Come-aggiungere-rimuovere-utente | Linuxiano.it
Privacy Policy

Come-aggiungere-rimuovere-utente

Come aggiungere rimuovere utente (utente standard / non root) su Linux (guida semplice)

Gestione utenti

La gestione degli utenti è una parte fondamentale del mantenimento di un sistema sicuro. La gestione inefficiente degli utenti e dei privilegi spesso porta a compromettere molti sistemi. Pertanto, è importante comprendere come è possibile proteggere il server attraverso tecniche di gestione degli account utente semplici ed efficaci.

Dov’è la radice?

Gli sviluppatori di Ubuntu hanno preso una decisione coscienziosa di disabilitare l’account root amministrativo per impostazione predefinita in tutte le installazioni di Ubuntu. Questo non significa che l’account di root sia stato cancellato o che non sia possibile accedervi. È stata semplicemente fornita una password che non corrisponde a nessun valore crittografato, pertanto potrebbe non accedere direttamente da solo.

Invece, gli utenti sono incoraggiati a utilizzare uno strumento con il nome di sudo per svolgere compiti amministrativi di sistema. Sudo consente a un utente autorizzato di elevare temporaneamente i propri privilegi utilizzando la propria password invece di dover conoscere la password che appartiene all’account root. Questa metodologia semplice ma efficace fornisce la responsabilità per tutte le azioni dell’utente e fornisce all’amministratore un controllo granulare su quali azioni un utente può eseguire con detti privilegi.

Gestire le password.

come-aggiungere-rimuovere-utente

Nell’immagine sopra potete vedere che nel terminale con il comando “sudo passwd -l root” ho eliminato la passwd dell’ amministartore cioè io, e succesivamente ho dato il comando “sudo  -s” normalmente mi dovrebbe chiedere la password ma in questo caso no perchè è stata eliminata.

Per impostare nuovamente la password scrivete semplicemente “passwd” e riensiretela.

Questo serve per cambiare la vostra passwd di sistema.

In modo predefinito, l’utente iniziale creato dall’installazione di Ubuntu è un membro del gruppo «admin» ed è stato aggiunto al file /etc/sudoers come utente autorizzato all’utilizzo di sudo. Per autorizzare altri utenti ai pieni poteri amministrativi di root attraverso l’uso del comando sudo, è sufficiente aggiungerli al gruppo «admin».

Linux come aggiungere o rimuovere utenti

Il processo per la gestione di utenti e gruppi locali è molto intuitivo e differisce poco dalla maggior parte degli altri sistemi GNU/Linux. Ubuntu e altre distribuzioni basate su Debian, spingono l’utilizzo del pacchetto «adduser» per la gestione degli utenti.

Per aggiungere un nuovo utente, utilizzare i seguenti comandi e seguire le istruzioni per impostare all’account una password e fornire le caratteristiche identificabili come nome, cognome, numero di telefono, ecc…

Prima di tutto vediamo il kernel utilizzato con il seguente comando:

Terminale
  • uname –a
  • lsb_release –a

Ora aggiungiamo utente. Aprire il terminale e digitare following per creare un nuovo utente (sostituire user1 con il nome utente desiderato)

Terminale
  • sudo adduser NOME_UTENTE

Per eliminare un utente e il suo gruppo principale, digitare:

Terminale
  • sudo deluser NOME_UTENTE

Quando si elimina un account utente non viene rimossa la sua cartella home. L’amministratore deciderà  se rimuoverla o no in base alle proprie scelte.

Ricordare che, se non sono state prese le necessarie precauzioni, ogni nuovo utente aggiunto successivamente con gli stessi UID/GID del precedente proprietario della cartella, avrà accesso a tale cartella.

Potete modificare questi valori UID/GID con qualcosa di più appropriato, come per esempio l’account root, e spostare la cartella per evitare futuri conflitti:

Terminale
  • sudo  -s
  • chown -R root:root /home/NOME_UTENTE/
  • mkdir /home/archived_users/
  • mv /home/NOME_UTENTE /home/archived_users/


Per bloccare o sbloccare temporaneamente l’account di un utente, utilizzare, rispettivamente, i seguenti comandi:

Terminale
  • sudo passwd -l NOME_UTENTE
  • sudo passwd -u NOME_UTENTE

Per aggiungere o rimuovere un gruppo personalizzato, utilizzare, rispettivamente, i seguenti comandi:

Terminale
  • sudo addgroup NOME_GRUPPO
  • sudo delgroup NOME_GRUPPO

Per aggiungere un utente a un gruppo, digitare:

Terminale
  • sudo adduser NOME_UTENTE NOME_GRUPPO

Sicurezza dei profili utente

Quando creiamo un nuovo utente, l’applicazione «adduser» crea una nuova directory chiamata /home/NOME_UTENTE. Il profilo predefinito è modellato secondo i contenuti presenti nella directory /etc/skel che contiene tutti i profili di base.

Se il proprio server ospiterà più utenti, è necessario prestare la massima attenzione alle autorizzazioni delle home degli utenti, al fine di garantirne la riservatezza. In modo predefinito, in Ubuntu, le home degli utenti sono create con permessi di lettura e di esecuzione per tutti gli utenti. Questo significa che tutti gli utenti possono visualizzare e accedere al contenuto delle home degli altri utenti, cosa che potrebbe non essere soddisfacente per il proprio ambiente.

Per verificare i permessi attuali della home degli utenti, utilizzare il seguente comando:

Terminale
  • ls -ld /home/NOME_UTENTE

Il seguente output mostra che la directory /home/NOME_UTENTE è accessibile in lettura da parte di tutti gli utenti:

Terminale
  • drwxr-xr-x 2 nomeutente nomeutente 4096 2007-10-02 20:03 nomeutente

È possibile rimuovere il permesso in lettura da tutti con il seguente comando:

Terminale
  • sudo chmod 0750 /home/NOME_UTENTE

Un modo più efficiente potrebbe essere quello di modificare direttamente le impostazioni predefinite dell’applicazione adduser sui permessi da assegnare alle home degli utenti appena creati. È sufficiente modificare la variabile DIR_MODE, nel file /etc/adduser.conf, secondo le proprie esigenze.

Terminale
  • DIR_MODE=0750

Dopo aver corretto opportunamente i permessi di accesso alle directory home come descritto precedentemente, verificare il risultato con il seguente comando:

Terminale
  • ls -ld /home/NOME_UTENTE

Il risultato qui sotto mostra come i permessi di lettura per tutti gli altri utenti siano stai rimossi:

Terminale
  • drwxr-x— 2 nomeutente nomeutente 4096 2007-10-02 20:03 nomeutente

Le politiche delle Password

Una dura politica delle password è uno dei più importanti aspetti della sicurezza di un sistema. Le violazioni più ripetute di un sistema avvengono tramite attacchi di brute force con degli elenchi di parole che statisticamente possono comprendere delle parole chiavi utilizzate come password. Se volete offrire un qualsiasi tipo di accesso remoto utilizzando la propria password locale, assicurarsi che la complessità della stessa superi dei limiti minimi di adeguatezza, impostare password con durate massime e controllare frequentemente i propri sistemi di autenticazione.

Lungezza minima di una password

Ubuntu richiede, in modo predefinito, una lunghezza minima per le password pari a 4 caratteri, oltre ad alcuni controlli di entropia. Questi valori sono impostati nel file /etc/pam.d/common-password alla riga:

Terminale
  • password required pam_unix.so nullok obscure min=4 max=8 md5

Per modificare la lunghezza minima delle password impostandola a 6 caratteri, modificare la variabile appropriata con «min=6». Ecco un esempio della modifica:

Terminale
  • password required pam_unix.so nullok obscure min=6 max=8 md5

Scadenza delle password

Quando vengono creati dei nuovi utenti potete impostare una durata minima e massima per le loro password, obbligando gli stessi a modificarla alla scadenza.
Per visualizzare facilmente lo stato attuale di un account utente, utilizzare il seguente comando:

Terminale
  • sudo chage -l NOME_UTENTE

L’output seguente mostra informazioni interessanti sull’account dell’utente, in particolare che non ci sono politiche applicate:

Per impostare uno qualsiasi di questi campi, utilizzare il seguente comando e seguire le istruzioni:

Terminale
  • sudo chage NOME_UTENTE

Quello che segue è un esempio di come sia possibile modificare manualmente la data di scadenza dell’account (-E) al 31/01/2008 (inserirla nel formato mm/gg/aaaa o nel formato aaaa/mm/gg), l’età minima della password (-m) a 5 giorni, l’età massima (-M) a 90 giorni, il periodo di inattività (-I) a 5 giorni dopo la scadenza della password e un avvertimento (-W) di 14 giorni prima della scadenza delle password.

Terminale
  • sudo chage -E 01/31/2008 -m 5 -M 90 -I 30 -W 14 username

Per verificare le modifiche, utilizzare lo stesso comando di prima:

Terminale
  • sudo chage -l NOME_UTENTE

Il seguente output mostra i cambiamenti effettuati sull’account:

Ultimo cambio della password : gen 20, 2008
Scadenza della password : apr 19, 2008
Inattività della password : mag 19, 2008
Scadenza dell’account : gen 31, 2008
Numero minimo di giorni tra i cambi di password : 5
Numero massimo di giorni tra i cambi di password : 90
Giorni di preavviso prima della scadenza della password : 14

Ulteriori considerazioni sulla sicurezza

Molte applicazioni usano meccanismi di autenticazione alternativi che possono essere facilmente trascurati anche da esperti amministratori di sistema. Pertanto, è importante comprendere e controllare come avviene l’autenticazione degli utenti e come accedono ai servizi e alle applicazioni sul proprio server.

Accesso SSH per gli utenti disabilitati

Disattivando o bloccando l’account di un utente non impedisce che quest’ultimo riesca a effettuare l’accesso al server se precedentemente utilizzava una chiave pubblica RSA; saranno ancora in grado di ottenere l’accesso al server senza la necessità della password. Controllare sempre se nella directory home degli utenti sono presenti dei file che permettano questo tipo di autenticazione SSH, come per esempio /home/nomeutente/.ssh/authorized_keys.

Eliminare o rinominare la directory .ssh/ nella home degli utenti per prevenire future autenticazioni SSH.

Assicurarsi di controllare qualsiasi connessione SSH stabilita dagli utenti disabilitati, dato che potrebbero esserci connessioni aperti in entrata o in uscita. Terminare tutte quelle che vengono trovate.

Limitare l’accesso SSH solo agli utenti che ne hanno il diritto. Per esempio, è possibile creare un gruppo chiamato «sshlogin» e aggiungere il nome del gruppo alla voce AllowGroupsvarname> nel file /etc/ssh/sshd_config.

AllowGroups sshlogin

Dopo aver aggiunto gli utenti con diritto di accesso SSH al gruppo «sshlogin», riavviare il server SSH.

Terminale
  • sudo adduser NOME_UTENTE sshlogin
  • sudo /etc/init.d/ssh restart

Autenticazione utenti su database esterno

La maggior parte delle reti aziendali richiedono un servizio di autenticazione e di controllo degli accessi centralizzato per tutte le risorse di sistema. Se il server è stato configurato per gestire l’autenticazione attraverso database esterni, assicurarsi di disabilitare gli account utente sia esternamente che internamente, in questo modo l’autenticazione locale di riserva non è più possibile.

(Nota: -m significa creare una home directory che di solito è / home / username) Ora imposta la password per questo utente:

Terminale
  • passwd user1

Scrivi e conferma la passorwd

Aggiungi utente al gruppo sudo (per consentire all’utente di installare software, stampare, utilizzare la modalità privilegiata, ecc.)

Terminale
  • usermod -a -G sudo user1

(Nota: -a significa aggiungere o aggiungere e -G significa per gruppo / gruppi specifici)

Cambia la shell di default dell’utente precedentemente creato in bash

Terminale
  • chsh -s /bin/bash user1

(Nota: shell di login con cambio medio di chsh, -s è il nome della shell specificata che vuoi per l’utente, in questo caso / bin / bash)

Bene, tutto ha funzionato come previsto. Esegui il logout e accedi come il nostro nuovo utente non root standard (utente1)

Accedi come nuovo utente

Una volta effettuato l’accesso, confermiamo dalla riga di comando chi sono veramente! Nel tipo di terminale nel seguito:

Terminale
  • whoami

Prendi nota del prompt [email protected] Ciò conferma anche chi sei. E controlliamo l’affinità del mio gruppo, digita il seguente nel terminale:

Terminale
  • groups

Mi sembra buono finora.Faccio parte del gruppo user1 (il mio principale) e del gruppo sudo. Ciò significa che posso eseguire comandi privilegiati o diventare io stesso root se necessario.

Diventa root

Terminale
  • sudo -s

e digita la password dell’utente1 per diventare root.

Vedi il prompt diventa root @ kali invece di user1 @ kali. Ciò significa che ora sei root e gestisci tutto ciò che Kali ha da offrire.

Confermiamo che usando il comando whoami

Terminale
  • whoami

Fin qui tutto bene. Ora come si elimina un utente? Elimina utente in Kali Linux: Accedi nuovamente come utente root. Aprire il terminale e digitare:

Terminale
  • userdel –r user1

(Nota: -r significa eliminare tutti i file e la home directory dell’utente1)È possibile sostituire utente1 con il nome utente desiderato.

Ho un errore “user1 è attualmente utilizzato dal processo 5866”.Quindi l’ID processo 5866 viene utilizzato dall’utente1. (So ​​che è il processo di gnome-keyring in esecuzione in background quando ho usato sudo su-command in precedenza. (L’errore di Gnome-Keyring è abbastanza comune in Debian quando si installano più Windows o Desktop Manager.Lascia fare.Digitare quanto segue nel terminale per terminare il processo utilizzato dall’utente1.

Terminale
  • kill -9 5866

Questo uccide immediatamente il processo.

(Nota: non uccidere i processi di root o di sistema se non sai cosa stai facendo)Adesso proviamo a cancellare di nuovo l’utente.

Terminale
  • userdel –r user1

Abbiamo un messaggio. “Userdel: user1 mail spool (/ var / mail / user1) non trovato”.(Nota: -r significa eliminare tutti i file e la home directory dell’utente1)Ci preoccuperemo? Non proprio, non abbiamo mai creato una casella di posta per utente1.Solo per confermare tutto per utente1 sono stati cancellati i file di lista nella directory home

Terminale
  • ls /home

Nulla .. questa è una buona notizia, tutti i file e le cartelle sono stati cancellati per utente1.Vuoi ricontrollare?

Terminale
  • su user1

L’utente perfetto1 è stato cancellato con successo.