Ero sivun ”Käyttäjä” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
p (piilotin näkyvältä sivulta keskeneräisyysjuttua ja luokittelin)
Ei muokkausyhteenvetoa
Rivi 1: Rivi 1:
Linux on suunniteltu useamman käyttäjän palvelinympäristöksi minkä vuoksi sen käyttöoikeusmalli on kopioitu Unix-järjestelmistä. Jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana, mikä liitetään yhteen tai useampaan ryhmään. Käyttöoikeudet tiedostojen käsittelyyn määritellään käyttäjä- ja ryhmäkohtaisesti, katso lisätietoa [[Tiedoston oikeudet|tiedostojen oikeuksista]]
== Yleistä ==
Linux on suunniteltu useamman käyttäjän palvelinympäristöksi ja käyttöoikeuksien hallinta on kopioitu Unix-palvelimista. Jokaisella käyttäjällä on yksilöllinen käyttäjätunnus ja salasana, mikä liitetään yhteen tai useampaan käyttäjäryhmään. Tämä mahdollistaa käyttäjän oikeuksien hallinnan niin käyttäjä, kuin ryhmäkohtaisestikin. Katso lisää käyttöoikeuksista: [[Tiedoston oikeudet]]


Kaikki käyttäjätunnukset ja salasanat tallennetaan tiedostoihin:
== Tavallinen käyttäjä ==


/etc/passwd
[[Tietoturva|Tietoturvan parantamiseksi]] tavalliselta käyttäjältä "matti" on estetty kaikki toiminnot mitkä saattaisivat vahingoittaa itse järjestelmää. Normaaliin käyttöön kannattaa aina käyttää käyttäjätunnusta rajoitetuilla käyttöoikeuksilla.
/etc/shadow
 
Kaikki ryhmät tallennetaan tiedostoihin:


/etc/shadow
Tavan käyttäjä "matti" voi kuulua esimerkiksi ryhmiin "users", "floppy", "audio" ja "camera", mitkä mahdollistaisivat esimerkiksi:
/etc/gshadow


Käyttäjien hallinta onnistuu komennoilla [[useradd]], [[userdel]], [[groupadd]], [[groupdel]]. Salasanan vaihtaminen onnistuu yleensä komennolla [[passwd]].
* Tiedostojen tallentamisen omaan kotihakemistoon "/home/matti"
* Normaalien ohjelmien suorittamien, tekstin- ja kuvankäsittely, pelit jne.
* Internetissä surffaileminen, sähköpostin lukeminen
* Musiikin kuuntelemisen
* Kuvien siirtämisen digikamerasta tietokoneeseen
* ''Mutta EI ohjelmien asentamista tai järjestelmän asetusten muuttamista''


== Pääkäyttäjä ==
== Pääkäyttäjä ==


Pääkäyttäjä tai "root", on Linux järjestelmän ylläpitoa varten tarkoitettu tunnus. [[Tietoturva|Tietoturvan]] parantamiseksi root-tunnusta ei käytetä muihin kuin ylläpitotehtäviin ja käyttäjien ja oikeuksien hallintaan. Normaaleihin askareisiin, kuten www-selailuun kannattaa tehdä oma käyttäjätunnus rajoitetuilla oikeuksilla.
Pääkäyttäjälle on varattu oma käyttäjätunnus "root" ja ryhmä "root". Tämä on ainoastaan järjestelmän ylläpitoa varten tarkoitettu tunnus. Ylläpito käsittää siis esimerkiksi ohjelmien asentamiseen, järjestelmän asetusten muuttamiseen ja käyttäjätunnusten ylläpitämisen.


Esimerkiksi www-sivujen selaaminen pääkäyttäjän tunnuksilla on tietoturvariski, koska esimerkiksi selaimen vikaa hyväksikäyttävä ohjelma voisi tuhota koko käyttöjärjestelmän.


== Ohjelmat käyttäjinä ==
== Käyttäjien hallinta ==


Linux-järjestelmässä ei kirjaimellisesti rajoiteta käyttäjän oikeuksia, vaan ohjelmien oikeutta lukea, kirjoittaa ja suorittaa tiedostoja. Jokainen ohjelma suoritetaan tietyn käyttäjätunnuksen mukaisilla oikeuksilla, mikä on oletuksena järjestelmään sisäänkirjautuneen käyttäjän tunnus. Kuitenkin ohjelma voidaan suorittaa myös muulla kuin kirjautuneen käyttäjän tunnuksella, mikä muuttaa myös ohjelman oikeudet [[tiedostojärjestelmä|tiedostojärjestelmään]].
Käyttäjien hallinta onnistuu komennoilla [[useradd]], [[userdel]], [[groupadd]], [[groupdel]].


Usein [[Tietoturva|tietoturvan]] paranamiseksi ohjelmia suoritetaan niille erityisesti varatuilla käyttäjätunnuksilla. Esimerkiksi [[apache|Apache www-palvelin]], mille luodaan erityinen käyttäjätunnus "apache" ja ryhmä "apache". Tällöin www-palvelimen oikeudet tiedostojärjestelmään saadaan rajattua erittäin tarkasti mikä voi vähentää www-palvelimeen kohdistetun hyökkäyksen vahinkoa.
Salasanan vaihtaminen onnistuu yleensä komennolla [[passwd]].


Kaikki käyttäjätunnukset ja salasanat tallennetaan tiedostoihin:
* /etc/passwd
* /etc/shadow


Katso myös komennot [[su]] ja [[sudo]].
Kaikki ryhmät tallennetaan tiedostoihin:
* /etc/shadow
* /etc/gshadow


== Ohjelman käyttäjä ==


== Käyttäjät ja ryhmät ==
Linux-järjestelmässä ei kirjaimellisesti rajoiteta käyttäjän oikeuksia, vaan ohjelmien oikeutta lukea, kirjoittaa ja suorittaa tiedostoja. Jokainen ohjelma suoritetaan tietyn käyttäjätunnuksen mukaisilla oikeuksilla, mikä on oletuksena järjestelmään sisäänkirjautuneen käyttäjän tunnus. Kuitenkin ohjelma voidaan suorittaa myös muulla kuin kirjautuneen käyttäjän tunnuksella, mikä muuttaa myös ohjelman oikeudet [[tiedostojärjestelmä|tiedostojärjestelmään]].
<!-- Katso, jos tästä jäisi jotain alkuperäisen otsikon alle -->


Linux-järjestelmässä jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana, mikä liitetään yhteen tai useampaan käyttöoikeusryhmään. Ryhmien perusteella määrätään mikä on käyttäjälle sallittua järjestelmässä. Käyttäjät voidaan jakaa karkeasti kahteen ryhmään tehtäviensä perusteella:
[[Tietoturva|Tietoturvan]] paranamiseksi ohjelmia usein suoritetaan erikseen ohjelmalle varatulla käyttäjätunnuksella. Esimerkiksi [[apache|Apache www-palvelimelle]] usein luodaan oma käyttäjätunnus "apache" ja ryhmä "apache". Tällöin www-palvelimen oikeudet tiedostojärjestelmään saadaan rajattua erittäin tarkasti mikä voi vähentää www-palvelimeen kohdistetun hyökkäyksen vahinkoa. Lisäksi apache-tunnuksella kirjautuminen järjestelmään on estetty, katso [[useradd]].


* Tavallinen käyttäjä (ryhmät esim. "users, audio, video", tunnus "matti")
Katso myös komennot [[su]] ja [[sudo]].
** Internetissä surffaileminen, sähköpostin lukeminen
** Dokumenttien kirjoittaminen, kuvien käsitteleminen
** Elokuvien katsominen, musiikin kuunteleminen
** ''EI ohjelmien asentaminen tai järjestelmän asetusten muuttaminen''
 
* Pääkäyttäjä (ryhmä "root", tunnus "root")
** Käyttäjäoikeuksien hallinta, hakemistojen ja kiintolevyjen käyttöoikeuksien hallinta
** Ohjelmien asentaminen ja poistaminen
** Käyttöjärjestelmän asetusten muuttaminen
** Kiintolevyjen formatointi, osiointi, kuten Windows-osion poistaminen
** Linuxin täydellinen rikkominen
** ''EI elokuvien katsominen tai netissä surffaileminen''
 
Tavalliselta käyttäjältä "matti" on siis estetty kaikki toiminnot mitkä saattaisivat vahingoittaa itse järjestelmää. Vastavuoroisesti pääkäyttäjällä, vakiintunut käyttäjätunnus on "root", on täydellinen hallinta järjestelmään. Tämä käsittää myös täydellisen mahdollisuuden rikkoa järjestelmä, formatoida kiintolevy, asentaa viruksia tai muita haittaohjelmia.


Vaikka järjestelmän pääkäyttäjä ja normaalikäyttäjä voivat todellisuudessa olla yksi ja sama henkilö, on tietoturvan kannalta edullista käyttää päivittäiseen käyttöön rajoitettuja käyttöoikeuksia. Näin vähennät huomattavasti riskiä sotkea Linuxia vahingossa.
== Lisätietoja ==


[[Luokka:Järjestelmä]]
[[Luokka:Järjestelmä]]
[[Luokka:Tietoturva]]
[[Luokka:Tietoturva]]

Versio 22. marraskuuta 2006 kello 20.16

Yleistä

Linux on suunniteltu useamman käyttäjän palvelinympäristöksi ja käyttöoikeuksien hallinta on kopioitu Unix-palvelimista. Jokaisella käyttäjällä on yksilöllinen käyttäjätunnus ja salasana, mikä liitetään yhteen tai useampaan käyttäjäryhmään. Tämä mahdollistaa käyttäjän oikeuksien hallinnan niin käyttäjä, kuin ryhmäkohtaisestikin. Katso lisää käyttöoikeuksista: Tiedoston oikeudet

Tavallinen käyttäjä

Tietoturvan parantamiseksi tavalliselta käyttäjältä "matti" on estetty kaikki toiminnot mitkä saattaisivat vahingoittaa itse järjestelmää. Normaaliin käyttöön kannattaa aina käyttää käyttäjätunnusta rajoitetuilla käyttöoikeuksilla.

Tavan käyttäjä "matti" voi kuulua esimerkiksi ryhmiin "users", "floppy", "audio" ja "camera", mitkä mahdollistaisivat esimerkiksi:

  • Tiedostojen tallentamisen omaan kotihakemistoon "/home/matti"
  • Normaalien ohjelmien suorittamien, tekstin- ja kuvankäsittely, pelit jne.
  • Internetissä surffaileminen, sähköpostin lukeminen
  • Musiikin kuuntelemisen
  • Kuvien siirtämisen digikamerasta tietokoneeseen
  • Mutta EI ohjelmien asentamista tai järjestelmän asetusten muuttamista

Pääkäyttäjä

Pääkäyttäjälle on varattu oma käyttäjätunnus "root" ja ryhmä "root". Tämä on ainoastaan järjestelmän ylläpitoa varten tarkoitettu tunnus. Ylläpito käsittää siis esimerkiksi ohjelmien asentamiseen, järjestelmän asetusten muuttamiseen ja käyttäjätunnusten ylläpitämisen.

Esimerkiksi www-sivujen selaaminen pääkäyttäjän tunnuksilla on tietoturvariski, koska esimerkiksi selaimen vikaa hyväksikäyttävä ohjelma voisi tuhota koko käyttöjärjestelmän.

Käyttäjien hallinta

Käyttäjien hallinta onnistuu komennoilla useradd, userdel, groupadd, groupdel.

Salasanan vaihtaminen onnistuu yleensä komennolla passwd.

Kaikki käyttäjätunnukset ja salasanat tallennetaan tiedostoihin:

  • /etc/passwd
  • /etc/shadow

Kaikki ryhmät tallennetaan tiedostoihin:

  • /etc/shadow
  • /etc/gshadow

Ohjelman käyttäjä

Linux-järjestelmässä ei kirjaimellisesti rajoiteta käyttäjän oikeuksia, vaan ohjelmien oikeutta lukea, kirjoittaa ja suorittaa tiedostoja. Jokainen ohjelma suoritetaan tietyn käyttäjätunnuksen mukaisilla oikeuksilla, mikä on oletuksena järjestelmään sisäänkirjautuneen käyttäjän tunnus. Kuitenkin ohjelma voidaan suorittaa myös muulla kuin kirjautuneen käyttäjän tunnuksella, mikä muuttaa myös ohjelman oikeudet tiedostojärjestelmään.

Tietoturvan paranamiseksi ohjelmia usein suoritetaan erikseen ohjelmalle varatulla käyttäjätunnuksella. Esimerkiksi Apache www-palvelimelle usein luodaan oma käyttäjätunnus "apache" ja ryhmä "apache". Tällöin www-palvelimen oikeudet tiedostojärjestelmään saadaan rajattua erittäin tarkasti mikä voi vähentää www-palvelimeen kohdistetun hyökkäyksen vahinkoa. Lisäksi apache-tunnuksella kirjautuminen järjestelmään on estetty, katso useradd.

Katso myös komennot su ja sudo.

Lisätietoja