כיצד למחוק משתמש בלינוקס (ולהסיר כל עקבות)

מחיקת משתמש בלינוקס כוללת יותר ממה שאתה חושב. אם אתה מנהל מערכת, תרצה לטהר את כל עקבות החשבון ואת הגישה אליו מהמערכות שלך. אנו נראה לך את הצעדים שיש לנקוט.

אם אתה רק רוצה למחוק חשבון משתמש מהמערכת שלך ואינך מודאג מסיום תהליכים פועלים ומשימות ניקוי אחרות, בצע את השלבים בסעיף "מחיקת חשבון משתמש" להלן. תזדקק deluserלפקודה על הפצות מבוססות Debian ועל userdelהפקודה על הפצות לינוקס אחרות.

חשבונות משתמשים בלינוקס

מאז שמערכות השיתוף בפעם הראשונה הופיעו בתחילת שנות השישים והביאו איתן את היכולת של מספר משתמשים לעבוד במחשב אחד, היה צורך לבודד ולמיין את הקבצים והנתונים של כל משתמש מכל המשתמשים האחרים. וכך נולדו חשבונות משתמש וסיסמאות.

לחשבונות משתמשים יש תקורה ניהולית. יש ליצור אותם כאשר המשתמש זקוק לראשונה לגישה למחשב. יש להסיר אותם כאשר גישה זו אינה נדרשת עוד. ב- Linux יש רצף של צעדים שיש לבצע על מנת להסיר בצורה נכונה ושיטתית את המשתמש, את הקבצים שלו ואת חשבונו מהמחשב.

אם אתה מנהל המערכת האחריות מוטלת עליך. כך תוכל לעשות זאת.

התרחיש שלנו

יש מספר סיבות לכך שחשבון צריך להימחק. איש צוות עשוי לעבור לצוות אחר או לעזוב את החברה לחלוטין. ייתכן שהחשבון הוקם לשיתוף פעולה לטווח קצר עם אורח מחברה אחרת. צוותי עבודה נפוצים באקדמיה, שם פרויקטים של מחקר יכולים להקיף מחלקות, אוניברסיטאות שונות ואפילו גופים מסחריים. בסיום הפרויקט על מנהל המערכת לבצע את ניקיון הבית ולהסיר חשבונות מיותרים.

התרחיש הגרוע ביותר הוא כאשר מישהו עוזב מתחת לענן בגלל עבירה. אירועים כאלה מתרחשים בדרך כלל פתאום, עם אזהרה מוקדמת מועטה. זה נותן למנהל המערכת מעט מאוד זמן לתכנן, ודחיפות לנעול, לסגור ולמחוק את החשבון - עם עותק של קבצי המשתמש המגובים למקרה שהם נדרשים לכל פורום פלילי.

בתרחיש שלנו נעמיד פנים שמשתמש, אריק, עשה משהו שמצדיק את הסרתו המיידית מהמקום. ברגע זה הוא לא מודע לכך, הוא עדיין עובד ונכנס. ברגע שאתה נותן את הנהון לביטחון הוא ילווה מהבניין.

הכל מוגדר. כל העיניים נשואות אליך.

בדוק את הכניסה

בואו נראה אם ​​הוא באמת מחובר ואם הוא כן, עם כמה מפגשים הוא עובד איתם. whoפקוד תפרט הפעלות פעילות.

Who

אריק מחובר פעם אחת. בואו נראה אילו תהליכים הוא מנהל.

סקירת תהליכי המשתמש

אנו יכולים להשתמש psבפקודה כדי לרשום את התהליכים שמשתמש זה מריץ. האפשרות -u(user) מאפשרת לנו psלהגביל את תפוקתו לתהליכים הפועלים בבעלות חשבון משתמש זה.

ps -u eric

אנו יכולים לראות את אותם תהליכים עם מידע נוסף באמצעות topהפקודה. top יש גם -Uאפשרות (משתמש) להגביל את הפלט לתהליכים שבבעלות משתמש יחיד. שימו לב שהפעם מדובר באותיות רישיות "U."

top -U eric

אנו יכולים לראות את השימוש בזיכרון ובמעבד של כל משימה ויכולים לחפש במהירות כל דבר עם פעילות חשודה. אנו עומדים להרוג בכוח את כל התהליכים שלו, ולכן הכי בטוח להקדיש רגע לסקירה מהירה של התהליכים ולבדוק ולוודא שמשתמשים אחרים לא יעשו אי-נוחות כשתסיים את ericהתהליכים של חשבון המשתמש.

לא נראה שהוא עושה הרבה, רק  lessכדי להציג קובץ. אנחנו בטוחים להמשיך. אך לפני שנהרוג את התהליכים שלו, נקפיא את החשבון באמצעות נעילת הסיסמה.

קשורים: כיצד להשתמש בפקודה ps כדי לפקח על תהליכי לינוקס

נעילת החשבון

ננעל את החשבון לפני שנהרוג את התהליכים מכיוון שכאשר נהרוג את התהליכים זה ינתק את המשתמש. אם כבר שינינו את הסיסמה שלו, הוא לא יוכל להתחבר שוב.

סיסמאות המשתמש המוצפנות נשמרות /etc/shadowבקובץ. בדרך כלל לא היית מתעסק בצעדים הבאים הבאים, אך בכדי שתוכל לראות מה קורה /etc/shadow בקובץ כאשר אתה נועל את החשבון, נעקוף מעט. אנו יכולים להשתמש בפקודה הבאה כדי לבדוק את שני השדות הראשונים של הערך עבור  eric חשבון המשתמש.

sudo awk -F: '/ eric / {print $ 1, $ 2}' / etc / shadow

הפקודה awk מנתחת שדות מקובצי טקסט ומתפעלת אותם באופן אופציונלי. אנו משתמשים באפשרות -F(מפריד שדות) כדי לומר awkשהקובץ משתמש בנקודתיים " :" כדי להפריד בין השדות. אנו נחפש שורה עם התבנית "אריק" בתוכה. לשורות תואמות, נדפיס את השדות הראשון והשני. אלה הם שם החשבון והסיסמה המוצפנת.

הערך לחשבון המשתמש eric מודפס עבורנו.

כדי לנעול את החשבון אנו משתמשים passwdבפקודה. נשתמש באפשרות -l(נעילה) ונעביר את שם חשבון המשתמש לנעילה.

sudo passwd -l eric

אם נבדוק את /etc/passwdהקובץ שוב, נראה מה קרה.

sudo awk -F: '/ eric / {print $ 1, $ 2}' / etc / shadow

סימן קריאה נוסף לתחילת הסיסמה המוצפנת. זה לא מחליף את התו הראשון, אלא פשוט מתווסף לתחילת הסיסמה. זה כל מה שנדרש כדי למנוע ממשתמש להיכנס לחשבון זה.

עכשיו שמנענו מהמשתמש להתחבר שוב, אנחנו יכולים להרוג את התהליכים שלו ולהתנתק ממנו.

הריגת התהליכים

ישנן דרכים שונות להרוג את תהליכי המשתמש, אך הפקודה המוצגת כאן זמינה באופן נרחב והיא מהווה יישום מודרני יותר מכמה מהחלופות. pkillפקוד תמצא ותהליכי הריגה. אנו מעבירים את האות KILL ומשתמשים באפשרות -u(user).

sudo pkill -KILL -u eric

אתה מוחזר לשורת הפקודה באופן אנטי-אקלימי בעליל. כדי לוודא שמשהו קרה בואו נבדוק whoשוב:

Who

הפגישה שלו נעלמה. הוא נותק והתהליכים שלו הופסקו. זה הוציא חלק מהדחיפות מהמצב. עכשיו אנחנו יכולים להירגע קצת ולהמשיך עם שאר הגיחות כאשר האבטחה עוברת לשולחן של אריק.

קשורים: כיצד להרוג תהליכים ממסוף לינוקס

ארכיון בספריה הביתית של המשתמש

לא בא בחשבון כי בתרחיש כזה, תידרש גישה לקבצי המשתמש בעתיד. בין אם במסגרת חקירה ובין אם פשוט משום שמחליפם עשוי להזדקק לחזור לעבודה של קודמתם. נשתמש tarבפקודה לארכיון כל ספריית הבית שלהם.

האפשרויות בהן אנו משתמשים הן:

  • ג : צור קובץ ארכיון.
  • f : השתמש בשם הקובץ שצוין לשם הארכיון.
  • j : השתמש בדחיסת bzip2.
  • v : ספק פלט מילולי כאשר הארכיון נוצר.
sudo tar cfjv eric-20200820.tar.bz / home / eric

הרבה פלט מסך יגלול בחלון המסוף. כדי לבדוק את הארכיון נוצר, השתמש lsבפקודה. אנו משתמשים באפשרויות -l(פורמט ארוך) ואפשר -h(קריא לאדם).

ls -lh eric-20200802.tar.bz

נוצר קובץ של 722 מגהבייט. ניתן להעתיק זאת במקום בטוח לבדיקה מאוחרת יותר.

הסרת עבודות cron

מוטב שנבדוק אם ישנן cronמשרות שמתוכננות לחשבון משתמש eric. משימה cronהיא פקודה שמופעלת בזמנים או במרווחים מוגדרים. אנו יכולים לבדוק אם cronמתוכננות עבודות לחשבון משתמש זה באמצעות ls:

sudo ls -lh / var / spool / cron / crontabs / eric

אם קיים משהו במיקום זה פירושו שיש cronמשרות בתור לאותו חשבון משתמש. אנו יכולים למחוק אותם באמצעות crontabפקודה זו . האפשרות -r(הסר) תסיר את העבודות, -uוהאפשרות (משתמש) אומרת את crontabהמשרות של מי להסיר.

sudo crontab -r -u eric

המשרות נמחקות בשקט. עם כל מה שידוע לנו, אם אריק היה חושד שהוא עומד לפנות אותו הוא אולי היה מתזמן עבודה זדונית. שלב זה הוא השיטה הטובה ביותר.

הסרת עבודות הדפסה

אולי למשתמש היו עבודות הדפסה ממתינות? רק כדי להיות בטוחים, אנו יכולים לטהר את תור ההדפסה מכל עבודות השייכות לחשבון המשתמש eric. lprmפקוד מסירה עבודות מתור ההדפסה. האפשרות -U(שם משתמש) מאפשרת לך להסיר עבודות שבבעלות חשבון המשתמש הנקוב:

lprm -U אריק

העבודות מוסרות ואתה מוחזר לשורת הפקודה.

מחיקת חשבון המשתמש

כבר גיבינו את הקבצים /home/eric/מהספריה, כדי שנוכל להמשיך ולמחוק את חשבון המשתמש ולמחוק את /home/eric/הספרייה בו זמנית.

פקודת השימוש תלויה באיזו הפצה של לינוקס אתה משתמש. עבור הפצות לינוקס מבוססות דביאן, הפקודה היא deluser, ועבור שאר העולם של לינוקס היא כן userdel.

למעשה, באובונטו שתי הפקודות זמינות. ציפיתי למחצה שאחד יהיה כינוי של האחר, אבל הם בינאריות מובהקות.

סוג deluser
הקלד userdel

למרות ששניהם זמינים, ההמלצה היא להשתמש deluserבהפצות שמקורן בדביאן:

" userdelהוא כלי ברמה נמוכה להסרת משתמשים. ב- Debian, מנהלי מערכת צריכים בדרך כלל להשתמש deluser(8) במקום. "

זה ברור מספיק, ולכן הפקודה להשתמש במחשב אובונטו זה היא deluser. מכיוון שאנחנו רוצים שגם הספרייה הביתית שלהם תוסר, אנו משתמשים --remove-homeבדגל:

sudo deluser - הסר את הבית

הפקודה לשימוש להפצות שאינן דביאן היא userdel, עם --removeהדגל:

sudo userdel - הסר את אריק

כל עקבות חשבון המשתמש ericנמחקו. אנו יכולים לבדוק /home/eric/שהספרייה הוסרה:

ls / home

ericהקבוצה גם הוסר בגלל חשבון המשתמש ericהייתה כניסתם רק בו. אנו יכולים לבדוק זאת די בקלות על ידי צנרת תוכן /etc/groupדרך grep:

סודו פחות / וכו '/ קבוצה | grep eric

זה עטיפה

אריק, על חטאיו, איננו. הביטחון עדיין מוציא אותו מהבניין וכבר אבטחת וארכיון את התיקים שלו, מחקת את חשבונו וטיהרת את מערכת השאריות.

הדיוק תמיד גובר על המהירות. הקפד לשקול כל צעד לפני שתבצע אותו. אתה לא רוצה שמישהו יגיע לשולחן שלך ויגיד "לא, אריק השני."