaixo: private:$1$3ZkVpbv6$z.T9d907rVyIcxUFy3wwk.:12643:0:99999:7:::

/etc/group

Este arquivo armazena as informaes sobre os grupos de usurios. O formato similar ao do /etc/passwdeseuscamposso: Nomedogrupo Password GID Gruposmembrosdogrupo. Abaixoasinformaessobreogrupo"osdormesujo"no/etc/group. osdormesujo:x:104:crildo,teste,tux,win2kserver Como podemos ver, existem 4 (quatro) usurios que pertencem a esse grupo: crildo, teste, tux e win2kserver.

/etc/gshadow
Oarquivo/etc/gshadowpossuiasmesmasfunesdoarquivo/etc/shadow,masdificilmenteveremos senhasaqui. Vejaumexemplodessearquivo: osdormesujo:!:: teste:!:: tux:!:: Manipulandocontasdeusurios

Criandoumanovacontadeusurio
Somenteoadministradordosistemapodecriar,excluiroumodificarosdadosdosusuriosdosistema. Osprocedimentosparaacriaodeumanovacontadeusuriosoosseguintes: 1. 2. 3. 4. 5. Criarumaentradaparaousurionoarquivo/etc/passwd Especificarumasenha EspecificarumShelldelogin Criarumdiretriopessoalparaousurio Colocarnestediretriopessoalarquivosteisaousurio.

Ospassos4e5soopcionais. Existemdoiscomandosquepodemserutilizadosparaadicionarumusurio.Umdelesouseradd.Sua sintaxeaseguinte: useradd[opes][login] Em[login]devesecolocaronomedelogindousurioqueestsendocriado.Asopesdisponveis so: c:Adicionaumcomentriosobreousurio d:Especificaqualodiretriopessoaldousurio.Opadro/home/[login] e: Especifica a data a partir da qual a conta do usurio ser removida automaticamente. Usea paracriarumacontadeusuriotemporria.OformatodadataAAAAMMDD(anomsdia) f:Useesseparmetroemconjuntocomoe,sequiserquequandoacontadousurioexpirar,os dadosdousurionosejamapagadosimediatamente.Useovalor0paraqueacontadousurio sejaexcludaassimqueasuasenhaexpirar.Use1paradesativaressafuno g:Especificaogrupoinicialaoqualonovousurioirpertencer.Podeseronomedogrupoou entoonmero(GID).Opadrodesseparmetrousers,ou100 G:Especificaoutrosgruposaosquaisonovousurioirpertencer,separadosporvrgula m:Criaodiretriopessoal,especificadonoparmetrod,seelenoexistir k:Quandosecriaumnovodiretriopessoal,osarquivosdodiretrio/etc/skel/socopiadospara l. Use o parmetro k para especificar outro diretrio, diferente de /etc/skel/, de onde copiar arquivosparadentrododiretriopessoaldousurio o:PermitirqueonovousuriotenhaumUIDduplicado,jutilizadoporoutrousurio p: Use esse parmetro para informar a senha criptografada do usurio. Para conseguir a senha criptografadanecessrioutilizarumprogramadecriptografia s: Informa o Shell padro do usurio. Geralmente no se utiliza esse parmetro, para deixar o sistemaescolher u:UseesseparmetroparainformaroUIDdousuriomanualmente.Amenosquevocutilizeo parmetro o, esse nmero deve ser nico, ou seja, voc no pode informar uma UID que j estejasendoutilizadaporoutrousurio. O outro comando que pode ser utilizado para criar um novo usurio o adduser, um pouco mais interativo.Bastarodarocomandoadduserqueosistemavaisolicitandoasinformaesarespeitodo usurio.Entretantopossvelpassartodasasinformaesnecessriasapartirdalinhadecomando. Asintaxedoadduseramesmadouseradd: adduser[opes][login] Asopesdisponveisso: conf: O adduser utiliza as informaes gravadas no arquivo /etc/adduser.conf. Utilize esse parmetroparautilizaroutroarquivodeconfigurao disabledlogin: No solicita senha para o usurio. A conta fica indisponvel, at que seja

executadoocomandopasswdmanualmenteparadefinirumasenhaparaousurio disabledpassword:Nosolicitasenhaaousurio,masacontaficadisponvelatravsdousode chavesSSHRSA gid:Informamanualmenteonmerodogrupo(GID)aqueousurioserincludo group:Seusadojuntamentecomoparmetrosystem,criadoumgrupocomomesmonome eGIDdousuriocriado.Seusadosemoparmetrosystem,criadoumgrupocomonome fornecido home:Especificaodiretriopessoaldousurio.Opadro/home/[login] shell:EspecificaoShellaserutilizadopelousurio ingroup:Adicionaousurioparaogrupoespecificado nocreatehome:Nocriaodiretriopessoal,seelenoexistir quiet:Nomostramensagenssobreoprogressodoprocessodecriaodousurio system:Criaumusuriodosistema uid:ForaousurioausaroUIDespecificado.SeoUIDforinvlido,acriaodousuriono serefetuada Paradefiniroumodificarasenhadeumdeterminadousurio,utilizeocomandopasswd.Suasintaxe simples: passwd[login] Sernecessriodigitaranovasenhaduasvezes.

Desabilitandoumacontadeusurio
Desabilitar uma conta de usurio impedir o usurio de acessar o sistema. Diferente do que ocorre quando se excluir uma conta, ao desabilitla as informaes do usurio no so perdidas, caso elas sejamnecessriasousedesejereabilitaracontaposteriormente. Amelhormaneiradedesabilitarumacontadeusuriofazendoasuacontaexpirar.Paraisso,editeo arquivo /etc/shadow, procure pela linha que contm as informaes da conta que voc deseja desabilitar,vnoterceirocampo(delimitadopordoispontos),correspondentedataemqueasenhafoi modificada,ecopieessenmerosubtradodeumparaooitavocampo. Vejanesseexemplo,comoexpirarasenhadousurio"lanux": lanux:$1$EtXJLNvq$klIF2UtVj5/LiOH:12118:0:99999:7::: No terceiro campo encontramos o nmero 12118. Subtramos 1 de 12118, obtendose 12117 e inserimosessenmeronooitavocampo:

lanux:$1$EtXJLNvq$klIF2UtVj5/LiOH:12118:0:99999:7::12117:

Casoousuriolanuxdoexemploacimatentelogarnosistema,receberaseguintemensagem:"Your accounthasexpiredpleasecontactyoursystemadministrator".

Excluindoumacontadeusurio
Pararemoverumacontadeusurio,apagandoassuasinformaesnosistema,utilizamosocomando userdel. Ouserdelremoveaentradadousuriodoarquivo/etc/passwdeopcionalmentetambmseudiretrio pessoal com todos os arquivos e subdiretrios ali contidos. Os arquivos pertencentes ao usurio que estejam em outros diretrios permanecero no sistema e aparecero como pertencentes ao UID do usurioquandomostradospelocomando"lsl". Asintaxedouserdel: userdel[r][login] Aoporfazcomqueodiretriopessoaldousuriosejaexcludotambm. Sevocquiserlocalizartodososarquivosquepertencemaousurioespalhadospelosistema,utilizeo comandofindcomosseguintesparmetros: find/gid[GIDdousurio]uid[UIDdousurio] Osarquivosencontradospodemserdeletadosouvocpodemudarasuapropriedade: chown[novodono]:[novogrupo][arquivo]

Manipulandogrupos

Descriodosgrupospadro
Por padro, sistemas GNU/Linux possuem alguns grupos utilizados para permitir o acesso a determinadosservioseprivilgiosnosistema.Essegruposestolistadosnoarquivo/etc/groupeso eles: root:Grupodosuperusurio binedaemon:Programasexecutados sys:Grupodosistema

adm:Grupoadministrativo tty:Acessoaterminais disk:Acessodispositivosdedisco lp:Grupodaimpressora memekmem:Acessomemriadokernel wheel:Usurioscomprivilgiosprximosaoroot mail:Usadoporutilitriosdeemail news:UsadoporutilitriosdeUsenetnews uucp:UsadopelaredeUUCP man:Usadoparaacessoapginasdemanual games:Grupoparaguardarrecordesdejogos gopher:UsadopeloutilitrioGopher dip:Grupodialup(PPP,SLIP) ftp:GrupododaemonFTP nobody:Grupodebaixasegurana users:Grupopadrodeusuriosemvriossistemas floppy:Grupoparaacessoadiscosfloppy. Cadaentradapossuionomedogrupo,senhaeoIDnumricodogrupo(GID).

Criandoumnovogrupo
Paracriarumnovogruponosistema,utilizeocomandogroupadd.Suasintaxeaseguinte: #groupadd[gGID][o][grupo] Osparmetrosgeosoopcionais.UseoparmetrogpraespecificarmanualmenteoGIDdonovo grupo.Utilizevaloresmaioresque500equejnoestejamsendoutilizadospornenhumoutrogrupo. SequiserusarumGIDjutilizadoporoutrogrupo,utilizeaopoo. Paraadicionarusuriosaogruporecmcriado,amaneiramaissimpleseditardiretamenteoarquivo /etc/groupeadicionarosnomesdosusuriosaofinaldaentradadogrupo,separandoosporvrgula. Paracolocar,porexemplo,osusurios"carlos"e"vitoria"nogrupoFG,aentradaficariaassim: FG:x:500:carlos,vitoria Podesechecaroresultadocomoscomandosidougroups.Oidexibenatelaasinformaessobrea contadousurio.Seuusosimples: $id[login] Paraverasinformaesdousurio"davidson":

$iddavidson uid=1000(davidson)gid=1000(davidson) grupos=1000(davidson),20(dialout),24(cdrom),25(floppy),29(audio),44(video) Ocomandogroupsexibeapenasosgruposaoqualousuriopertence: $groupsdavidson davidson:davidsondialoutcdromfloppyaudiovideo

Mudandodegrupo
TodasasaesfeitasporumusuriosoassociadasaoseuUIDeGIDprimrios.Assim,mesmoqueo usuriopertenaamaisdeumgrupo,eleresponderporapenasumgrupodecadavez.Istopodeser umproblemacasoousurioqueiracriarumarquivopertencenteaumdosoutrosgruposqueelefaa parte.Ocomandonewgrppossibilitaqueousuriomudetemporariamentedegrupoprincipal. Suasintaxeaseguinte: $newgrp[][grupo] Ohfen()serveparareinicializarasvariveisdeambientedousurio. Assim,seousurio"vitoria"doexemploanteriorutilizounewgrpparaingressarnogrupoFG,quando elacriarumarquivoederocomando"lslarquivo",verqueestepertenceraogrupoFG: $newgrpFG $toucharquivo $lslarquivo rwrr1vitoriaFG10332Jan2016:06arquivo

Excluindogrupos
Paraseexcluirumgrupousaseocomandogroupdelcomaseguintesintaxe: #groupdel[grupo] Apsexcluirumgrupo,devesechecarmanualmenteossistemasdearquivosparagarantirquenenhum arquivopermaneaassociadoaogrupo.Paraistoutilizaseocomandofind: #find/gid[GIDdogrupoexcludo]

#find/gid[GIDdogrupoexcludo] Depoisbastatrocarogrupodosarquivosencontrados. Nosedeveremoverogrupoprimriodeumgrupodeusuriosexistentes.Deveseantesremoveros usurios,paraentoremoverogrupo.

http://www.vivaolinux.com.br/artigo/FundamentosdosistemaLinuxusuariosegrupos Voltarparaosite