Linux разблокировать учетную запись

Обновлено: 06.07.2024

К ак вы блокируете учетную запись пользователя в Linux? Еще важнее, как разблокировать пользователя в Linux? В этой статье показано несколько способов блокировки и разблокировки пользователей в Linux.

3 способа блокировки и разблокировки учетных записей пользователей в Linux

Может быть несколько причин, по которым вы хотите отключить пользователя в вашей многопользовательской среде Linux. Возможно, сотрудник покинул организацию и вместо того, чтобы полностью удалить пользователя, заблокирует учетную запись для архивных целей.

В этой статье мы покажем вам три способа блокировки пользователя в командной строке Linux. Мы также расскажем, как разблокировать пользователя.

Обратите внимание, что для внесения этих изменений вам необходимо либо получить root-права, либо иметь root-доступ через sudo.

Способ 1: блокировка и разблокировка пользователей с помощью команды passwd

Команда passwd в Linux работает с паролями учетной записи пользователя. Вы также можете использовать эту команду для блокировки учетной записи пользователя.

Команда в основном работает с файлом /etc/passwd. Вы можете вручную изменить этот файл, но мы не советуем этого делать.

Чтобы заблокировать пользователя с помощью команды passwd, вы можете использовать опцию -l или –lock следующим образом:

Проверьте статус пользователя с помощью команды passwd

Вы можете узнать, заблокирован или разблокирован пользователь, используя опцию -S или –status команды passwd.

passwd -S user_name

Посмотрите на второе поле в выводе. Вот что это значит:

Вот пример вывода команды passwd:

standard P 10/14/2019 0 99999 7 -1

Чтобы разблокировать пользователя с помощью команды passwd, вы можете использовать опцию -u или –unlock:

В Ubuntu вы увидите такой вывод как для блокировки, так и для разблокировки пользователя:

А как насчет входа через SSH?

Существует серьезная проблема с блокировкой пользователей таким способом. Поскольку он работает только с файлом /etc/passwd, заблокированный пользователь все равно сможет войти через ключи SSH (если установлен вход через ключ SSH). Мы покажем вам, как с этим бороться в следующем разделе.

Способ 2: блокировка и разблокировка пользователей с помощью команды usermod

Вы также можете использовать команду usermod. Команда в основном используется для изменения учетных записей пользователей в Linux. Вы также можете изменить состояние пользователя, заблокировав или разблокировав его с помощью usermod.

Чтобы заблокировать пользователя, вы можете использовать опцию -L следующим образом:

Чтобы разблокировать пользователя, вы можете использовать опцию -U:

Как проверить, заблокирован ли пользователь или нет? Команда usermod также работает с файлом /etc/passwd, поэтому вы можете использовать команду passwd -S user_name для проверки статуса пользователя.

Но usermod также работает с файлом /etc/passwd, так что заблокированный пользователь все еще может войти в систему через ключи SSH, верно? Верно. Но есть способы преодоления этой проблемы.

Например, вы можете изменить оболочку пользователя на nologin, и это не позволит пользователю войти в оболочку.

Другой метод заключается в блокировке пользователя и предоставлении даты истечения в прошлом. Что он делает, так это то, что он отключает учетную запись в прошлую дату, а затем блокирует ее.

Убедитесь, что прошедшая дата находится между 1970-01-02 и текущей датой.

Вы можете отменить это с помощью этой команды:

Существует аналогичный способ блокировки пользователя в Linux с помощью команды chage. Давайте посмотрим на это в следующем разделе.

Способ 3: блокировка и разблокировка пользователей с помощью команды chage

Команда chage используется для изменения информации об истечении срока действия пароля пользователя. Его можно использовать для автоматической блокировки неактивного пользователя после определенного количества дней бездействия.

По сути, то, что вы сделали с помощью команды usermod в предыдущем разделе, может быть достигнуто с помощью команды chage:

По сути, вы установили дату истечения срока действия 1970-01-02. Вы можете увидеть детали, как это:

Вы можете удалить дату истечения срока действия и, таким образом, разблокировать пользователя следующим образом:

Как всегда, есть разные способы выполнить задачу в командной строке Linux. Мы показали здесь три способа блокировки и разблокировки пользователей в Linux. Вы знаете лучший способ или у вас есть рекомендации по блокировке пользователей? Поделитесь в разделе комментариев.

Добавить в избранное

Главное меню » Операционная система Linux » Как заблокировать и разблокировать пользователя в Linux

(1 оценок, среднее: 5,00 из 5)
К ак вы блокируете учетную запись пользователя в Linux? Еще важнее, как разблокировать пользователя в Linux? В этой статье показано несколько способов блокировки и разблокировки пользователей в Linux.

3 способа блокировки и разблокировки учетных записей пользователей в Linux

Способ 1: блокировка и разблокировка пользователей с помощью команды passwd

Проверьте статус пользователя с помощью команды passwd

Вы можете узнать, заблокирован или разблокирован пользователь, используя опцию -S или –status команды passwd.

passwd -S user_name

Посмотрите на второе поле в выводе. Вот что это значит:

Вот пример вывода команды passwd:

standard P 10/14/2019 0 99999 7 -1

Чтобы разблокировать пользователя с помощью команды passwd, вы можете использовать опцию -u или –unlock:

В Ubuntu вы увидите такой вывод как для блокировки, так и для разблокировки пользователя:

А как насчет входа через SSH?

Способ 2: блокировка и разблокировка пользователей с помощью команды usermod

Чтобы заблокировать пользователя, вы можете использовать опцию -L следующим образом:

Чтобы разблокировать пользователя, вы можете использовать опцию -U:

Например, вы можете изменить оболочку пользователя на nologin, и это не позволит пользователю войти в оболочку.

Убедитесь, что прошедшая дата находится между 1970-01-02 и текущей датой.

Вы можете отменить это с помощью этой команды:

Способ 3: блокировка и разблокировка пользователей с помощью команды chage

По сути, вы установили дату истечения срока действия 1970-01-02. Вы можете увидеть детали, как это:

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Этичный хакинг и тестирование на проникновение, информационная безопасность

Если вы не можете войти в систему Linux из-за того, что забыли пароль учётной записи пользователя, то не всё потеряно! Хотя этот пароль нельзя узнать (простыми методами), но его можно сбросить и заменить на новый, данная инструкция расскажет, что делать, если забыли пароль пользователя в Linux.

Как поменять пароль для пользователя Linux

Любые пользователи из группы администраторов (чей аккаунт входит в группу wheel) могут поменять пароль для любого другого пользователя – как для непривилегированных учётных записей, так и для других администраторов, в том числе для root’a. Т.е. если вы забыли пароль root, но помните пароль пользователя, имеющего право на выполнение команд с sudo, то пароль может восстановить командой passwd. Чтобы поменять пароль пользователя root выполните:

Чтобы поменять пароль любого пользователя выполните:

Где вместо имя_пользователя нужно подставить имя учётной записи пользователя Linux.

Что делать если забыт пароль от входа Linux

Если у вас нет других административных учёток и, забыв пароль учётной записи Linux, вы не можете войти в операционную систему, то для сброса пароля нам понадобиться однопользовательский режим.

В однопользовательском режиме для входа не спрашиваются учётные данные (логин, пароль), при этом вошедший обладает правами суперпользователя. В данном режиме, используя знакомую команду passwd, есть возможность задать новый пароль.

Алгоритм во всех дистрибутивах Linux схож:

Прерывание работы загрузчика GRUB
Добавление опции загрузки, включающей однопользовательский режим
Возобновление загрузки
Изменение пароля командой passwd
Перезагрузка в обычном режиме

Обратите внимание, что изменения, внесённые на втором шаге (изменение опций загрузки), являются временными – действуют только на одну последующую загрузку. Поэтому при перезагрузке на пятом шаге не нужно ничего предпринимать – система включится в обычном режиме.

Для перемещения в конец строки и в начало строки (на втором шаге) используйте сочетания клавиш Ctrl+a и Ctrl+e.

Хотя алгоритм сброса пароля root схож, но в различных дистрибутивах могут быть свои нюансы, рассмотрим их подробнее.

Примечание для UEFI: Если у вас используется UEFI вместо GRUB, то смотрите также эту статью, в ней рассказано, как изменить опции загрузки в этом случае.

Кстати: если вы хотите защитить систему от смены пароля, описанного в этой статье, смотрите материал «Как защитить загрузчик GRUB паролем».

Сброс пароля в Linux Mint, Ubuntu, Debian, Kali Linux (также должно работать для других производных Debian)

Чтобы прервать загрузку GRUB (первый шаг) во время запуска компьютера нажмите и удерживайте клавишу SHIFT – это работает всегда, даже на Linux Mint, где по умолчанию показ меню GRUB отключён.

Остановите загрузку удерживая клавишу SHIFT при запуске компьютера, вы увидите:

Нажмите клавишу «e» и вы перейдёте к редактированию настроек загрузки:

На экране отсутствует нужная нам строка, пролистните курсорными клавишами вниз и найдите строку, начинающуюся с linux:

Перейдите в конец этой строки, поставьте пробел и допишите:

Должно получиться примерно так (номер ядра может отличаться):

Когда всё готово нажмите Ctrl+x или F10, чтобы загрузка продолжилась с установленными опциями.

Вы увидите приглашение оболочки, также обратите внимание, что мы вошли как root, т.е. у нас имеются повышенные привилегии, в том числе на использование команды passwd:

Командой passwd меняем пароль, как можно увидеть, команда passwd завершилась ошибкой:

Чтобы понять причину ошибки, введём команду:

Буквы ro говорят о том, что файловая система смонтирована только для чтения и по этой причине сделанные изменения не могут быть сохранены. Перемонтируем файловую систему:

Как видим, после этого смена пароля прошла успешно:

Для выхода наберите:

Чтобы выключить компьютер выполните:

Или перезагрузите компьютер командой:

Как сбросить пароль в Arch Linux, BlackArch (а также в других производных Arch Linux)

Во время появления меню GRUB нажмите клавишу «a», чтобы остановить загрузку:

Затем нажмите «e» для перехода к редактированию параметров загрузки:

На экране отсутствует нужная нам строка, пролистните курсорными клавишами вниз и найдите строку, начинающуюся с linux.

Перейдите в конец этой строки, поставьте пробел и допишите:

Должно получиться примерно так:

Когда всё готово нажмите Ctrl+x или F10, чтобы загрузка продолжилась с установленными опциями.

В Arch Linux файловая система по умолчанию монтируется с правами на запись. Поэтому можно сразу перейти к смене пароля с помощью команды

Для выхода наберите:

Чтобы выключить компьютер выполните:

Или перезагрузите компьютер командой:

Сброс пароля в RHEL/CentOS 7

Кроме необходимости смонтировать файловую систему для запиши, в RHEL/CentOS 7 также имеется особенность, связанная с наличием SELinux.

Во время появления меню GRUB нажмите клавишу «a», чтобы остановить загрузку:

Затем нажмите «e» для перехода к редактированию параметров загрузки:

На экране отсутствует нужная нам строка, пролистните курсорными клавишами вниз и найдите строку, начинающуюся с linux16:

Найдите часть строки

Должно получиться примерно так:

Когда всё готово нажмите Ctrl+x или F10, чтобы загрузка продолжилась с установленными опциями.

Проверим права на запись:

Как можно убедиться, права на запись отсутствуют. Перемонтируем файловую систему с правами записи:

Пароль изменён, но дело ещё не закончено. Нам нужно переобозначить контекст SELinux. Если мы не выполним переобозначение всего контекста SELinux, мы не сможем войти используя новый пароль. Для этого:

Для выхода наберите:

Чтобы выключить компьютер выполните:

Или перезагрузите компьютер командой:

Что такое группа wheel в Linux

Применительно к компьютерам, термин wheel относится к учётным записям пользователя с битом wheel – системному параметру, который предоставляет дополнительные специальные системные привилегии, которые позволяют пользователю выполнять команды для служебного пользования, к которым обычные пользователи не могут получить доступ. Этот термин происходит от сленговой фразы big wheel (букв. «большое колесо»), отсылающего на человека с большой властью или влиянием. Он был впервые использован в этом контексте в отношении операционной системы TENEX, позже распространенной под названием TOPS-20 в 1960-х и начале 1970-х годов.

Этот термин был принят пользователями Unix в 1980-х годах из-за движения разработчиков операционной системы и пользователей от TENEX/TOPS-20 к Unix.

Современные системы Unix обычно используют группы пользователей в качестве протокола безопасности для управления правами доступа. Группа wheel – это особая группа пользователей, используемая в некоторых системах Unix для управления доступом к команде sudo, которая позволяет пользователю маскироваться как другой пользователь (обычно суперпользователь).

Что такое однопользовательский режим в Unix

Однопользовательский режим – это режим, в котором многопользовательская компьютерная операционная система загружается в одиночного суперпользователя. Этот режим в основном используется для обслуживания многопользовательских сред, таких как сетевые серверы. Для некоторых задач может потребоваться эксклюзивный доступ к общим ресурсам, например, запуск fsck в сетевом ресурсе. Этот режим также может использоваться в целях безопасности – сетевые службы не запускаются, что исключает возможность внешних помех. В некоторых системах потерянный пароль суперпользователя можно изменить, переключившись на однопользовательский режим. Поскольку при входе в этот решим не запрашивается никакой пароль, это можно рассматривать как уязвимость безопасности.

Unix-подобные операционные системы обеспечивают однопользовательский режим работы либо с помощью уровня выполнения в стиле System V, либо с загрузчиками в стиле BSD, либо с другими параметрами загрузки.

Уровень выполнения обычно изменяется с помощью команды init, уровень выполнения 1 или S будет загружаться в однопользовательский режим.

Параметры загрузчика могут быть изменены во время запуска перед выполнением ядра. В FreeBSD и DragonFly BSD он может быть изменен перед перезагрузкой системы с помощью команды nextboot -o "-s" -k kernel, и ее загрузчик предложит возможность загрузки в однопользовательском режиме. В Solaris команда

приведет к перезагрузке в однопользовательском режиме.

В GRUB 2 нельзя изменить пароль в однопользовательском режиме?

В официальной документации Red Hat мне встретилось утверждение, что в GRUB 2 больше не выполняется сброс пароля в однопользовательском режиме, как это было в GRUB. И что теперь для работы в однопользовательском режиме, а также в аварийном режиме требуется пароль рута. Возможно, это применимо только к последним версиям Red Hat Enterprise Linux, поскольку, как видно из этой инструкции и скриншотов, в GRUB 2 можно изменить пароль в однопользовательском режиме. В документации, на которую дана ссылка, описано два способа сброса пароля root в Red Hat Enterprise Linux на тот случай, если описанный здесь метод не сработал.

Отключение и разблокирование учетных записей пользователей в системах Linux | Linux China

Всегда бывают такие моменты: иногда вам нужно отключить учетную запись определенного пользователя Linux, а иногда вам нужно разблокировать учетную запись пользователя в обратном порядке. В этой статье будут представлены некоторые команды для управления доступом пользователей и их принципы.

Если вы управляете системой Linux, вы, скорее всего, столкнетесь с ситуацией, когда вам нужно отключить учетную запись. Может случиться так, что кто-то изменил позицию, и вопрос о том, нужна ли им учетная запись еще; возможно, есть основания полагать, что повторное использование учетной записи не имеет большого значения. В любом случае все, что вам нужно знать, - это знать, как отключать и разблокировать учетные записи.

Вам нужно помнить одну важную вещь: хотя существует несколько способов отключить учетную запись, не все они дают одинаковый эффект. Если пользователь использует открытый / закрытый ключ для использования учетной записи вместо использования пароля для доступа, то некоторые команды, которые вы используете для предотвращения получения пользователем учетной записи, могут не вступить в силу.

Используйте passwd для отключения учетной записи

Самый простой способ отключить учетную запись - использовать команду passwd -l. Например:

Результатом вышеуказанной команды является шифрование файла паролей. /etc/shadow В добавьте единицу в начало строки, соответствующей пользователю ! Условное обозначение. Этого достаточно, чтобы пользователи не могли использовать пароль для доступа к учетной записи.

Перед использованием указанной выше команды строка зашифрованного пароля выглядит следующим образом (обратите внимание на первый символ):

После отключения учетной записи эта строка станет такой:

В следующий раз, когда головастик попытается войти в систему, он может использовать свой исходный пароль, чтобы попытаться войти в систему несколько раз, но он больше не может успешно войти в систему. С другой стороны, вы можете использовать следующую команду для просмотра статуса его учетной записи ( -S = status）：

Второй пункт L Сообщаем вам, что эта учетная запись была отключена. Перед отключением учетной записи этот элемент должен быть P , Если это показывает NP Это означает, что для учетной записи еще не установлен пароль.

Команда usermod -L также имеет такой же эффект (добавьте ! Чтобы отключить использование учетной записи).

Одним из преимуществ использования этого метода для отключения учетной записи является то, что ее очень легко разблокировать. Вам нужно только использовать текстовый редактор или использовать команду passwd -u для выполнения противоположной операции, которая будет добавлена в ближайшее время. ! Просто удали его.

Но проблема с этим методом заключается в том, что если пользователь использует пару открытый ключ / закрытый ключ для доступа к своей учетной записи, этот метод не помешает им использовать учетную запись.

Используйте команду chage, чтобы отключить аккаунт

Другой способ отключить учетные записи пользователей - использовать команду chage, которая помогает управлять сроком действия учетных записей пользователей.

Команда chage будет немного переработана /etc/shadow Файл. Используйте здесь : В отдельном файле (показанном ниже) элемент 8 строки будет установлен на 0 (Ранее пусто), это означает, что срок действия этой учетной записи истек. Команда chage будет отслеживать количество дней во время смены пароля, и информация об истечении срока действия учетной записи также может быть предоставлена с помощью этой опции. Если элемент 8 равен 0, это означает, что срок действия этой учетной записи истекает через день после 1 января 1970 года, и ее можно использовать для отключения учетной записи при использовании команды, показанной выше.

Чтобы выполнить противоположную операцию, вы можете просто использовать следующую команду для размещения /etc/shadow В документе 0 Удалять:

Если учетная запись отключена таким образом, даже вход по SSH без пароля больше не сможет получить доступ к учетной записи.

Автор: Сандра Генри-Стокер темы: lujun9972 Переводчик: FSSlc корректура: wxy

Linux - начинающим. Часть 6. Управление пользователями и группами. Практика

В прошлом материале нашего цикла мы рассмотрели теоретические аспекты системы управления пользователями в Linux и теперь, располагая багажом необходимых знаний, можно переходить к практике. Несмотря на то, что мы традиционно рассматриваем работу в системах основанных на Debian, данный материал будет полезен пользователям любого Linux-дистрибутива, так как работа с учетными записями пользователей везде построена одинаково. Именно поэтому мы будем рассматривать только работу в командной строке, так как она предоставляет единый и универсальный интерфейс вне зависимости от используемого окружения.

Создание пользователей

Для создания пользователей используется команда useradd, но не будем спешить с ее применением, сначала ознакомимся с используемыми по умолчанию параметрами, для этого выполните:

Здесь мы можем увидеть место размещения домашних каталогов, оболочку по умолчанию и каталог с шаблоном домашней директории /etc/skel. Эта директория будет полностью скопирована в директорию нового пользователя и содержит базовые настройки окружения пользователя. Вы можете воспользоваться этим, если вам нужно формировать определенную структуру домашних каталогов или применять какие-либо специфичные настройки. При этом не рекомендуется вносить изменения в оригинальный /etc/skel, рекомендуется сделать его копию (можно и не одну) в которую внести все необходимые изменения.

Также обратите внимание на параметр:

Но как нам известно в Debian пользовательские группы начинаются с 1000, а в RHEL c 500, поэтому в современных системах этот параметр игнорируется. Все параметры, кроме SKEL, могут быть изменены, но практический смысл это имеет только для HOME и SHELL.

Скажем вы настраиваете многопользовательский веб-сервер и хотите создавать домашние директории в каталоге веб-сервера, в этом случае можно выполнить:

А для изменения командной оболочки:

Чтобы добавить нового пользователя введите:

Ключ -m предписывает создать домашний каталог пользователя. Это самый простой вариант использования, но при использовании дополнительных ключей мы можем сразу задать или переопределить многие параметры пользователя. Получить их список можно командой:

Приведем некоторые из них:

-b - задает домашний каталог пользователя
-c - комментарий к учетной записи
-g - задает основную группу пользователя
-G - задает дополнительные группы
-m - создать домашний каталог пользователя
-N - не создавать группу с именем пользователя
-k - путь к каталогу шаблона домашней директории (по умолчанию /etc/skel)
-s - командная оболочка

Этой командой мы создадим пользователя ivanov, которому назначим домашнюю директорию в /var/www/ivanov, для которой будет использован шаблон из /etc/myskel, включим его в основную группу webuser и дополнительную www-data. Также запретим ему интерактивный вход в систему, назначив оболочкой /sbin/nologin.

Созданная учетная запись будет заблокирована до тех пор, пока мы не установим для нее пароль, это можно сделать следующей командой:

которая установит пароль к учетной записи ivan. Для блокировки пароля используйте:

Но учтите, что данная блокировка распространяется только на вход по паролю, если у пользователя настроены иные способы входа, скажем по SSH-ключу, то доступ в систему с их помощью сохранится. Поэтому данный способ следует использовать в тех случаях, когда есть подозрение на компрометацию пароля, но в полной блокировке учетной записи нет необходимости. Для разблокировки потребуется заново установить пароль.

Изменение пользователей

Для того, чтобы изменить параметры уже существующей учетной записи используется команда usermod, для ознакомления с ее возможностями получим список ключей командой

Приведем некоторые из них:

-c - изменить комментарий
-d - новый домашний каталог
-g - новая основная группа
-G - новые дополнительные группы
-a - добавить пользователя в дополнительные группы, не удаляя из других групп, используется совместно с ключом -G
-l - новое имя учетной записи
-L - блокировать учетную запись
-m - переместить содержимое домашнего каталога, используется только вместе с -d
-U - разблокировать учетную запись

Данная команда создаст новый комментарий к учетной записи и добавит пользователя ivan в дополнительную группу sudo.

Удаление пользователей

Для удаления учетной записи пользователя используется команда userdel, например:

которая удалит учетную запись vasya.

Команда имеет дополнительные ключи, которые также можно просмотреть, запустив ее с ключом -h, практическую пользу представляют два из них:

-r - удалить домашний каталог пользователя
-f - удалять файлы, даже если они не принадлежат пользователю

На практике оба ключа обычно используются совместно, но будьте осмотрительны и перед удалением убедитесь, что удаляемые данные не нужны другим пользователям. Чтобы удалить пользователя вместе со всеми данными выполните:

Управление группами пользователей

Для управления группами используется аналогичный набор команд: groupadd, groupmod и groupdel. Их ключи также можно посмотреть, запустив их с параметром -h.

Для создания группы используйте:

Из дополнительных ключей имеют практический смысл:

-g - использовать указанный GUID
-f - завершить команду без ошибки если группа с таким именем уже существует и отменить действие -g, если указанный GUID уже используется.

При помощи команды usermod мы можем изменить GUID и наименование группы, скажем:

Данная команда переименует группу office в группу sales. Используемые ключи:

-g - изменить GUID группы
-n - изменить наименование группы

Ну и наконец groupdel, который используется для удаления групп:

Из параметров можно использовать:

-f - удалить группу, даже если она является основной для пользователя

При удалении групп всегда нужно проявлять осмотрительность и не следует удалять группы, в которых состоят пользователи. Если же такая необходимость существует, то следует предварительно вывести из группы пользователей и изменить группу для всех объектов, которыми владела удаляемая группа.

Управление членством пользователей в группах

Управлять членством пользователей в группах можно различным образом. Выше мы уже приводили примеры с использованием usermod, для изменения основной группы пользователя используйте:

Данная команда изменит основную группу пользователя ivan на office. Для добавления в дополнительные группы следует выполнить команду:

Которая добавит пользователя ivan в группы office и sales.

Также существует и другая команда gpasswd, которая позволяет не только добавлять, но и удалять членство пользователей в группах. Для добавления пользователя в группу используйте:

Данная команда добавить пользователя ivan в группу office. Для удаления членства выполните:

Для того, чтобы проверить членство пользователя в группах используйте команду:

где ivan - имя пользователя.

Чтобы быстро удалить пользователя из всех дополнительных групп используйте:

Как видим, управление пользователями и группами в Linux не такое уж и сложное дело, особенно когда вы понимаете, что значит тот или иной параметр и для чего вы это делаете.

Читайте также: