Muokataan sivua Käyttäjä

Linux on suunniteltu useamman käyttäjän palvelinympäristöksi minkä vuoksi sen käyttöoikeusmalli on kopioitu Unix-järjestelmistä. Jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana, mikä liitetään yhteen tai useampaan ryhmään. Käyttöoikeudet tiedostojen käsittelyyn määritellään käyttäjä- ja ryhmäkohtaisesti, katso lisätietoa [[Tiedoston oikeudet|tiedostojen oikeuksista]]

Kaikki käyttäjätunnukset ja salasanat tallennetaan tiedostoihin:

 /etc/passwd
 /etc/shadow

Kaikki ryhmät tallennetaan tiedostoihin:

 /etc/shadow
 /etc/gshadow

Käyttäjien hallinta onnistuu komennoilla [[useradd]], [[userdel]], [[groupadd]], [[groupdel]]. Salasanan vaihtaminen onnistuu yleensä komennolla [[passwd]].

== Pääkäyttäjä ==

Pääkäyttäjä tai "root", on Linux järjestelmän ylläpitoa varten tarkoitettu tunnus. [[Tietoturva|Tietoturvan]] parantamiseksi root-tunnusta ei käytetä muihin kuin ylläpitotehtäviin ja käyttäjien ja oikeuksien hallintaan. Normaaleihin askareisiin, kuten www-selailuun kannattaa tehdä oma käyttäjätunnus rajoitetuilla oikeuksilla.


== Ohjelmat käyttäjinä ==

Linux-järjestelmässä ei kirjaimellisesti rajoiteta käyttäjän oikeuksia, vaan ohjelmien oikeutta lukea, kirjoittaa ja suorittaa tiedostoja. Jokainen ohjelma suoritetaan tietyn käyttäjätunnuksen mukaisilla oikeuksilla, mikä on oletuksena järjestelmään sisäänkirjautuneen käyttäjän tunnus. Kuitenkin ohjelma voidaan suorittaa myös muulla kuin kirjautuneen käyttäjän tunnuksella, mikä muuttaa myös ohjelman oikeudet [[tiedostojärjestelmä|tiedostojärjestelmään]].

Usein [[Tietoturva|tietoturvan]] paranamiseksi ohjelmia suoritetaan niille erityisesti varatuilla käyttäjätunnuksilla. Esimerkiksi [[apache|Apache www-palvelin]], mille luodaan erityinen käyttäjätunnus "apache" ja ryhmä "apache". Tällöin www-palvelimen oikeudet tiedostojärjestelmään saadaan rajattua erittäin tarkasti mikä voi vähentää www-palvelimeen kohdistetun hyökkäyksen vahinkoa.


Katso myös komennot [[su]] ja [[sudo]].


== Käyttäjät ja ryhmät ==
<!-- Katso, jos tästä jäisi jotain alkuperäisen otsikon alle -->

Linux-järjestelmässä jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana, mikä liitetään yhteen tai useampaan käyttöoikeusryhmään. Ryhmien perusteella määrätään mikä on käyttäjälle sallittua järjestelmässä. Käyttäjät voidaan jakaa karkeasti kahteen ryhmään tehtäviensä perusteella:

* Tavallinen käyttäjä (ryhmät esim. "users, audio, video", tunnus "matti")
** Internetissä surffaileminen, sähköpostin lukeminen
** Dokumenttien kirjoittaminen, kuvien käsitteleminen
** Elokuvien katsominen, musiikin kuunteleminen
** ''EI ohjelmien asentaminen tai järjestelmän asetusten muuttaminen''

* Pääkäyttäjä (ryhmä "root", tunnus "root")
** Käyttäjäoikeuksien hallinta, hakemistojen ja kiintolevyjen käyttöoikeuksien hallinta
** Ohjelmien asentaminen ja poistaminen
** Käyttöjärjestelmän asetusten muuttaminen
** Kiintolevyjen formatointi, osiointi, kuten Windows-osion poistaminen
** Linuxin täydellinen rikkominen
** ''EI elokuvien katsominen tai netissä surffaileminen''

Tavalliselta käyttäjältä "matti" on siis estetty kaikki toiminnot mitkä saattaisivat vahingoittaa itse järjestelmää. Vastavuoroisesti pääkäyttäjällä, vakiintunut käyttäjätunnus on "root", on täydellinen hallinta järjestelmään. Tämä käsittää myös täydellisen mahdollisuuden rikkoa järjestelmä, formatoida kiintolevy, asentaa viruksia tai muita haittaohjelmia.

Vaikka järjestelmän pääkäyttäjä ja normaalikäyttäjä voivat todellisuudessa olla yksi ja sama henkilö, on tietoturvan kannalta edullista käyttää päivittäiseen käyttöön rajoitettuja käyttöoikeuksia. Näin vähennät huomattavasti riskiä sotkea Linuxia vahingossa.

[[Luokka:Järjestelmä]]
[[Luokka:Tietoturva]]
@@ Rivi 1: / Rivi 1: @@
-Unix, ja siten Linux, on suunniteltu monen käyttäjän ympäristöksi, mikä on etu varsinkin palvelinympäristössä, mutta myös kotikoneella. Jokaisella käyttäjällä on yksilöllinen [[salasana]] ja käyttäjätunnus, mikä liitetään yhteen tai useampaan [[käyttäjäryhmä]]än. Tämä mahdollistaa käyttäjän oikeuksien hallinnan niin käyttäjä- kuin ryhmäkohtaisestikin. Katso lisää käyttöoikeuksista: [[Tiedoston oikeudet]]. Käyttäjä ilmenee UID-numerona (lyh. User Identification number), käyttäjätunnuksena joka yhdistyy [[passwd]]-tiedostossa numeroon. Järjestelmässä pyörivillä [[prosessi|prosesseilla]] on aina käyttäjä, samoin tiedostot omistaa aina joku käyttäjä.
+Linux on suunniteltu useamman käyttäjän palvelinympäristöksi minkä vuoksi sen käyttöoikeusmalli on kopioitu Unix-järjestelmistä. Jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana, mikä liitetään yhteen tai useampaan ryhmään. Käyttöoikeudet tiedostojen käsittelyyn määritellään käyttäjä- ja ryhmäkohtaisesti, katso lisätietoa [[Tiedoston oikeudet|tiedostojen oikeuksista]]
-== Tavalliset käyttäjät ==
+Kaikki käyttäjätunnukset ja salasanat tallennetaan tiedostoihin:
-[[Tietoturva]]n parantamiseksi tavallisilta käyttäjiltä "matti" on estetty useimmat toiminnot mitkä saattaisivat vahingoittaa itse järjestelmää. Normaalissa käytössä kannattaa aina käyttää tavallista käyttäjätunnusta.
+ /etc/passwd
+ /etc/shadow
+Kaikki ryhmät tallennetaan tiedostoihin:
-Tavallinen käyttäjä "matti" voi kuulua esimerkiksi [[ryhmä|ryhmiin]] "users", "floppy", "audio" ja "camera", mitkä mahdollistaisivat esimerkiksi:
+ /etc/shadow
+ /etc/gshadow
-* Tiedostojen tallentamisen omaan [[kotihakemisto]]on "/home/matti"
+Käyttäjien hallinta onnistuu komennoilla [[useradd]], [[userdel]], [[groupadd]], [[groupdel]]. Salasanan vaihtaminen onnistuu yleensä komennolla [[passwd]].
-* Normaalien ohjelmien suorittamien, tekstin- ja kuvankäsittely, pelit jne.
-* Internetissä surffaileminen, sähköpostin lukeminen
-* Musiikin kuuntelemisen
-* Kuvien siirtämisen digikamerasta tietokoneeseen
-* EI ohjelmien asentamista (muuta kuin omaan kotihakemistoonsa) tai järjestelmän asetusten muuttamista. Ks. [[su]] ja [[sudo]].
 == Pääkäyttäjä ==
-''Pääartikkeli: [[root]]''
-Pääkäyttäjälle on varattu oma käyttäjätunnus "root" ja ryhmä "root". Tämä on ainoastaan järjestelmän ylläpitoa varten tarkoitettu tunnus. Ylläpito käsittää esimerkiksi ohjelmien asentamisen, järjestelmän asetusten muuttamisen ja käyttäjätunnusten ylläpitämisen.
+Pääkäyttäjä tai "root", on Linux järjestelmän ylläpitoa varten tarkoitettu tunnus. [[Tietoturva|Tietoturvan]] parantamiseksi root-tunnusta ei käytetä muihin kuin ylläpitotehtäviin ja käyttäjien ja oikeuksien hallintaan. Normaaleihin askareisiin, kuten www-selailuun kannattaa tehdä oma käyttäjätunnus rajoitetuilla oikeuksilla.
-Esimerkiksi www-sivujen selaaminen pääkäyttäjän tunnuksilla on tietoturvariski, koska selaimen vikaa hyväksikäyttävä ohjelma voisi tuhota koko käyttöjärjestelmän tai piiloutua muuttamalla järjestelmän toimintaa.
-==Järjestelmätunnukset==
+== Ohjelmat käyttäjinä ==
-Pääkäyttäjän ja tavallisten käyttäjien lisäksi Unix-järjestelmissä on joukko järjestelmän käyttöön varattuja tunnuksia. Näitä käytetään palvelimien ajoon yms., jotta eri ohjelmien oikeudet saataisiin rajattua mahdollisimman tarkkaan. Näillä tunnuksilla ei yleensä ole kelvollista komentotulkkia tai varsinaista kotihakemistoa, jotta tunnuksen murtaminen auttaisi hyökkääjää mahdollisimman vähän.
-== Käyttäjien hallinta ==
+Linux-järjestelmässä ei kirjaimellisesti rajoiteta käyttäjän oikeuksia, vaan ohjelmien oikeutta lukea, kirjoittaa ja suorittaa tiedostoja. Jokainen ohjelma suoritetaan tietyn käyttäjätunnuksen mukaisilla oikeuksilla, mikä on oletuksena järjestelmään sisäänkirjautuneen käyttäjän tunnus. Kuitenkin ohjelma voidaan suorittaa myös muulla kuin kirjautuneen käyttäjän tunnuksella, mikä muuttaa myös ohjelman oikeudet [[tiedostojärjestelmä|tiedostojärjestelmään]].
-''Pääartikkeli: [[Käyttäjien hallinta]]''
+Usein [[Tietoturva|tietoturvan]] paranamiseksi ohjelmia suoritetaan niille erityisesti varatuilla käyttäjätunnuksilla. Esimerkiksi [[apache|Apache www-palvelin]], mille luodaan erityinen käyttäjätunnus "apache" ja ryhmä "apache". Tällöin www-palvelimen oikeudet tiedostojärjestelmään saadaan rajattua erittäin tarkasti mikä voi vähentää www-palvelimeen kohdistetun hyökkäyksen vahinkoa.
-Käyttäjien hallinta onnistuu komennoilla [[useradd]], [[userdel]], [[groupadd]], [[groupdel]] ja [[gpasswd]].
-Salasanan vaihtaminen onnistuu yleensä komennolla [[passwd]].
+Katso myös komennot [[su]] ja [[sudo]].
-Kaikki käyttäjätunnukset ja salasanat tallennetaan tiedostoihin:
-* /etc/[[passwd-tiedosto|passwd]]
-* /etc/[[shadow-tiedosto|shadow]]
-Kaikki ryhmät tallennetaan tiedostoihin:
+== Käyttäjät ja ryhmät ==
-* /etc/[[group-tiedosto|group]]
+<!-- Katso, jos tästä jäisi jotain alkuperäisen otsikon alle -->
-* /etc/[[gshadow]]
-Salasanat pidetään shadow-tiedostoissa, jotka ovat vain rootin luettavissa. Ryhmäkohtaisia salasanoja käytetään nykyään harvoin.
+Linux-järjestelmässä jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana, mikä liitetään yhteen tai useampaan käyttöoikeusryhmään. Ryhmien perusteella määrätään mikä on käyttäjälle sallittua järjestelmässä. Käyttäjät voidaan jakaa karkeasti kahteen ryhmään tehtäviensä perusteella:
-== Ohjelman käyttäjä ==
+* Tavallinen käyttäjä (ryhmät esim. "users, audio, video", tunnus "matti")
+** Internetissä surffaileminen, sähköpostin lukeminen
+** Dokumenttien kirjoittaminen, kuvien käsitteleminen
+** Elokuvien katsominen, musiikin kuunteleminen
+** ''EI ohjelmien asentaminen tai järjestelmän asetusten muuttaminen''
-Linux-järjestelmässä ei kirjaimellisesti rajoiteta käyttäjän oikeuksia, vaan ohjelmien oikeutta lukea, kirjoittaa ja suorittaa tiedostoja. Jokainen ohjelma suoritetaan tietyn käyttäjätunnuksen mukaisilla oikeuksilla, mikä on oletuksena järjestelmään sisäänkirjautuneen käyttäjän tunnus. Kuitenkin ohjelma voidaan suorittaa myös muulla kuin kirjautuneen käyttäjän tunnuksella, mikä muuttaa myös ohjelman oikeuksia [[tiedostojärjestelmä|tiedostojärjestelmään]].
+* Pääkäyttäjä (ryhmä "root", tunnus "root")
+** Käyttäjäoikeuksien hallinta, hakemistojen ja kiintolevyjen käyttöoikeuksien hallinta
+** Ohjelmien asentaminen ja poistaminen
+** Käyttöjärjestelmän asetusten muuttaminen
+** Kiintolevyjen formatointi, osiointi, kuten Windows-osion poistaminen
+** Linuxin täydellinen rikkominen
+** ''EI elokuvien katsominen tai netissä surffaileminen''
-[[Tietoturva|Tietoturvan]] parantamiseksi ohjelmia usein suoritetaan erikseen ohjelmalle varatulla käyttäjätunnuksella. Esimerkiksi www-palvelimelle [[apache|Apache]] luodaan usein oma käyttäjätunnus "apache" ja ryhmä "apache". Näin www-palvelimen oikeudet tiedostojärjestelmään saadaan rajattua erittäin tarkasti, mikä voi vähentää www-palvelimeen kohdistetun hyökkäyksen vahinkoa. Lisäksi apache-tunnuksella kirjautuminen järjestelmään on estetty, katso [[useradd]].
+Tavalliselta käyttäjältä "matti" on siis estetty kaikki toiminnot mitkä saattaisivat vahingoittaa itse järjestelmää. Vastavuoroisesti pääkäyttäjällä, vakiintunut käyttäjätunnus on "root", on täydellinen hallinta järjestelmään. Tämä käsittää myös täydellisen mahdollisuuden rikkoa järjestelmä, formatoida kiintolevy, asentaa viruksia tai muita haittaohjelmia.
-== Katso myös ==
+Vaikka järjestelmän pääkäyttäjä ja normaalikäyttäjä voivat todellisuudessa olla yksi ja sama henkilö, on tietoturvan kannalta edullista käyttää päivittäiseen käyttöön rajoitettuja käyttöoikeuksia. Näin vähennät huomattavasti riskiä sotkea Linuxia vahingossa.
-*[[Käyttäjien hallinta]]
-*[[Salasana]]
-*[[Kotihakemisto]]
-*[[Ryhmä]]
-*[[UID]]
-*[[su]]
-*[[sudo]]
 [[Luokka:Järjestelmä]]
-[[Luokka:Käsitteet]]
 [[Luokka:Tietoturva]]
-[[Luokka:Käyttäjät ja ryhmät]]