Felhasználói fiókok kezelése a parancssorban

A modern informatikai környezetekben a felhasználói fiókok kezelése alapvető feladat, legyen szó egy egyszerű otthoni szerverről, egy vállalati adatközpontról, vagy egy fejlesztői munkaállomásról. Bár grafikus felhasználói felületek (GUI) is léteznek erre a célra, a parancssor (CLI) nyújtotta rugalmasság, hatékonyság és automatizálhatóság felülmúlhatatlan. Ez a cikk a Linux/Unix rendszerekben történő felhasználói fiók kezelésének fortélyait mutatja be a parancssorból, a legalapvetőbb lépésektől a haladó technikákig.

Miért a Parancssor?

Elsőre talán ijesztőnek tűnhet a fekete képernyő és a szöveges parancsok világa, de a parancssori felhasználókezelés számos előnnyel jár:

Hatékonyság: Gyorsabb, mint a grafikus felületeken való kattintgatás, különösen ha több felhasználót kell egyszerre kezelni.
Automatizálás: A parancsok könnyen beépíthetők shell szkriptekbe, így nagyszámú felhasználó létrehozása, módosítása vagy törlése pillanatok alatt elvégezhető.
Távoli hozzáférés: Szerverek esetén gyakran nincs elérhető grafikus felület, a parancssor pedig SSH-n keresztül távolról is zökkenőmentesen használható.
Pontosság és Kontroll: Részletesebb kontrollt biztosít a fiókok attribútumai felett, mint a legtöbb GUI eszköz.
Naplózhatóság: A végrehajtott parancsok könnyen naplózhatók, ami auditálási és hibakeresési célokra is hasznos.

Az Alapok: Felhasználók és Csoportok a Linuxban

Mielőtt belevágnánk a parancsokba, értsük meg az alapvető fogalmakat:

Felhasználó (User): Mindenki, aki hozzáfér a rendszerhez, egyedi felhasználói azonosítóval (UID – User ID) rendelkezik. Az UID 0 a root (rendszergazda) felhasználóé, aki korlátlan jogosultságokkal rendelkezik.
Csoport (Group): A felhasználókat csoportokba rendezzük, ami leegyszerűsíti a jogosultságok kezelését. Minden csoportnak van egyedi csoport azonosítója (GID – Group ID). Egy felhasználó lehet egy elsődleges csoport tagja, és több másodlagos csoport tagja is.
Fájlok és Könyvtárak: A felhasználói és csoportinformációkat szöveges fájlok tárolják a /etc könyvtárban:
- /etc/passwd: A felhasználói fiókok alapvető adatai (felhasználónév, UID, GID, home könyvtár, shell).
- /etc/shadow: A felhasználói jelszavak titkosított formában (hash-elve) és a jelszóval kapcsolatos szabályok. Csak a root olvashatja.
- /etc/group: A csoportok és azok tagjainak listája.
- /etc/gshadow: A csoport jelszavak (ha vannak) és a csoportadminisztrátorok.

Felhasználók Létrehozása: a `useradd` (vagy `adduser`) Parancs

Új felhasználói fiók létrehozására a useradd parancsot használjuk. Bizonyos rendszereken az adduser parancs egy magasabb szintű szkript, amely interaktívabban működik, és gyakran előre definiált értékeket használ (pl. automatikus home könyvtár létrehozása). Ebben a cikkben a useradd-ra fókuszálunk a részletesebb kontroll miatt.

Alapvető szintaxis: sudo useradd [OPCIÓK] FELHASZNÁLÓNÉV

Gyakori opciók:

-m, --create-home: Létrehozza a felhasználó home könyvtárát, ha az nem létezik. Ez szinte mindig szükséges.
-s SHELL, --shell SHELL: Meghatározza a felhasználó alapértelmezett shelljét (pl. /bin/bash, /bin/sh, /bin/zsh, vagy /sbin/nologin, ha nem kap shell hozzáférést).
-g CSOPORT, --gid CSOPORT: Megadja a felhasználó elsődleges csoportját (csoportnév vagy GID).
-G CSOPORT1,CSOPORT2,..., --groups CSOPORT1,CSOPORT2,...: Hozzáadja a felhasználót másodlagos csoportokhoz.
-c "KOMMENT", --comment "KOMMENT": Egy rövid leírás vagy kommentár a felhasználóról (pl. teljes név).
-d HOME_KÖNYVTÁR, --home-dir HOME_KÖNYVTÁR: Meghatározza a home könyvtár helyét. Alapértelmezés szerint /home/FELHASZNÁLÓNÉV.
-e YYYY-MM-DD, --expiredate YYYY-MM-DD: Beállítja a fiók lejárati dátumát.
-f NAPOK, --inactive NAPOK: A jelszó lejárta után hány napig lehet inaktív a fiók, mielőtt véglegesen letiltásra kerül.

Példák:

# Egy alap felhasználó létrehozása home könyvtárral
sudo useradd -m jozsef

# Jelszó beállítása (ez külön lépés!)
sudo passwd jozsef
# Itt kell megadni a jelszót kétszer

# Felhasználó létrehozása saját shell-lel és kommenttel
sudo useradd -m -s /bin/zsh -c "Minta János" janos

# Felhasználó hozzáadása egy létező csoporthoz (pl. 'fejleszto')
sudo useradd -m -g users -G fejleszto,admin_support anna

Felhasználók Módosítása: a `usermod` Parancs

A már létező felhasználói fiókok módosítására a usermod parancsot használjuk. Számos opciója megegyezik a useradd opcióival.

Alapvető szintaxis: sudo usermod [OPCIÓK] FELHASZNÁLÓNÉV

Gyakori opciók:

-l ÚJ_NÉV, --login ÚJ_NÉV: Megváltoztatja a felhasználó bejelentkezési nevét.
-d ÚJ_HOME_KÖNYVTÁR, --home ÚJ_HOME_KÖNYVTÁR: Megváltoztatja a home könyvtár helyét.
-m, --move-home: Ezt az opciót a -d-vel együtt használjuk, ha azt akarjuk, hogy a régi home könyvtár tartalmát mozgassa az új helyre.
-s ÚJ_SHELL, --shell ÚJ_SHELL: Megváltoztatja a felhasználó shelljét.
-g ÚJ_CSOPORT, --gid ÚJ_CSOPORT: Megváltoztatja a felhasználó elsődleges csoportját.
-G CSOPORT1,CSOPORT2,..., --groups CSOPORT1,CSOPORT2,...: Felülírja a felhasználó másodlagos csoportjait. Figyelem! Ez felülírja az összes eddigi másodlagos csoport tagságot. Ha csak hozzáadni szeretnénk, olvassuk el a gpasswd részt!
-a, --append: Ezt az opciót a -G-vel együtt használva a felhasználót hozzáadja a megadott másodlagos csoportokhoz anélkül, hogy törölné a többi tagságát. Ez a biztonságosabb módja a másodlagos csoportok módosításának.
-c "ÚJ_KOMMENT", --comment "ÚJ_KOMMENT": Megváltoztatja a kommentet.
-e YYYY-MM-DD, --expiredate YYYY-MM-DD: Megváltoztatja a fiók lejárati dátumát.
-L, --lock: Zárolja a felhasználói fiókot (jelszó érvénytelenné tétele). A felhasználó nem tud bejelentkezni.
-U, --unlock: Feloldja a felhasználói fiókot.

Példák:

# Felhasználó nevének megváltoztatása
sudo usermod -l ujnev regi_nev

# Felhasználó home könyvtárának áthelyezése
sudo usermod -d /uj/hely/jozsef -m jozsef

# Felhasználó shelljének megváltoztatása
sudo usermod -s /bin/bash anna

# Felhasználó hozzáadása egy új másodlagos csoporthoz (anélkül, hogy törölné a régieket)
sudo usermod -aG support_csoport anna

# Fiók zárolása
sudo usermod -L jozsef

# Fiók feloldása
sudo usermod -U jozsef

Felhasználók Törlése: a `userdel` Parancs

Felhasználó törlésére a userdel parancsot használjuk.

Alapvető szintaxis: sudo userdel [OPCIÓK] FELHASZNÁLÓNÉV

Gyakori opciók:

-r, --remove: Törli a felhasználó home könyvtárát és mail spoolját. Figyelem! Ez visszafordíthatatlan!

Példák:

# Felhasználó törlése, home könyvtár meghagyásával
sudo userdel jozsef

# Felhasználó törlése home könyvtárral együtt
sudo userdel -r anna

Fontos megjegyzés: A felhasználó törlése után a fájljai, amelyeknek ő volt a tulajdonosa, árván maradnak (a tulajdonos UID-je nem kapcsolódik többé egy létező felhasználóhoz). Ezeket a fájlokat manuálisan kell törölni vagy áttulajdonítani.

Jelszavak Kezelése: a `passwd` Parancs

A felhasználók jelszavainak beállítására vagy módosítására a passwd parancs szolgál.

Alapvető szintaxis: passwd [OPCIÓK] [FELHASZNÁLÓNÉV]

Ha nem adunk meg felhasználónevet, a saját jelszavunkat módosítjuk. Rendszergazdaként (sudo-val) bármely felhasználó jelszavát módosíthatjuk.

Gyakori opciók (rendszergazdai jogosultsággal):

-l, --lock: Zárolja a felhasználó jelszavát. A felhasználó nem tud jelszóval bejelentkezni, de a fiók maga nem inaktiválódik.
-u, --unlock: Feloldja a jelszózárat.
-d, --delete: Törli a felhasználó jelszavát (jelszó nélküli bejelentkezést tesz lehetővé, ami nem ajánlott).
-e, --expire: Lejárttá teszi a felhasználó jelszavát, így a következő bejelentkezéskor meg kell változtatnia.
-S, --status: Megjeleníti a jelszó státuszát (lejárat, utolsó módosítás, stb.).

Példák:

# Felhasználó jelszavának beállítása/módosítása
sudo passwd jozsef

# Felhasználó jelszavának lejárttá tétele
sudo passwd -e anna

# Felhasználó jelszavának zárolása (a fiók zárolása mellett is használható)
sudo passwd -l jozsef

Csoportok Kezelése

A csoportok hatékony eszközök a jogosultságok szervezésére.

Csoport Létrehozása: a `groupadd` Parancs

Új csoport létrehozása.

Alapvető szintaxis: sudo groupadd [OPCIÓK] CSOPORTNÉV

Gyakori opciók:

-g GID, --gid GID: Explicit GID megadása.

Példa:

# Új csoport létrehozása
sudo groupadd fejleszto
sudo groupadd -g 2001 marketing

Csoport Módosítása: a `groupmod` Parancs

Létező csoport attribútumainak módosítása.

Alapvető szintaxis: sudo groupmod [OPCIÓK] CSOPORTNÉV

Gyakori opciók:

-n ÚJ_NÉV, --new-name ÚJ_NÉV: Csoport nevének megváltoztatása.
-g ÚJ_GID, --gid ÚJ_GID: Csoport GID-jének megváltoztatása.

Példa:

# Csoport nevének megváltoztatása
sudo groupmod -n support_uj support

# Csoport GID-jének megváltoztatása
sudo groupmod -g 2002 marketing

Csoport Törlése: a `groupdel` Parancs

Csoport törlése a rendszerből.

Alapvető szintaxis: sudo groupdel CSOPORTNÉV

Példa:

# Csoport törlése
sudo groupdel marketing

Fontos: Nem lehet törölni egy csoportot, ha az egy felhasználó elsődleges csoportja. Először módosítani kell a felhasználó elsődleges csoportját a usermod paranccsal.

Felhasználók Hozzáadása/Eltávolítása Csoportokból: a `gpasswd` Parancs

Bár a usermod -aG paranccsal is hozzáadhatunk felhasználót csoportokhoz, a gpasswd sokoldalúbb és expliciten a csoport adminisztrációjára szolgál.

Alapvető szintaxis: sudo gpasswd [OPCIÓK] CSOPORTNÉV

Gyakori opciók:

-a FELHASZNÁLÓNÉV: Hozzáad egy felhasználót a csoporthoz.
-d FELHASZNÁLÓNÉV: Eltávolít egy felhasználót a csoportból.

Példák:

# Felhasználó hozzáadása a 'fejleszto' csoporthoz
sudo gpasswd -a jozsef fejleszto

# Felhasználó eltávolítása az 'admin_support' csoportból
sudo gpasswd -d anna admin_support

Felhasználói és Csoport Információk Lekérdezése

Fontos tudni, hogyan ellenőrizzük a felhasználók és csoportok adatait.

id [FELHASZNÁLÓNÉV]: Megjeleníti egy felhasználó UID-jét, elsődleges és másodlagos csoportjainak GID-jeit. Ha nincs felhasználónév megadva, az aktuális felhasználó adatait mutatja.
```
$ id jozsef
uid=1001(jozsef) gid=1001(jozsef) groups=1001(jozsef),1004(fejleszto)
```
groups [FELHASZNÁLÓNÉV]: Csak a felhasználó csoport tagságait listázza.
```
$ groups jozsef
jozsef : jozsef fejleszto
```
getent passwd [FELHASZNÁLÓNÉV]: Lekérdezi a felhasználó bejegyzését az /etc/passwd fájlból (vagy más forrásból, ha LDAP/AD van beállítva).
```
$ getent passwd jozsef
jozsef:x:1001:1001:Jozsef Felhasznalo:/home/jozsef:/bin/bash
```
getent group [CSOPORTNÉV]: Lekérdezi a csoport bejegyzését az /etc/group fájlból.
```
$ getent group fejleszto
fejleszto:x:1004:jozsef,anna
```

Haladó Tippek és Biztonsági Megfontolások

Sudo Jogosultságok Kezelése

A sudo (Superuser Do) parancs lehetővé teszi a normál felhasználók számára, hogy korlátozott rendszergazdai jogosultságokkal hajtsanak végre parancsokat, a root jelszavának ismerete nélkül. A sudoers fájl (/etc/sudoers) vezérli, hogy ki mit tehet meg. Ezt a fájlt mindig a visudo paranccsal szerkesszük, mivel az ellenőrzi a szintaxist, mielőtt mentené, megelőzve ezzel a rendszer véletlen zárolását.

sudo visudo

Ez általában megnyitja a fájlt a vi vagy nano szerkesztőben. Itt adhatunk hozzá egy sort, pl.:

jozsef ALL=(ALL) ALL

Ez feljogosítja Józsefet arra, hogy bármely parancsot futtasson rootként.

Jelszó Hosszúság és Komplexitás Szabályok

A jelszó házirendeket (minimum hosszúság, komplexitás, lejárat) a PAM (Pluggable Authentication Modules) konfigurációjával lehet beállítani. A leggyakoribb beállítások a /etc/pam.d/common-password fájlban találhatók, ahol a pam_pwquality.so vagy pam_cracklib.so modulok felelősek a jelszavak erősségéért.

A chage parancs segítségével egyedi jelszó lejárati szabályokat állíthatunk be felhasználónként. Pl.:

# Jelszó lejárat beállítása 90 napra
sudo chage -M 90 jozsef

# Felhasználó következő bejelentkezéskor köteles jelszót cserélni
sudo chage -d 0 jozsef

Biztonsági Ajánlások

Minimális jogosultság elve: Csak a szükséges jogosultságokat adjuk meg. Ne tegyünk mindenkit sudo-ssá.
Erős jelszavak: Kényszerítsük az erős, egyedi jelszavakat és a rendszeres cseréjüket.
Fiókok felülvizsgálata: Rendszeresen ellenőrizzük a meglévő felhasználói fiókokat és jogosultságaikat. Töröljük az inaktív fiókokat.
Naplózás: Figyeljük a rendszer naplóit a bejelentkezési kísérletek és a jogosultságok módosításaival kapcsolatban.
/sbin/nologin shell: Azoknak a felhasználói fiókoknak, amelyeknek nincs szükségük interaktív shell hozzáférésre (pl. szolgáltatások fiókjai), állítsuk be a shelljüket /sbin/nologin-ra, vagy /bin/false-ra.

Felhasználókezelés Szkriptekkel

A parancssori eszközök ereje abban rejlik, hogy könnyen automatizálhatók shell szkriptek segítségével. Képzeljünk el egy helyzetet, ahol 50 új diákot kell felvenni egy kurzusra, mindegyiküknek egyedi felhasználónévvel, jelszóval, és egy adott csoportba való besorolással. Ezt manuálisan órákig tartana, de egy jól megírt szkripttel percek alatt elvégezhető. Például egy egyszerű szkript egy listából olvasva felhasználókat hozhat létre:

#!/bin/bash
# users.txt fájl formátuma: username:fullname:group1,group2,...

while IFS=':' read -r username fullname groups; do
    echo "Creating user: $username ($fullname)"
    sudo useradd -m -s /bin/bash -c "$fullname" "$username"
    if [ -n "$groups" ]; then
        IFS=',' read -ra ADDTIONAL_GROUPS << /dev/null; then
                echo "Group '$group' does not exist. Creating it..."
                sudo groupadd "$group"
            fi
            echo "Adding $username to group $group"
            sudo usermod -aG "$group" "$username"
        done
    fi
    # Kérjünk jelszót
    sudo passwd "$username"
done < users.txt

echo "User creation process completed."

Ez a példa csak egy ízelítő a lehetőségekből. A szkriptekkel komplex logikát, hibaellenőrzést és visszavonási mechanizmusokat is beépíthetünk.

Összefoglalás

A felhasználói fiókok kezelése a parancssorból egy alapvető készség minden Linux rendszergazda és haladó felhasználó számára. A useradd, usermod, userdel, passwd, groupadd, groupmod és groupdel parancsok ismerete elengedhetetlen a rendszer biztonságos és hatékony működtetéséhez. A parancssor nem csak sebességet és kontrollt biztosít, hanem megnyitja az utat az automatizálás és a nagyszabású műveletek előtt is, amelyek elengedhetetlenek a modern, komplex IT infrastruktúrákban. Ne feledjük: nagy hatalommal nagy felelősség is jár! Mindig legyünk körültekintőek, és kövessük a biztonsági legjobb gyakorlatokat, amikor felhasználói fiókokat kezelünk.