Вступ

У сучасних корпоративних ІТ-інфраструктурах системи на базі Linux є критично важливими компонентами - від веб-серверів і контейнерних платформ до систем зберігання даних і DevOps-інструментів. У цьому контексті керування користувачами та правами доступу виходить далеко за межі базових команд на кшталт useradd чи chmod. На enterprise-рівні це питання безпеки, відповідності стандартам (compliance) та централізованого управління.

Неправильна конфігурація прав доступу може призвести до витоку даних, ескалації привілеїв або навіть повного компрометування системи. Водночас надмірні обмеження можуть ускладнити роботу команд і вплинути на продуктивність.

У цій статті розглянуто підходи до управління користувачами в Linux на рівні підприємства, включно з ролями, політиками доступу, інтеграцією з LDAP/AD, аудитом і практичними кейсами.

Основи керування користувачами в Linux

Типи користувачів

У Linux існує кілька типів користувачів:

• root (UID 0) - суперкористувач із повним доступом
• системні користувачі - створюються для сервісів (наприклад, nginx, mysql)
• звичайні користувачі - облікові записи для людей

Перевірити список користувачів можна:

cat /etc/passwd

Ключові поля:

• ім’я користувача
• UID
• GID
• домашній каталог
• shell

Управління користувачами

Основні команди:

Створення користувача

useradd -m -s /bin/bash username

Встановлення пароля

passwd username

Видалення користувача

userdel -r username

Зміна параметрів

usermod -aG group username

На enterprise-рівні ці команди використовуються рідко вручну - їх замінюють централізовані системи.

Групи та рольова модель доступу (RBAC)

Концепція груп

Групи дозволяють ефективно керувати правами:

groupadd developers
usermod -aG developers username

Перевірка членства:

groups username

Role-Based Access Control (RBAC)

RBAC - ключовий підхід на enterprise-рівні. Ідея:

• права надаються не користувачам, а ролям
• ролі відповідають бізнес-функціям

Приклад ролей:

• devops - доступ до Docker, Kubernetes
• db_admin - доступ до БД
• support - обмежений доступ до логів

Реалізація через групи:

groupadd devops
groupadd db_admin

usermod -aG devops alice
usermod -aG db_admin bob

Права доступу: базова модель Linux

Структура прав

-rwxr-x

Розшифровка:

• власник (user)
• група (group)
• інші (others)

Команди керування

chmod 750 file.sh
chown user:group file.sh

Числовий формат

• 7 = rwx
• 5 = r-x
• 0 =

chmod 750 script.sh

Розширені механізми контролю доступу

Access Control Lists (ACL)

ACL дозволяє задавати більш гнучкі права:

setfacl -m u:john:rwx file.txt
getfacl file.txt

Приклад:

setfacl -m g:developers:rw project.log

Переваги:

• точкове управління доступом
• не обмежується owner/group

SELinux

Security-Enhanced Linux - обов’язковий контроль доступу (MAC).

Режими:

• Enforcing
• Permissive
• Disabled

Перевірка:

getenforce

Контексти:

ls -Z

Приклад:

chcon -t httpd_sys_content_t /var/www/html

SELinux обмежує навіть root - критично важливо для enterprise-середовищ.

AppArmor

Альтернатива SELinux (частіше в Ubuntu):

aa-status

Профілі визначають, що може робити процес.

sudo та делегування прав

Конфігурація sudo

Файл:

/etc/sudoers

Редагування тільки через:

visudo

Приклад:

%devops ALL=(ALL) NOPASSWD: /usr/bin/docker

Це дозволяє групі devops запускати Docker без пароля.

Обмеження доступу

user ALL=(ALL) /usr/bin/systemctl restart nginx

Тільки конкретна команда.

Централізоване керування: LDAP та Active Directory

LDAP (Lightweight Directory Access Protocol)

LDAP дозволяє:

• централізувати користувачів
• уникнути локального керування акаунтами

Інтеграція:

apt install libnss-ldap libpam-ldap

Active Directory (AD)

Linux може інтегруватися з AD:

Використання realmd:

realm join domain.local -U admin

Перевірка:

id user@domain.local

SSSD (System Security Services Daemon)

SSSD кешує облікові дані:

systemctl status sssd

Конфігурація:

/etc/sssd/sssd.conf

Аудит та моніторинг доступу

auditd

apt install auditd

Приклад правила:

auditctl -w /etc/passwd -p wa -k user_changes

Перевірка логів:

ausearch -k user_changes

Логи доступу

• /var/log/auth.log

• /var/log/secure

Практичні кейси

Кейс 1: Обмеження доступу DevOps до Docker

groupadd docker
usermod -aG docker devuser

Додатково через sudo:

%docker ALL=(ALL) NOPASSWD: /usr/bin/docker

Кейс 2: Обмеження доступу до конфігурацій

chown root:admins /etc/nginx/nginx.conf
chmod 640 /etc/nginx/nginx.conf

Кейс 3: ACL для спільного каталогу

setfacl -m g:developers:rwx /shared
setfacl -d -m g:developers:rwx /shared

Кейс 4: Інтеграція з Active Directory

realm discover domain.local
realm join domain.local -U admin

Після цього користувачі AD можуть логінитися.

Best Practices для enterprise-середовища

1. Мінімальні привілеї (Principle of Least Privilege)

• не давати root-доступ без необхідності
• використовувати sudo з обмеженнями

2. Централізація

• LDAP або AD
• уникати локальних акаунтів

3. Аудит

• auditd
• централізований логінг (ELK, SIEM)

4. Використання SELinux/AppArmor

• увімкнений режим Enforcing
• регулярний аудит політик

5. Регулярний перегляд прав

find / -perm -4000

пошук SUID-файлів

Типові помилки

• використання chmod 777
• надмірне використання root
• відсутність аудиту
• ручне керування користувачами без централізації

Висновки

Керування користувачами та правами доступу в Linux на enterprise-рівні - це комплексна задача, що поєднує технічні механізми, політики безпеки та автоматизацію. Використання базових інструментів Linux є лише відправною точкою. Для реального корпоративного середовища критично важливими стають централізовані рішення, контроль доступу на рівні системи та постійний аудит.

Правильно побудована модель доступу дозволяє:

• зменшити ризики безпеки
• підвищити контроль над інфраструктурою
• забезпечити відповідність стандартам (ISO, SOC2)

Інвестиції в правильну архітектуру доступу завжди окупаються - як у безпеці, так і в керованості систем.