Linux: Неинтерактивный пользователь

Что это, зачем, и как это может понадобиться?

Если мы посмотрим на список пользователей в Linux сразу после установки, мы, кроме root, nobody (пользователя с максимально ограниченными правами) и своего пользователя, увидим множество пользователей, созданных под конкретную подсистему или задачу, например: bin, daemon, adm, operator, games, sshd, usbmux, sddm, pulse, apache, messagebus и т.д.

Для чего это сделано? Если кратко — для безопасности, под каждую задачу, от запуска отдельной программы, до управления отдельной подсистемой, создается отдельный пользователь, который, даже если его взломает злоумышленник, не сможет получить доступ ко всей системе. Т.е. хакнули пользователя apache, и у нас сдох только web-сервер Apache, админ нашел сбой, пропатчил, починил, перезапустил нужное — и все опять работает.

А почему пользователь неинтерактивный? Опять же, для безопасности, ваш пользователь, или же root, интерактивные, они имеют доступ к терминалу, т.е. могут вводить команды и запускать другие программы из терминала/консоли. Но и в самом терминале и в программах, может обнаружиться ошибка, которая позволит получить пользователю получить нужные права, чтоб в системе навредить. Для того пользователю с ограниченными задачами и отключают доступ к терминалу, т.е., делают его неинтерактивным.

Как создать неинтерактивного пользователя?

Итак, начнем это делать на нашей тестовой системе.
Для начала создадим группу для тестовых пользователей, стандартной командой addgroup. Выполнять надо из-под root (или через sudo, зависит от вашей системы), больше не буду на этом останавливаться.

groupadd testgrp

С помощью useradd

1. Самый простой способ:

useradd -g testgrp -d /dev/null -s /bin/false testusr1

где:
-g testgrp — задать основную группу пользователя (вышесозданную testgrp)
-d /dev/null — задать в качестве расположения домашнего каталога нуль-устройство (/dev/null)
-s /bin/false — установить фиктивную оболочку (/bin/false).
testusr1 — имя пользователя

Если опцию -d не указать, система укажет для пользователя домашний каталог, как подкаталог с таким же именем, как имя пользователя, в /home, хотя и не создаст его.

Это максимально неинтерактивный пользователь, у него не только установлена фиктивная оболочка (обычным пользователям устанавливают оболочку, например /bin/bash) но также не установлен домашний каталог, т.е. пользователю просто некуда входить в системе, а также не установлен пароль. С пустым паролем Linux не пустит пользователя, впрочем, об этом ниже.

Если попытаться зайти в систему от имени этого пользователя, то получим ошибку Access denied:
login as: testusr1
testusr1@192.168.1.133's password:
Access denied
testusr1@192.168.1.133's password:

2. Если неинтерактивному пользователю все-таки нужен домашний каталог, например, для хранения конфигураций запускаемых от его имени программ, то домашний каталог вполне можно создать:

useradd -g testgrp -m -d /home/testusr2 -s /bin/false testusr2

К опциям -g, -s и -d добавляется опция
-m — автоматически создать пользовательский каталог

С помощью скрипта adduser

Скрипт adduser, это оболочка над программой useradd, который позволяет указать параметры нового пользователя в диалоговом режиме

Пример создания неинтерактивного пользователя:

Login name for new user []: testusr3

User ID ('UID') [ defaults to next available ]:

Initial group [ users ]: testgrp
Additional UNIX groups:

Users can belong to additional UNIX groups on the system.
For local users using graphical desktop login managers such
as XDM/KDM, users may need to be members of additional groups
to access the full functionality of removable media devices.

* Security implications *
Please be aware that by adding users to additional groups may
potentially give access to the removable media of other users.

If you are creating a new user for remote shell access only,
users do not need to belong to any additional groups as standard,
so you may press ENTER at the next prompt.

Press ENTER to continue without adding any additional groups
Or press the UP arrow key to add/select/edit additional groups
:

Home directory [ /home/testusr3 ]

Shell [ /bin/bash ] /bin/false

Expiry date (YYYY-MM-DD) []:

New account will be created as follows:

---------------------------------------
Login name.......:  testusr3
UID..............:  [ Next available ]
Initial group....:  testgrp
Additional groups:  [ None ]
Home directory...:  /home/testusr3
Shell............:  /bin/false
Expiry date......:  [ Never ]

This is it... if you want to bail out, hit Control-C.  Otherwise, press
ENTER to go ahead and make the account.


Creating new account...


Changing the user information for testusr3
Enter the new value, or press ENTER for the default
        Full Name []:
        Room Number []:
        Work Phone []:
        Home Phone []:
        Other []:
Changing password for testusr3
Enter the new password (minimum of 5 characters)
Please use a combination of upper and lower case letters and numbers.
New password:
Bad password: too short.
Warning: weak password (enter it again to use it anyway).
New password:
Re-enter new password:
passwd: password changed.


Account setup complete.

Перевод всего происходящего:

Логин для нового пользователя []: testusr3

Идентификатор пользователя («UID») [по умолчанию используется следующий доступный]:

Начальная группа [пользователи]: testgrp
Дополнительные группы UNIX:

Пользователи могут принадлежать к дополнительным группам UNIX в системе.
Для локальных пользователей, использующих графические менеджеры входа на рабочий стол, такие как
как и XDM/KDM, пользователям может потребоваться членство в дополнительных группах.
для доступа ко всем функциям съемных носителей.

* Последствия для безопасности *
Имейте в виду, что добавление пользователей в дополнительные группы может
потенциально предоставить доступ к съемным носителям других пользователей.

Если вы создаете нового пользователя только для удаленного доступа к оболочке,
пользователям не обязательно входить в какие-либо дополнительные группы по умолчанию,
поэтому вы можете нажать ENTER в следующем приглашении.

Нажмите ENTER, чтобы продолжить без добавления дополнительных групп.
Или нажмите клавишу со стрелкой ВВЕРХ, чтобы добавить/выбрать/редактировать дополнительные группы.
:

Домашний каталог [/home/testusr3]

Оболочка [ /bin/bash ] /bin/false

Дата истечения срока действия (ГГГГ-ММ-ДД) []:

Новая учетная запись будет создана следующим образом:

---------------------------------------
Имя для входа.......: testusr3
UID..............: [Следующий доступный]
Начальная группа....: testgrp
Дополнительные группы: [Нет]
Домашний каталог...: /home/testusr3
Оболочка............: /bin/false
Срок годности......: [ Никогда ]

Вот и все... если хотите спастись, нажмите Control-C. В противном случае нажмите
ВВОД, чтобы продолжить и создать учетную запись.


Создание новой учетной записи...


Изменение информации о пользователе для testusr3
Введите новое значение или нажмите ENTER, чтобы получить значение по умолчанию.
         Полное имя []:
         Номер комнаты []:
         Рабочий телефон []:
         Домашний телефон []:
         Другой []:
Смена пароля для testusr3
Введите новый пароль (минимум 5 символов)
Пожалуйста, используйте комбинацию прописных и строчных букв и цифр.
Новый пароль:
Неверный пароль: слишком короткий.
Внимание: слабый пароль (введите его еще раз, чтобы использовать в любом случае).
Новый пароль:
Повторно введите новый пароль:
passwd: пароль изменен.


Настройка учетной записи завершена.

Удобно, красиво, не надо вручную писать опции в командной строке, хотя простыня. Но можно и так, главное, не забыть про фиктивную оболочку /bin/false и, при надобности, пустой пароль.

О «пустых» паролях

Каждому пользователю в Linux, который хочет получить доступ к терминалу или графической оболочке, должен быть присвоен пароль. Можно провести наглядный эксперимент.

1. Создадим с помощью скрипта adduser нового пользователя testusr4, только оставим ему некоторые параметры по умолчанию, т.е. домашний каталог и оболочку /bin/bash, изменим только группу на testgrp и зададим ему пароль.

2. Попробуем залогиниться:

login as: testusr4
testusr4@192.168.1.133's password:
testusr4@smallwolfie:~$

Получилось!

3. Выйдем из учетной записи и отредактируем файл /etc/shadow в котором хранятся пароли пользователей (редактируем от имени root):
— Найдем строчку, содержащую информацию о пароле пользователя testusr4:

testusr4:$5$eUbahK8EwlYtD1Nw$ZCH7sMkg.fTwe/KsqfBh6.xrlo3K4V6WinyiqWhW5.8:19689:0:99999:7:::

— Приведем ее к такому же виду, что у пользователя, например, testusr1:

Т.е. вместо хэша и других свойств пароля, находящегося между вторым и третьим двоеточием, впишем символ восклицательного знака, тем самым удалив их.

login as: testusr4
testusr4@192.168.1.133's password:
Access denied

Подробнее прочесть о формате файлов /etc/passwd и /etc/shadow Копия в PDF

Как отобрать интерактивность у уже созданного интерактивного пользователя?

Предположим, у нас есть интерактивный пользователь testusr5 и эту интерактивность надо пользователю отключить:

1. Лишить возможности пользователя входить по паролю, как это было описано выше.
2. Отредактировать файл /etc/passwd, найдя строку пользователя:

testusr5:x:1016:1008:,,,:/home/testusr5:/bin/bash

И заменить указанную оболочку (/bin/bash) на фиктивную (/bin/false):

testusr5:x:1016:1008:,,,:/home/testusr5:/bin/false

Можно заменить запись о домашнем каталоге на /dev/null, если он не нужен, а сам каталог потом удалить с диска:

testusr5:x:1016:1008:,,,:/dev/null:/bin/false

Пользователь «одного скрипта»

Интересно, что пользователю в качестве оболочки можно подсунуть не только фиктивную оболочку или обычный shell (bash, sh, zsh и т.д.) но и конкретный скрипт. Тогда, при входе этого пользователя в систему, будет выполняться только этот самый скрипт. Главное, чтоб у пользователя были права на его исполнение.

Примечание: Хоть это уже не совсем «неинтерактивный» пользователь, но ради обобщения, пусть будет тут.

Внимание! Делайте нечто подобное, когда точно уверены в своих действиях. Если злоумышленник сможет подкорректировать такой скрипт, то сможет и нагадить в системе.

Пример:

1. Создадим интерактивного пользователя с домашним каталогом, например, testusr6, не забыв задать пароль.
2. Залогинимся от имени этого пользователя
3. В домашнем каталоге напишем простой тестовый скрипт и дадим ему права на исполнение от имени этого пользователя.

#!/bin/bash

echo "Hello, world!"
echo "Press ENTER..."
read

4. Выйдем из системы этим пользователем, и от имени root отредактируем /etc/passwd таким образом.

Было:

testusr6:x:1017:1008:,,,:/home/testusr6:/bin/bash

Стало:

testusr6:x:1017:1008:,,,:/home/testusr6:/home/testusr6/hello

5. Теперь попробуем войти в систему от имени testusr6:

login as: testusr6
testusr6@192.168.1.133's password:
Hello, world!
Press ENTER...

После нажатия ENTER сеанс завершится.

Как подобную фичу можно использовать на практике, описано здесь: Удаленная перезагрузка сервера под управлением Linux. Перезагрузка Linux без ввода пароля. (копия)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *