Product SiteDocumentation Site

8.4. Bases de dades d'usuaris i de grups

La llista d'usuaris s'emmagatzema normalment al fitxer /etc/passwd, mentre que el fitxer /etc/shadow emmagatzema les contrasenyes xifrades («hashed»). Tots dos són fitxers de text, en un format relativament senzill, que es poden llegir i modificar amb un editor de text. Cada usuari apareix en una línia amb diversos camps separats per dos punts (“:”).

NOTA Editar fitxers del sistema

Els fitxers de sistema esmentats en aquest capítol són tots fitxers de text pla, i es poden editar amb un editor de text. Tenint en compte la seva importància a la funcionalitat del sistema principal, sempre és una bona idea prendre precaucions addicionals quan s'editen els fitxers del sistema. Primer, sempre feu una còpia o una còpia de seguretat d'un fitxer de sistema abans d'obrir-lo o alterar-lo. En segon lloc, en servidors o màquines on més d'una persona podria accedir al mateix fitxer al mateix temps, feu passos addicionals per protegir-vos de la corrupció de fitxers.
Per a aquest propòsit, és suficient utilitzar l'ordre vipw per editar el fitxer /etc/passwd, o vigr per editar /etc/group. Aquestes ordres bloquegen el fitxer en qüestió abans d'executar l'editor de text, (per defecte vi, tret que s'hagi alterat la variable d'entorn EDITOR). L'opció -s en aquestes ordres permet editar el fitxer shadow corresponent.

TORNAR A LES BASES Crypt, una funció d'un sol sentit

crypt és una funció d'un sol sentit que transforma una cadena (A) en una altra cadena (B) d'una manera que A no es pot derivar de B. L'única manera d'identificar A és provar tots els valors possibles, comprovant cada un per determinar si la transformació per la funció produirà B o no. Utilitza fins a 8 caràcters com a entrada (cadena A) i genera una cadena de 13 caràcters ASCII (cadena B).

8.4.1. Llista d'usuaris: /etc/passwd

Aquesta és la llista de camps del fitxer /etc/passwd:
  • nom d'usuari, per exemple rhertzog;
  • password: this is a password encrypted by a one-way function (crypt), relying on DES, MD5, SHA-256 or SHA-512. The special value “x” indicates that the encrypted password is stored in /etc/shadow;
  • uid: número únic que identifica cada usuari;
  • gid: número únic per al grup principal de l'usuari (Debian crea per defecte un grup específic per a cada usuari);
  • GECOS: camp de dades que normalment conté el nom complet de l'usuari;
  • directori d'inici de sessió, assignat a l'usuari per a l'emmagatzematge dels seus fitxers personals (la variable d'entorn $HOME generalment apunta aquí);
  • programa a executar en iniciar la sessió. Normalment es tracta d'un intèrpret d'ordres («shell»), que dóna llibertat a l'usuari. Si especifiqueu /bin/false (que no fa res i retorna el control immediatament), l'usuari no podrà iniciar la sessió.
As mentioned before, one can edit this file directly. But there are more elegant ways to apply changes, which are described in Secció 8.4.3, «Modificar un compte o contrasenya ja existents».

TORNAR A LES BASES grup Unix

Un grup Unix és una entitat que inclou diversos usuaris perquè puguin compartir fàcilment fitxers utilitzant el sistema de permisos integrat (beneficiant-se dels mateixos drets). També podeu restringir l'ús de certs programes a un grup específic.

8.4.2. El fitxer de les contrasenyes ocultes i encriptades: /etc/shadow

El fitxer /etc/shadow conté els següents camps:
  • usuari;
  • contrasenya encriptada;
  • diversos camps que gestionen el venciment de la contrasenya.
One can expire passwords using this file or set the time until the account is disabled after the password has expired.

SEGURETAT La seguretat del fitxer /etc/shadow

/etc/shadow, a diferència del seu alter-ego, /etc/passwd, no pot ser llegit per usuaris normals. Qualsevol contrasenya xifrada («hashed») emmagatzemada a /etc/passwd és accessible per tothom; un «cracker» podria intentar “trencar” (o revelar) una contrasenya usant un dels diversos mètodes de “força bruta” que, per dir-ho simplificadament, la proven d'endevinar usant combinacions habituals de caràcters. Aquest atac — anomenat “atac de diccionari” — ja no és possible en sistemes que utilitzen /etc/shadow.

DOCUMENTACIÓ Els formats dels fitxers /etc/passwd, /etc/shadow i /etc/group

These formats are documented in the following man pages: passwd(5), shadow(5), and group(5).

8.4.3. Modificar un compte o contrasenya ja existents

The following commands allow modification of the information stored in specific fields of the user databases: passwd permits a regular user to change their password, which in turn, updates the /etc/shadow file (chpasswd allows administrators to update passwords for a list of users in batch mode); chfn (CHange Full Name), reserved for the super-user (root), modifies the GECOS field. chsh (CHange SHell) allows the user to change their login shell; however, available choices will be limited to those listed in /etc/shells; the administrator, on the other hand, is not bound by this restriction and can set the shell to any program of their choosing.
Finalment, l'ordre chage (de l'anglès «CHange AGE») permet a l'administrador canviar la configuració del venciment de la contrasenya (l'opció -l usuari llistarà la configuració actual). També podeu forçar l'expiració d'una contrasenya utilitzant l'ordre passwd -e usuari, que requerirà que l'usuari canviï la seva contrasenya la pròxima vegada que iniciï sessió.
Besides these tools the usermod command allows to modify all the details mentioned above.

8.4.4. Desactivar un compte

You may find yourself needing to “disable an account” (lock out a user), as a disciplinary measure, for the purposes of an investigation, or simply in the event of a prolonged or definitive absence of a user. A disabled account means the user cannot login or gain access to the machine. The account remains intact on the machine and no files or data are deleted; it is simply inaccessible. This is accomplished by using the command passwd -l user (lock). Re-enabling the account is done in similar fashion, with the -u option (unlock). This, however, only prevents password-based logins by the user. The user might still be able to access the system using an SSH key (if configured). To prevent even this possibility you have to expire the account as well using either chage -E 1user or usermod -e 1 user (giving a value of -1 in either of these commands will reset the expiration date to never). To (temporarily) disable all user accounts just create the file /etc/nologin.
You can disable a user account not only by locking it as described above, but also by changing its default login shell (chsh -s shell user). With the latter changed to /usr/sbin/nologin, a user gets a polite message informing that a login is not possible, while /bin/false just exits while returning false. There is no switch to restore the previous shell. You have to get and keep that information before you change the setting. These shells are often used for system users which do not require any login availability.

ANANT MÉS ENLLÀ NSS i les bases de dades de sistema

En lloc d'utilitzar els fitxers habituals per gestionar llistes d'usuaris i grups, podeu utilitzar altres tipus de bases de dades, com LDAP o db, utilitzant un mòdul NSS («Name Service Switch» o commutador de servei de noms) adequat. Els mòduls utilitzats es llisten al fitxer /etc/nsswitch.conf, sota les entrades passwd, shadow i group. Vegeu Secció 11.7.3.1, «Configuració del NSS» per a un exemple específic de l'ús d'un mòdul NSS per LDAP.

8.4.5. Llista de grups: /etc/group

Els grups estan llistats al fitxer /etc/group, una simple base de dades en text pla en un format similar al del fitxer /etc/passwd, amb els següents camps:
  • nom del grup;
  • contrasenya (opcional): només s'utilitza per unir-se a un grup quan un no és un membre habitual (amb les ordres newgrp o sg, vegeu la barra lateral TORNAR A LES BASES Treballar amb diversos grups);
  • gid: número únic d'identificació de grup;
  • llista de membres: llista de noms d'usuaris que són membres del grup, separats per comes.

TORNAR A LES BASES Treballar amb diversos grups

Cada usuari pot ser membre de molts grups; un d'ells és el seu “grup principal”. El grup principal d'un usuari es crea, per defecte, durant la configuració inicial de l'usuari. Per defecte, cada fitxer que crea un usuari li pertany, així com també al seu grup principal. Això no sempre és desitjable; per exemple, quan l'usuari necessita treballar en un directori compartit per un grup diferent del seu grup principal. En aquest cas, l'usuari ha de canviar el seu grup principal utilitzant una de les següents ordres: newgrp, que inicia un intèrpret d'ordres nou, o sg, que simplement executa una ordre utilitzant el grup alternatiu subministrat. Aquestes ordres també permeten a l'usuari unir-se a un grup al qual no pertany. Si el grup està protegit amb contrasenya, hauran de proporcionar la contrasenya adequada abans d'executar l'ordre.
Alternativament, l'usuari pot establir el bit setgid al directori, el qual fa que els fitxers creats en aquest directori pertanyin automàticament al grup correcte. Per a més detalls, vegeu la barra lateral SEGURETAT directori setgid i sticky bit.
L'ordre id mostra l'estat actual d'un usuari, amb el seu identificador personal (variable uid), el grup principal actual (variable gid), i la llista de grups als quals pertany (variable groups).
Les ordres addgroup i delgroup afegeixen o suprimeixen un grup, respectivament. L'ordre groupmod modifica la informació d'un grup (el seu gid o identificador). L'ordre gpasswd grup canvia la contrasenya del grup, mentre que l'ordre gpasswd -rgrup el suprimeix.

SUGGERIMENTgetent

L'ordre getent («get entries» o “obté entrades”) comprova les bases de dades del sistema de la manera estàndard, utilitzant les funcions de biblioteca apropiades, que al seu torn criden els mòduls NSS configurats al fitxer /etc/nsswitch.conf. L'ordre pren un o dos arguments: el nom de la base de dades on cercar i una clau de cerca opcional. Per tant, l'ordre getent passwd rhertzog donarà la informació de la base de dades d'usuaris sobre l'usuari rhertzog.