البحث في الموقع

تُعتبر كلمات المرور والمصادقة من المفاهيم الأساسية التي يتعامل معها كل مستخدم لبيئة غنو لينكس، إذ تتسع هذه المواضيع لعدد من أدوات وملفات الضبط المختلفة. نستكشف في هذا الدرس بعض هذه الملفات الأساسية مثل etc/passwd/ وetc/shadow/ إضافة إلى أدوات ضبط المصادقة مثل passwd و adduser. سنناقش هذه المواضيع ونطبّق الأمثلة على نظام Ubuntu 14.04، إلا أنه سيكون بإمكانك العمل على أي توزيعة لينكس حديثة بطريقة مماثلة تمامًا. ما هو ملف "etc/passwd/"؟الملف الأول الذي سنبدأ معه يُدعى etc/passwd/، ورغم اسمه فهو لا يخزّن كلمات المرور في واقع الحال. فيما مضى كان هذا الملف يُخزّن كلمات المرور المُشفّرة hashed passwords لكل مُستخدم على النظام، إلا أنّه ولأسباب أمنيّة تم نقل هذه المسؤولية لاحقا إلى ملف منفصل. دعونا نلقي نظرة على محتويات الملف etc/passwd/: less /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh . . . أول ما يمكننا ملاحظته هو إمكانية الوصول لهذا الملف من قبل المستخدمين العاديين (أي الذين لا يملكون صلاحيات الجذر root)، ولأن الجميع قادر على قراءة هذا الملف فقد تمّ نقل معلومات كلمات المرور إلى ملف آخر. كيف تقرأ ملف "etc/passwd/"؟كل سطر في هذا الملف يحتوي على معلومات الولوج لمستخدم فريد على نظام التشغيل، بعض هذه الحسابات قد تكون مُنشأة لاستعمالها من قبل خدمات daemons (الخدمات التي تعمل بالخلفية). لنلقي نظرة على أحد هذه الأسطر لنرى ما هي المعلومات التي يحتويها: root:x:0:0:root:/root:/bin/bash تُفصل حقول المعلومات ضمن هذا السطر بعلامة النقطتين (:)، وهكذا يكون لدينا سبعة حقول في كل سطر من أسطر الملف etc/passwd/، وهي هنا: root: اسم مستخدم الحساب. x: تعبير مُرمّز للدلالة على معلومات كلمة المرور والتي يتم الحصول عليها من ملف etc/shadow/. 0: هوية المستخدم أو رقم ID الخاص به وهو مُعرفّه على نظام التشغيل. المستخدم الجذر يملك رقم ID مساويًا للصفر على الدوام. 0: هوية المجموعة أو رقم ID الخاص بالمجموعة التي ينتمي لها المُستخدم بشكل افتراضي. كذلك فإن رقم ID لمجموعة الجذر هو 0 دومًا. root: حقل الملاحظات، يُستخدم هذا الحقل لوصف المستخدم أو وظيفته، كما يمكن أن يشمل معلومات الاتصال به أو وصف الخدمة التي أُنشئ من قبلها. root/: الدليل الرئيسي، للمستخدمين القياسيين غالبًا ما يكون هذا الدليل هوhome/username/، أما للمستخدم الجذر فهو root/. bin/bash/: يضمّ هذا الحقل مسار الصدفة شِل shell الخاصة بالمستخدم أو الأمر الذي سيُنفّذ عقب ولوج المستخدم. وهكذا كلّما أضفت حساب مستخدم جديد باستعمال أوامر مثل adduser و useradd، أو كلما قمت بتثبيت المزيد من الخدمات؛ سينمو هذا الملف، حيث ستُضاف معلومات المستخدم الجديد إلى سطر آخر في نهاية هذا الملف. في معظم الحالات لا يجب أن تُحرّر هذا الملف بشكل يدوي، حيث هناك عدّة أدوات لذلك يمكن من خلالها ضمان سلامة التعديل وصحته. ما هو ملف "etc/shadow/"؟تُخزّن البيانات الفعلية لكلمات المرور في ملف يُدعى etc/shadow/. ومع ذلك فهو لا يحتوي على النصّ الصرف لكلمات المرور، بل يستخدم دالة كمفتاح اشتقاق key derivation لإنشاء تشفيرٍ لها، وهو ما يُخزّن فعليًا ضمن الملف. مفتاح الاشتقاق هو عبارة عن خوارزمية تُنشئ دومًا تشفيرًا واحدًا عندما تُعطى نفس المُدخل. تُطبّق هذه الخوارزمية على كلمة المرور عندما تُعطى أثناء تسجيل الدخول وتقارن القيمة الناتجة عن ذلك مع القيمة المُخزّنة ضمن هذا الملف. يجدر الانتباه إلى أن المُستخدمين الذين لا يملكون صلاحيات الجذر غير قادرين على قراءة محتويات هذا الملف وذلك خلافًا لـ etc/passwd/. كيف تقرأ ملف "etc/shadow/"؟لنلقي نظرة على محتويات الملف etc/shadow/ عبر الأمر التالي: sudo less /etc/shadow root:$6$mJD3Rsj4$xUa7jru6EEGTXnhwTfTT26/j8M5XiQvUl6UH32cfAWT/6W9iSI5IuIw5OOw4khwrsOHPyMwfCLyayfYiVdhAq0:15952:0:99999:7::: daemon:*:15455:0:99999:7::: bin:*:15455:0:99999:7::: sys:*:15455:0:99999:7::: sync:*:15455:0:99999:7::: games:*:15455:0:99999:7::: man:*:15455:0:99999:7::: . . . كما في etc/passwd/ يُعرّف كل سطر معلومات أحد المستخدمين وتفصل علامة النقطتين (:) بين الحقول المختلفة. ملاحظة: تُشير علامة النجمة (*) في الحقل الثاني من بعض الأسطر أعلاه إلى أن حساب المستخدم غير قابل لتسجيل الدخول، وهو ما يعني ارتباط الحساب بأحد الخدمات المُثبّتة على النظام. دعونا نلقي نظرة على أحد تلك الأسطر: daemon:*:15455:0:99999:7:::لدينا في هذا السطر تسع حقول وهي: daemon: اسم مُستخدم الحساب. *: تجد هنا كلمة المرور المُشفّرة (يمكن أن ترى مثالًا عنها في السطر الخاص بالمستخدم الجذر من الملف أعلاه). وكما قلنا للتوّ فإن رمز النجمة تعني أنه لا يمكن استخدام هذا الحساب لتسجيل الدخول، وبالتالي لا يملك كلمة مرور أصلًا. 15455: آخر مدّة تم تغيير كلمة المرور فيها، تُقاس هذه القيمة بالأيام انطلاقًا من بداية "عصر" يونكس، وهو 1 يناير 1970. 0: أصغر عُمر لكلمة المرور، وهي المدّة التي يجب أن تفصل بين تحديثين متتابعين لكلمة المرور، القيمة 0 تعني عدم وجود أي قيود. 99999: أطول عُمر لكلمة المرور، وهي المدة التي يجب أن تُغيّر كلمة المرور بعد انقضائها. القيمة 99999 تعني أنّ كلمة المرور الحالية لا نهائية المدّة. 7: تُمثّل أيام التحذير قبل انتهاء صلاحية كلمة المرور وذلك في حال كانت الخانة السابقة تحمل قيمةً ما، فإن المُستخدم سيحصل على تنبيه لتغيير كلمة المرور خلال هذه الأيام. [فارغة]: آخر ثلاث حقول فارغة هنا، يُستخدم الأول للإشارة إلى المُهلة الإضافية التي تلي انتهاء المدة المحدّدة بالخانة السابقة حيث سيلغى تفعيل الحساب بعدها. الحقل الثامن يُمثّل مدّة إلغاء الحساب بالأيام منذ تاريخ بداية نظام يونكس (أي منذ 1-1-1970). الحقل التاسع فارغ دومًا ويُترك لأية استعمالات مستقبلية.كيف تغير كلمات المرور؟يمكن تعديل كلمات مرور المستخدمين بواسطة الأداة passwd. وبشكل افتراضي فإن هذا الأمر سيغيّر كلمة مرور حساب المستخدم الحالي دون أن يتطلب ذلك صلاحيات الجذر. passwd أما إذا رغبت بتعديل كلمة مرور حساب آخر فستحتاج حينها إلى صلاحيات الجذر، حيث يمكنك استخدام الصيغة التالية: sudo passwd username ستطلب منك الصدفة كلمة مرور الجذر، ثم ستسألك تعيين كلمة مرور جديدة للمستخدم وتأكيدها مرةً ثانية. ولو قارنت القيمة المُشفرة و المخزّنة في ملف etc/shadow/ لكلمة مرور هذا المستخدم فستلاحظ تغيّرها بعد تنفيذ الأمر السابق. كيف تنشئ مستخدما جديدا؟يمكن إنشاء حسابات مستخدمين جديدة عن طريق عدد من الأدوات، ولعلّ أسهلها adduser، وفي أنظمة Ubuntu تُشير هذه الأداة إلى سكربت بيرل والذي يتولى عملية إضافة مستخدم جديد. يمكن استدعاء السكربت من خلال: adduser demo Adding user `demo' ... Adding new group `demo' (1000) ... Adding new user `demo' (1000) with group `demo' ... Creating home directory `/home/demo' ... Copying files from `/etc/skel' ... Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully Changing the user information for demo Enter the new value, or press ENTER for the default Full Name []: test Room Number []: room Work Phone []: work phone Home Phone []: home phone Other []: other Is the information correct? [Y/n] ستطلب منك الأداة الإجابة على مجموعة من الأسئلة لملئ المعلومات اللازمة عن المستخدم في ملفي etc/passwd/ و etc/shadow/. يمكنك بعد ذلك أن ترى المُدخل الذي تمت إضافته إلى الملف etc/passwd/ عن طريق الأمر: tail -1 /etc/passwd demo:x:1000:1000:test,room,work phoneme phone,other:/home/demo:/bin/bash وكما ترى فقد عُبّئت الحقول كما هو متوقع، باستثناء أننا حصلنا على حقل ملاحظات أكثر فائدة. بنفس الطريقة يمكن تنفيذ الأمر التالي لرؤية التعديلات التي أدخلت على ملف etc/shadow/: sudo tail -1 /etc/shadowdemo:$6$XvPCmWr4$HXWmaGSeU5SrKwK2ouAjc68SxbJgUQkQ.Fco9eTOex8232S7weBfr/CMHQkullQRLyJtCAD6rw5TVOXk39NAo/:15952:0:99999:7:::الخلاصةكما ترى فإنه يمكنك تعديل معلومات تسجيل الدخول لأي مستخدم على نظام التشغيل الخاص بك بأسلوب سهل من خلال هذه الأدوات البسيطة. تجدر الإشارة أخيرًا إلى أهمية اختبارك لقابلية تسجيل الدخول مجددًا عقب أي تغيير تجريه، كما أنه من الضروري الإبقاء على صلاحيات ملفات الضبط السابقة كما هي للمحافظة على الأمان والقدرة على تأدية المهام. ترجمة -وبتصرف- للمقال How To Use passwd and adduser to Manage Passwords on a Linux VPS لصاحبه Justin Ellingwood. حقوق الصورة البارزة: Designed by Freepik.

تُمثِّل إضافة وحذف المستخدمين واحدةً من المهمَّات الأساسيّة الّتي يتوجَّب على كلّ مسؤول خواديم معرفةُ كيفيّة إجرائها. يوجد، افتراضًا، عند إنشاء خادوم جديد حسابُ مستخدِم واحدٌ فقط هو المستخدِم الجذر Root. يمنح حساب المستخدم الجذر الكثير من الإمكانيّات والمرونة، إلّا أنّه قد يكون في نفس الوقت مدمِّرًا وخطِرًا. من الجيّد في هذا الإطار إنشاء مستخدِم إضافيّ بامتيّازات Privileges محدودة لإجراء المهمّات الشّائعة. يجب أن تُنشئ حساباتٍ أخرى لكلّ شخص على نظامك بحيث يكون لدى كلّ مستخدم حساب مستقلّ، خاصّ به. ستبقى لدى المستخدم، إذا رأى مُدير النّظام ذلك مناسِبًا، إمكانيّة الحصول على الامتيّازات الإداريّة عندما يحتاجها، عبر آليّة تُسمَّى sudo. يشتمل هذا الدّليل على كيفيّة إنشاء حسابات للمستخدمين، منح امتيّازات sudo، وحذف المستخدمين. كيفيّة إضافة مستخدميُمكنك، عند التّسجيل بحساب المستخدم الجذر root، إنشاءُ مستخدمين جدد عبر تنفيذ الأمر التّالي (newuser هوّ اسم المستخدم): adduser newuserفي حال سجّلت الدّخول باسم مستخدم آخر، غير المستخدم الجذر، يملك امتيّازات sudo؛ أُنشِئ حسب الطّريقة المشروحة في درس الإعداد الابتدائي لخادوم أوبنتو 14.04 فيُمكنك إضافة مستخدم جديد عبر تنفيذ الأمر: sudo adduser newuserفي كلتا الحالتيْن ستُطرَح عليك مجموعة من الأسئلة. تتلخّص العمليّة في ما يلي: تعيين ثمّ تأكيد كلمة سرّ المستخدم الجديد.إدخال معلومات إضافيّة عن المستخدم الجديد. هذا الجزء اختيّاري ويُمكن تجاوزه بضغط زرّ Enter.أخيرًا سيُطرح عليك سؤال للتأكّد من المعلومات المُعطاة؛ ضغط زرّ Y يعني الموافقة.يُصبح الحساب الجديد، بعد إتمام هذه الخطوات، جاهِزًا للاستخدام؛ ويُمكن الدّخول إليه باستخدام كلمة السّر المعيّنة. في الفقرة التّاليّة سنشرح طريقة منح صلاحيّات إداريّة للمستخدم الجديد. منح امتيّازات Sudo لمستخدمإذا احتاج المستخدم الجديد لتنفيذ أوامر بامتيّازات إداريّة، فسيتوجّب علينا منحه امتيّاز الوصول إلى sudo. أمر visudo يؤدّي هذه المهمّة. يفتح visudo ملفّ الإعداد المناسب في المحرّر لديك. هذه هيّ الطّريقة الآمَن لإجراء هذه التّعديلات. نفّذ الأمر على النّحو التّالي، إذا سجّلت الدّخول بالمستخدم الجذر: visudoوعلى النّحو التّالي إن كنت سجّلت الدّخول بمستخدم آخر لديه صلاحيّات sudo: sudo visudoابحث عن سطر يأخذ الشّكل التّالي: root ALL=(ALL:ALL) ALLأضف أسفلَ هذا السّطر سطرًا جديدًا بنفس الصّيغة، مع إحلال اسم المستخدِم newuser مكان root. يُصبح الملفّ بالشّكل التّالي: root ALL=(ALL:ALL) ALL newuser ALL=(ALL:ALL) ALLيجب أن تضيف سطرًا جديدًا لكلّ مستخدم تُريد منحه كلّ صلاحيّات sudo. بعد الانتهاء من تحرير الملفّ يُمكنك حفظه ثم إغلاقه عبر الضّغط على زرّيْ CTRL وX في نفس الوقت. اضغط بعدها على زرّ Y ثمّ Enter للتّأكيد. يُمكن للمستخدم newuser الآن تنفيذ أوامر بصلاحيّات إداريّة. تُنفَّذ الأوامر عند تسجيل الدّخول بالحساب الجديد بنفس طريقة تنفيذها عند تسجيل الدّخول بالمستخدم العاديّ؛ فقط يُكتب اسم الأمر، ls على سبيل المثال: lsتُضاف sudo أمام نفس الأمر لتنفيذه بصلاحيّات إداريّة: sudo lsسيُطلب منك بعدها إدخال كلمة سرّ الحساب الّذي سجّلت به الدّخول. كيفيّة حذف مستخدمأحيانًا يُصبح وجود حساب مستخدِم غير ضروريّ؛ الأفضل في هذه الحالة حذف هذا الحساب. أمر deluser يحذف حساب المستخدم دون المساس بملفّاته. عند استخدام الحساب الجذر root (حيث newuser الحساب المُراد حذفُه): deluser newuserبالنّسبة لمستخدم آخر يملك امتيّازات sudo فإنّ الأمر يُصبح على النّحو التّالي: sudo deluser newuserأمّا إذا كان الهدف حذف حساب المستخدم وحذف ملفّاته فيجب إضافة خيّار remove-home-- فيُصبح : deluser --remove-home newuserأو (عند استخدام حساب آخر غير root): sudo deluser --remove-home newuserإذا كنت قد أعددت حساب المستخدم المحذوف ليحصُل على امتيّازات sudo فمن المستحسن تحرير ملفّ الإعداد مرةً أخرى وحذف السّطر الموافق لحساب المستخدم المعنيّ. visudoأو (عند استخدام حساب آخر غير root): sudo visudoيظهر ملفّ الإعداد: root ALL=(ALL:ALL) ALL newuser ALL=(ALL:ALL) ALL # احذف هذا السّطرسيمنع هذا الإجراء الاحترازيّ حصولَ حساب مستخدم يُنشأ مستقبلًا على امتيّازات sudo بطريقة غير مقصودة. خاتمةينبغي أن تكون لديك الآن معرفة جيّدة بكيفيّة إضافة وحذف المستخدمين في أوبنتو 14.04. تُمكِّن الإدارة الفعّالة للمستخدمين من الفصل بين حسابات هؤلاء، فلا يُمنح المستخدم سوى الامتيّازات الّتي يحتاجها لأداء عمله. للمزيد حول إعداد sudo راجع دليل تحرير ملفّ sudoers ترجمة بتصرّف لمقال How To Add and Delete Users on an Ubuntu 14.04 VPS