Брисање корисника на Линук-у укључује више него што мислите. Ако сте администратор система, желећете да очистите све трагове налога и његовог приступа са својих система. Показаћемо вам кораке које треба предузети.
Ако само желите да избришете кориснички налог са свог система и не бринете о окончању покренутих процеса и других задатака чишћења, следите кораке у одељку „Брисање корисничког налога“ у наставку. Требаће вам наредба делусер на дистрибуцијама заснованим на Дебиан-у и наредба усердел на другим Линук дистрибуцијама.
Преглед садржаја
Кориснички налози на Линук-у
Од када је први системи за дељење времена појавили су се раних 1960-их и донели са собом могућност да више корисника ради на једном рачунару, појавила се потреба да се изолују и раздвоје датотеке и подаци сваког корисника од свих осталих корисника. И тако кориснички налози—и лозинке-Рођени.
Кориснички налози имају административне трошкове. Треба их креирати када кориснику први пут затреба приступ рачунару. Треба их уклонити када тај приступ више није потребан. На Линук-у постоји низ корака које треба следити да бисте правилно и методично уклонили корисника, његове датотеке и налог са рачунара.
Ако сте администратор система, одговорност је на вама. Ево како да то урадите.
Наш сценарио
Постоји много разлога због којих би налог требало да буде избрисан. Члан особља можда прелази у други тим или потпуно напушта компанију. Налог је можда био подешен за краткорочну сарадњу са посетиоцем из друге компаније. Тим-упови су уобичајени у академским круговима, где истраживачки пројекти могу обухватити одељења, различите универзитете, па чак и комерцијалне субјекте. По завршетку пројекта, администратор система мора да изврши одржавање и уклони непотребне налоге.
Најгори сценарио је када неко оде под облак због прекршаја. Такви догађаји се обично дешавају изненада, са мало претходног упозорења. То администратору система даје врло мало времена за планирање и хитност да се налог закључа, затвори и избрише—са копијом корисничких датотека направљених резервних копија у случају да су потребне за било какву форензику након затварања.
У нашем сценарију, претвараћемо се да је корисник, Ериц, урадио нешто што гарантује његово тренутно уклањање из просторија. У овом тренутку он тога није свестан, још увек ради и пријављен је. Чим дате знак обезбеђењу, биће испраћен из зграде.
Све је спремно. Све очи су упрте у тебе.
Проверите Логин
Да видимо да ли је заиста пријављен и, ако јесте, са колико сесија ради. Ко командује ће навести активне сесије.
who
Ериц је пријављен једном. Хајде да видимо које процесе он покреће.
Преглед процеса корисника
Можемо користити команду пс да наведите процесе које овај корисник покреће. Опција -у (корисник) нам омогућава да кажемо пс-у да ограничи свој излаз на процесе који се покрећу под власништвом тог корисничког налога.
ps -u eric
Можемо видети исте процесе са више информација користећи топ команду. топ такође има опцију -У (корисник) за ограничавање излаза на процесе у власништву једног корисника. Имајте на уму да је овај пут велико слово „У“.
top -U eric
Можемо да видимо употребу меморије и ЦПУ-а за сваки задатак и можемо брзо да потражимо било шта са сумњивом активношћу. Спремамо се да насилно убијемо све његове процесе, тако да је најбезбедније да одвојите тренутак да брзо прегледате процесе и проверите и уверите се да други корисници неће имати непријатности када укинете процесе корисничког налога ерица.
Не изгледа да ради много, само користи мање за преглед датотеке. Можемо да наставимо. Али пре него што убијемо његове процесе, замрзаћемо налог закључавањем лозинке.
Закључавање налога
Закључаћемо налог пре него што убијемо процесе јер када убијемо процесе, он ће одјавити корисника. Ако смо му већ променили лозинку, он неће моћи поново да се пријави.
Шифроване корисничке лозинке се чувају у датотеци /етц/схадов. Обично се не бисте замарали овим следећим корацима, али да бисте могли да видите шта се дешава у /етц/схадов датотеци када закључате налог, мало ћемо скренути. Можемо користити следећу команду да погледамо прва два поља уноса за ериц кориснички налог.
sudo awk -F: '/eric/ {print $1,$2}' /etc/shadow
Команда авк анализира поља из текстуалних датотека и опционо манипулише њима. Користимо опцију -Ф (сепаратор поља) да кажемо авк-у да датотека користи двотачку ” : ” за раздвајање поља. Потражићемо линију са шаблоном „ерик“ у њој. За одговарајуће линије, штампаћемо прво и друго поље. Ово су име налога и шифрована лозинка.
Унос за кориснички налог ериц је одштампан за нас.
За закључавање налога користимо наредбу пассвд. Користићемо опцију -л (закључавање) и унесите име корисничког налога за закључавање.
sudo passwd -l eric
Ако поново проверимо датотеку /етц/пассвд, видећемо шта се догодило.
sudo awk -F: '/eric/ {print $1,$2}' /etc/shadow
Узвичник је додат на почетак шифроване лозинке. Не преписује први знак, већ се само додаје на почетак лозинке. То је све што је потребно да би се спречило да корисник може да се пријави на тај налог.
Сада када смо спречили корисника да се поново пријави, можемо да прекинемо његове процесе и да га одјавимо.
Убијање процеса
Постоје различити начини да се убију процеси корисника, али команда приказана овде је широко доступна и модернија је имплементација од неких алтернатива. Команда пкилл ће пронаћи и убити процесе. Пребацујемо сигнал КИЛЛ и користимо опцију -у (корисник).
sudo pkill -KILL -u eric
Враћени сте у командни редак на изразито антиклимактични начин. Да бисмо били сигурни да се нешто десило хајде да поново проверимо ко:
who
Његова сесија је нестала. Он је одјављен и његови процеси су заустављени. То је донекле избацило хитност из ситуације. Сада можемо мало да се опустимо и наставимо са остатком чишћења док обезбеђење иде до Ерицовог стола.
Архивирање корисничког кућног именика
Није искључено да ће у оваквом сценарију у будућности бити потребан приступ корисничким датотекама. Било као део истраге или једноставно зато што ће њихова замена можда морати да се осврне на рад њиховог претходника. Користићемо команду тар да архивирају цео њихов кућни директоријум.
Опције које користимо су:
ц: Креирајте архивску датотеку.
ф: Користите наведено име датотеке за име архиве.
ј: Користи бзип2 компресију.
в: Обезбедите детаљан излаз док се архива креира.
sudo tar cfjv eric-20200820.tar.bz /home/eric
Много излаза на екрану ће се померати у прозору терминала. Да бисте проверили да ли је архива направљена, користите команду лс. Користимо опције -л (дуги формат) и -х (читљиво за људе).
ls -lh eric-20200802.tar.bz
Направљена је датотека од 722 МБ. Ово се може копирати на неко безбедно место за каснији преглед.
Уклањање црон послова
Боље би било да проверимо да ли постоје неки црон послови заказани за кориснички налог ериц. Црон посао је команда која се покреће у одређеним временима или интервалима. Можемо да проверимо да ли постоје неки црон послови заказани за овај кориснички налог користећи лс:
sudo ls -lh /var/spool/cron/crontabs/eric
Ако било шта постоји на овој локацији, то значи да постоје црон послови у реду за тај кориснички налог. Можемо их избрисати овом командом цронтаб. Опција -р (уклони) ће уклонити послове, а опција -у (корисник) говори цронтаб-у чије послове уклонити.
sudo crontab -r -u eric
Послови се тихо бришу. Колико знамо, да је Ериц сумњао да ће бити исељен, можда би заказао злонамерни посао. Овај корак је најбоља пракса.
Уклањање задатака за штампање
Можда је корисник имао задатке за штампање на чекању? Само да будемо сигурни, можемо да очистимо ред штампања свих послова који припадају корисничком налогу ериц. Команда лпрм уклања послове из реда за штампање. Опција -У (корисничко име) вам омогућава да уклоните послове у власништву именованог корисничког налога:
lprm -U eric
Послови се уклањају и враћате се на командну линију.
Брисање корисничког налога
Већ смо направили резервну копију датотека из /хоме/ериц/ директоријума, тако да можемо да избришемо кориснички налог и истовремено избришемо /хоме/ериц/ директоријум.
Команда коју користите зависи од тога коју дистрибуцију Линука користите. За Линук дистрибуције засноване на Дебиану, команда је делусер, и за остатак Линук света, то је усердел.
У ствари, на Убунту-у су доступне обе команде. Половично сам очекивао да ће један бити псеудоним за други, али то су различите бинарне датотеке.
type deluser
type userdel
Иако су оба доступна, препорука је да користите делусер на дистрибуцијама изведеним из Дебиана:
„усердел је услужни програм ниског нивоа за уклањање корисника. На Дебиан-у, администратори обично треба да користе делусер(8).“
То је довољно јасно, тако да је команда која се користи на овом Убунту рачунару варљива. Пошто такође желимо да њихов почетни директоријум буде уклоњен, користимо ознаку –ремове-хоме:
sudo deluser --remove-home eric
Команда која се користи за не-Дебиан дистрибуције је усердел, са заставицом –ремове:
sudo userdel --remove eric
Сви трагови корисничког налога ериц су избрисани. Можемо да проверимо да ли је директоријум /хоме/ериц/ уклоњен:
ls /home
Група ериц је такође уклоњена јер је кориснички налог ериц био једини унос у њој. Ово можемо лако проверити тако што ћемо садржај /етц/гроуп проследити кроз греп:
sudo less /etc/group | grep eric
То је готово
Ерик, због својих греха, је отишао. Обезбеђење га још увек изводи из зграде, а ви сте већ обезбедили и архивирали његове фајлове, избрисали његов налог и очистили систем од свих остатака.
Тачност увек надмашује брзину. Обавезно размислите о сваком кораку пре него што га предузмете. Не желите да вам неко приђе до стола и каже „Не, други Ерик.“