O arquivo que guarda todas as contas dispon\u00edveis e respectivas informa\u00e7\u00f5es de login \u00e9 o \/etc\/passwd. Logo, para ter acesso \u00e0 lista de usu\u00e1rios, fazemos o seguinte: No terminal, utilize o comando:\u00a0sudo cat \/etc\/passwd<\/strong>.<\/p>\n\n\n\n Existem duas maneiras de se adicionar usu\u00e1rios por meio do terminal, que s\u00e3o os comandos\u00a0useradd<\/strong>\u00a0e\u00a0adduser<\/strong>\u00a0– embora muito similares e f\u00e1ceis de confundir, este \u00faltimo \u00e9 mais pr\u00e1tico, visto que o useradd \u00e9 um bin\u00e1rio de baixo n\u00edvel.<\/p>\n\n\n\n Come\u00e7ando pelo pr\u00f3prio S\u00e3o mais de 20 op\u00e7\u00f5es de a\u00e7\u00e3o dispon\u00edveis no useradd. Podemos criar diferentes tipos de contas (usu\u00e1rio, grupo, sistema…) aplicando algumas configura\u00e7\u00f5es (com ou sem diret\u00f3rio \/home, diret\u00f3rios alternativos, data de expira\u00e7\u00e3o\u2026) e, ainda, fazer consultas a contas j\u00e1 existentes (visualizar ID, listar grupos e diret\u00f3rios\u2026).<\/p>\n\n\n\n Criar os usu\u00e1rios \u00e9 muito simples. Basta digitar o comando A op\u00e7\u00e3o -m, conforme a tabela acima, cria um diret\u00f3rio \/home para o usu\u00e1rio rec\u00e9m-criado. Por isso, sempre que criamos usu\u00e1rios com esse m\u00e9todo, um novo diret\u00f3rio \u00e9 gerado pelo sistema.<\/p>\n\n\n\n Para completar o processo \u00e9 necess\u00e1rio registrar uma senha para cada usu\u00e1rio. Nesse caso, utiliza-se o comando Assim que executado o comando, o terminal retornar\u00e1 um campo no qual deve ser digitada a senha.<\/p>\n\n\n\n Para deletar usu\u00e1rios, o comando utilizado \u00e9 o A op\u00e7\u00e3o -r \u00e9 usada para remover a conta declarada no fim do comando.<\/p>\n\n\n\n Al\u00e9m de criar usu\u00e1rios, o administrador da rede tamb\u00e9m pode criar grupos para facilitar o gerenciamento quando h\u00e1 grande quantidade de usu\u00e1rio ou alguma segmenta\u00e7\u00e3o se faz necess\u00e1ria (departamentos, times, divis\u00f5es etc.), deixando o acesso a arquivos e recursos mais bem organizado.<\/p>\n\n\n\n Neste exemplo, vamos criar dois tipos de grupos: o primeiro ser\u00e1 composto por usu\u00e1rios com permiss\u00f5es para editar arquivos (denominado \u201cdiretores\u201d) e o segundo, por usu\u00e1rios que podem fazer a leitura somente (denominado \u201coperadores\u201d). Criando os dois grupos:<\/p>\n\n\n\n Para verificar se os grupos foram indexados corretamente pelo sistema, basta digitar o comando Agora, vamos supor que Carlos Silva e Manoel sejam, respectivamente, diretor e assistente do departamento financeiro da empresa. Para adicion\u00e1-los em seus devidos grupos, digite:<\/p>\n\n\n\n Pronto! Os usu\u00e1rios foram adicionados aos respectivos grupos e eles j\u00e1 podem ser gerenciados pelo administrador.<\/p>\n\n\n\n Uma etapa importante do gerenciamento \u00e9 a defini\u00e7\u00e3o de permiss\u00f5es, ou seja, o que cada grupo est\u00e1 autorizado a fazer. Ali\u00e1s, os grupos existem para isso, tamb\u00e9m, e n\u00e3o somente para segmentar usu\u00e1rios, pois imagine s\u00f3 o trabalho que n\u00e3o seria estabelecer regras individualmente?<\/p>\n\n\n\n Por ora, sabemos que o user Carlos tem muito mais autonomia para mexer nos arquivos em rela\u00e7\u00e3o ao user Manoel e demais colaboradores de n\u00edvel operacional.<\/p>\n\n\n\n Sendo assim, vamos come\u00e7ar a adicionar regras a quem esteja habilitado a editar arquivos; para tanto utilizamos o comando setfacl op\u00e7\u00e3o X:nome:Y \/diret\u00f3rio<\/p>\n\n\n\n A \u201cop\u00e7\u00e3o\u201d nada mais \u00e9 que uma das funcionalidades que a ferramenta setfacl coloca \u00e0 nossa disposi\u00e7\u00e3o (digite setfacl \u2013help no terminal para descobrir quais s\u00e3o elas). No campo \u201cX\u201d, insere-se u (para user) ou g (para group). Em \u201cnome\u201d, preenchemos com o nome do user \/ group, seguido do endere\u00e7o de diret\u00f3rio a ser usado.<\/p>\n\n\n\n Simplificando o cen\u00e1rio, suponha-se que o administrador do sistema tenha criado um diret\u00f3rio denominado \/Arquivos para armazenar os dados gerados pela equipe. A partir disso, ele come\u00e7a a atribuir permiss\u00f5es aos grupos em rela\u00e7\u00e3o ao diret\u00f3rio rec\u00e9m-criado. Exemplo:<\/p>\n\n\n\n A op\u00e7\u00e3o -m tem a fun\u00e7\u00e3o de modificar as permiss\u00f5es atuais de arquivos no diret\u00f3rio. J\u00e1 a instru\u00e7\u00e3o -R nada mais \u00e9 que a aplica\u00e7\u00e3o das novas regras aos subdiret\u00f3rios. Processo similar \u00e9 feito para os demais grupos.<\/p>\n\n\n\n Com a configura\u00e7\u00e3o acima, o grupo \u201coperadores\u201d conseguir\u00e1 ler os arquivos guardados no diret\u00f3rio \/Arquivos, mas n\u00e3o poder\u00e3o edit\u00e1-los de maneira alguma.<\/p>\n\n\n\n O comando usermod<\/strong> \u00e9 a chave para se fazer altera\u00e7\u00f5es em diferentes aspectos de uma conta. A sintaxe do comando \u00e9 simples: usermod op\u00e7\u00e3o username. Ela permite, por exemplo, que se determine expira\u00e7\u00e3o de conta, insira usu\u00e1rios a grupos de forma suplementar, mudar diret\u00f3rios do user etc. Abaixo, alguns exemplos.<\/p>\n\n\n\n Determinar uma data de expira\u00e7\u00e3o de uma conta \u00e9 interessante para evitar o acumulo de usu\u00e1ros inativos ou, por exemplo, controlar o acesso de um usu\u00e1rio que venha a usar o servidor temporariamente.<\/p>\n\n\n\n Vamos supor que no dia 25 de novembro de 2019 tenha sido criado o usu\u00e1rio Roberto (roberto_E), contratado para estagiar na empresa por seis meses, ent\u00e3o o administrador cria a conta de modo que esta seja expirada no fim do v\u00ednculo entre as partes. Exemplo:<\/p>\n\n\n\n Feito isso, digite Alterar o diret\u00f3rio \/home do usu\u00e1rio \u00e9 muito simples. O ideal \u00e9 que o processo seja feito em duas etapas; primeiramente, consulta-se o diret\u00f3rio atual e depois, se necess\u00e1rio, configura-se outro local. Exemplo:<\/p>\n\n\n\n o comando exibe o diret\u00f3rio \/home configurado atualmente<\/p>\n\n\n\n mudamos o diret\u00f3rio \/home para o referido caminho<\/p>\n\n\n\n Para fins de organiza\u00e7\u00e3o, \u00e9 poss\u00edvel acrescentar informa\u00e7\u00f5es \u00e0s contas, individualmente, fornecendo outros par\u00e2metros de pesquisa. A seguir, vejamos como vincular o username ao cargo ocupado pelo usu\u00e1rio.<\/p>\n\n\n\n Agora, utilize o comando grep para consultar alguns detalhes da conta:<\/p>\n\n\n\n laura:x:500:500:Analista de Testes:\/home\/testes\/laura:\/bin\/sh # resultado exibido<\/p>\n\n\n\n Num ambiente com muitos funcion\u00e1rios tal medida facilita bastante a identifica\u00e7\u00e3o dos usu\u00e1rios.<\/p>\n\n\n\n Diversas situa\u00e7\u00f5es podem nos levar a mudan\u00e7as no login, desde a ado\u00e7\u00e3o de um padr\u00e3o para cria\u00e7\u00e3o de usu\u00e1rios \u00e0 altera\u00e7\u00e3o em fun\u00e7\u00e3o de nova ocupa\u00e7\u00e3o do usu\u00e1rio, entre outros casos.<\/p>\n\n\n\n Vejamos o que fazer, por exemplo, para mudar o username regis<\/strong> para regis_admin<\/strong>:<\/p>\n\n\n\n Isso far\u00e1 com que as credenciais sejam modificadas, mas preservando todos os diret\u00f3rios e outros elementos vinculados \u00e0 conta desde a sua cria\u00e7\u00e3o.<\/p>\n\n\n\n Trancar contas de usu\u00e1rio \u00e9 uma medida de seguran\u00e7a consideravelmente \u00fatil, pois evita que determinada conta tenha permiss\u00f5es para navegar pelo sistema. Supondo que aconte\u00e7a um ataque ao servidor por meio de uma credencial que o invasor violou, o bloqueio, por si s\u00f3, j\u00e1 mitigaria o problema.<\/p>\n\n\n\n Para trancar uma conta, use o comando -L:<\/p>\n\n\n\n Utilize a op\u00e7\u00e3o -U para destrancar:<\/p>\n\n\n\n Apenas para memorizar: o comando -L se refere a lock, que significa \u201ctrancar\u201d em portugu\u00eas; o -U segue a mesma linha, por\u00e9m para\u00a0unlock<\/strong>\u00a0(destrancar).<\/p>\n\n\n\n Analisar o hist\u00f3rico de atividades do sistema um processo fundamental para estabelecer o controle. Isso porque muitos problemas s\u00e3o compreendidos a partir dos registros de eventos que ocorrem durante a navega\u00e7\u00e3o do usu\u00e1rio.<\/p>\n\n\n\n A partir dos registros \u00e9 que s\u00e3o feitas avalia\u00e7\u00f5es de brechas de seguran\u00e7a, por exemplo, entre outras atividades forense ou auditorias. O monitoramento frequente ajuda, tamb\u00e9m, a identificar potenciais vulnerabilidades antes que estas sirvam de brecha para ataques.<\/p>\n\n\n\n No diret\u00f3rio \/var\/log, dependendo da distribui\u00e7\u00e3o (no exemplo, estou trabalhando com Ubuntu), voc\u00ea encontra o arquivo auth.log, onde \u00e9 poss\u00edvel consultar todos os logs do usu\u00e1rio. Para acess\u00e1-lo, digite:\u00a0 Por meio do comando find, conseguimos listar todos os arquivos pertencentes a um determinado usu\u00e1rio de forma r\u00e1pida e f\u00e1cil, podendo, inclusive, criar filtros de busca de acordo com o diret\u00f3rio e o formato do arquivo.<\/p>\n\n\n\n Vejamos, abaixo, como encontrar arquivos de texto criados pelo usu\u00e1rio cuja ID \u00e9 300:<\/p>\n\n\n\n Vale destacar que o mesmo se aplica a grupos. Nesse caso, em vez da ID de usu\u00e1rio (UID) usa-se de grupo (GID).<\/p>\n\n\n\n Conseguir a ID de usu\u00e1rio ou grupo \u00e9 muito simples, bastando utilizar o comando id:<\/p>\n\n\n\n Voc\u00ea pode, tamb\u00e9m, criar um grupo com GID espec\u00edfico, ou seja, escolhendo como ele ser\u00e1 identificado. Exemplo:<\/p>\n\n\n\n Se quiser modificar o GID atual, digite:<\/p>\n\n\n\n Como podemos ver, n\u00e3o h\u00e1 necessidade de gerar informa\u00e7\u00f5es aleatoriamente, dificultando a memoriza\u00e7\u00e3o de IDs, por exemplo.<\/p>\n\n\n\n O que fazer quando uma s\u00e9rie de arquivos pertecentes a um ex-funcion\u00e1rio precisa ser transferido a outro respons\u00e1vel? O administrador de sistemas utiliza o comando chown para executar as redefini\u00e7\u00f5es, transferindo o diret\u00f3rio \/home para outro user. Exemplo:<\/p>\n\n\n\n A pr\u00e1tica vem a calhar, tamb\u00e9m, quando um novo colaborador \u00e9 contratado para assumir a ocupa\u00e7\u00e3o de algu\u00e9m que foi desligado da empresa. O rec\u00e9m-contratado herda os arquivos do antigo funcion\u00e1rio, n\u00e3o as suas credenciais.<\/p>\n","protected":false},"excerpt":{"rendered":" Gerenciar usu\u00e1rios no Linux \u00e9 mais uma das tarefas comuns da administra\u00e7\u00e3o de sistemas. Normalmente, ambientes de TI corporativos s\u00e3o compostos por servidores, nos quais s\u00e3o gerenciados os arquivos e os pr\u00f3prios usu\u00e1rios da rede. Quando falamos em gerenciar usu\u00e1rios, no entanto, ficamos diante de v\u00e1rios aspectos que isso engloba. […]<\/p>\n","protected":false},"author":1,"featured_media":403,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[84,4,332],"tags":[347,315,349,80,346,348,345],"class_list":["post-394","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-linux","category-tecnologia","category-tecnologia-da-informacao","tag-arquivos","tag-gerenciamento","tag-grupos","tag-linux","tag-permissoes","tag-senhas","tag-usuarios"],"_links":{"self":[{"href":"https:\/\/blog.wieczorek.com.br\/index.php\/wp-json\/wp\/v2\/posts\/394","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.wieczorek.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.wieczorek.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.wieczorek.com.br\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.wieczorek.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=394"}],"version-history":[{"count":7,"href":"https:\/\/blog.wieczorek.com.br\/index.php\/wp-json\/wp\/v2\/posts\/394\/revisions"}],"predecessor-version":[{"id":402,"href":"https:\/\/blog.wieczorek.com.br\/index.php\/wp-json\/wp\/v2\/posts\/394\/revisions\/402"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.wieczorek.com.br\/index.php\/wp-json\/wp\/v2\/media\/403"}],"wp:attachment":[{"href":"https:\/\/blog.wieczorek.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=394"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.wieczorek.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=394"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.wieczorek.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=394"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}2. Registrar e deletar usu\u00e1rios<\/strong><\/h4>\n\n\n\n
Comando useradd<\/strong><\/h4>\n\n\n\n
useradd<\/code>, vejamos que n\u00e3o se trata de algo complicado, muito pelo contr\u00e1rio! Ao digitarmos o comando useradd \u2013help<\/code>, o terminal retorna todas as op\u00e7\u00f5es poss\u00edveis para cria\u00e7\u00e3o de usu\u00e1rio.<\/p>\n\n\n![\"\"](\"https:\/\/blog.wieczorek.com.br\/novo\/wp-content\/uploads\/2022\/06\/image-5.png\")
<\/figure>\n<\/div>\n\n\nuseradd -m nome_do_usu\u00e1rio<\/code>. Exemplos:<\/p>\n\n\n\nsudo useradd -m manoel<\/pre>\n\n\n\n
sudo useradd -m carlos_silva<\/pre>\n\n\n\n
2.1 Registrar senhas<\/strong><\/h4>\n\n\n\n
passwd<\/code>, conforme o exemplo a seguir.<\/p>\n\n\n\nsudo passwd manoel<\/pre>\n\n\n\n
2.2 Remover usu\u00e1rios<\/strong><\/h4>\n\n\n\n
userdel<\/code>, acompanhado do nome do usu\u00e1rio. Com isso, tanto o usu\u00e1rio como todos os itens atrelados \u00e0 conta dele s\u00e3o removidos, tamb\u00e9m.<\/p>\n\n\n\nsudo userdel -r manoel<\/pre>\n\n\n\n
3. Criar grupos e adicionar usu\u00e1rios a eles<\/strong><\/h4>\n\n\n\n
addgroup diretores\n\naddgroup operadores<\/pre>\n\n\n\n
less \/etc\/group<\/code> e verificar se ambos constam na lista.<\/p>\n\n\n\nsudo usermod -a -G diretores carlos\n\nsudo usermod -a -G operadores manuel<\/pre>\n\n\n\n
4. Associar permiss\u00f5es de grupos a diret\u00f3rios<\/strong><\/h4>\n\n\n\n
setfacl<\/code>, cuja sintaxe \u00e9:<\/p>\n\n\n\nCriando permiss\u00f5es aos grupos<\/strong><\/h4>\n\n\n\n
sudo setfacl -m g:diretores:rwx -R \/Arquivos<\/pre>\n\n\n\n
sudo setfacl -m g:operadores:rx -R \/Arquivos<\/pre>\n\n\n\n
5. Atualizar informa\u00e7\u00f5es de usu\u00e1rio<\/strong><\/h4>\n\n\n\n
Configurar data de expira\u00e7\u00e3o<\/strong><\/h4>\n\n\n\n
usermod -e 2020-05-26 roberto_E<\/pre>\n\n\n\n
\u00a0chage -l roberto_E<\/code>\u00a0para verificar as informa\u00e7\u00f5es atualizadas da conta. Se as informa\u00e7\u00f5es correspondem, Roberto ter\u00e1 o login dispon\u00edvel at\u00e9 o fim do \u00faltimo dia de trabalho, j\u00e1 no dia seguinte a conta ter\u00e1 sido expirada.<\/p>\n\n\n\nAlterar o local padr\u00e3o do diret\u00f3rio \/home<\/strong><\/h4>\n\n\n\n
grep -E '\/home\/angela' \/etc\/passwd<\/pre>\n\n\n\n
usermod -d \/var\/development\/angela<\/pre>\n\n\n\n
Inserir informa\u00e7\u00f5es em uma conta<\/strong><\/h4>\n\n\n\n
usermod -c \"Analista de Testes\" laura<\/pre>\n\n\n\n
grep -E 'laura' \/etc\/passwd<\/pre>\n\n\n\n
Mudar os dados de login<\/strong><\/h4>\n\n\n\n
usermod -l regis_admin regis<\/pre>\n\n\n\n
Trancar e destrancar uma conta<\/strong><\/h4>\n\n\n\n
usermod -L maria<\/pre>\n\n\n\n
usermod -U maria<\/pre>\n\n\n\n
6. Consultar user logs (registros do usu\u00e1rio)<\/strong><\/h4>\n\n\n\n
sudo tail \/var\/log\/auth.log<\/code>.<\/p>\n\n\n\n7. Localizar arquivos de usu\u00e1rios<\/strong><\/h4>\n\n\n\n
find \/home -uid 300 | tee 300-files.txt<\/pre>\n\n\n\n
Como obter e gerenciar informa\u00e7\u00f5es como UID e GID<\/strong><\/h4>\n\n\n\n
id user\n\nuid=1000(user), gid=1000(user), groups=1000(user), 4(adm), 24(cdrom), 27(sudo), 30(dip), 46(plugdev), 118(lpadmin), 127(sambashare)<\/pre>\n\n\n\n
groupadd -g 188 group1<\/pre>\n\n\n\n
groupmod -g 55 group1<\/pre>\n\n\n\n
8. Transferir permiss\u00f5es de arquivos<\/strong><\/h4>\n\n\n\n
chown -R newuser:flavio \/home\/marcia<\/pre>\n\n\n\n