مقدمة
كل خادم لينكس مصمم ليكون متعدد المستخدمين. سواء كنت تشغّل موقعًا إلكترونيًا أو قاعدة بيانات أو تطبيقًا على خادم سحابي، فإن الإدارة السليمة للمستخدمين والصلاحيات هي أساس الأمان. فهي تتيح لك منح كل شخص وكل خدمة تحديدًا ما يحتاجون إليه من وصول — ولا شيء أكثر من ذلك.
يغطي هذا الدليل الأساسيات على نظام Ubuntu 22.04/24.04 LTS: إنشاء المستخدمين، والتعامل مع المجموعات، ومنح صلاحيات sudo، والتحكم في أذونات الملفات. وتنطبق الأوامر نفسها على معظم توزيعات لينكس الحديثة. للمتابعة تحتاج إلى خادم وحساب يمتلك صلاحيات sudo — وهو بالضبط ما تحصل عليه على خادم VPS سحابي مُدار من سكاي لاين.
إنشاء المستخدمين وحذفهم
على Debian و Ubuntu، تُعدّ أداة adduser الأكثر سهولة. فهي تنشئ المستخدم ومجلد المنزل وتطلب منك تعيين كلمة مرور:
sudo adduser sara
كما تتوفر أداة useradd ذات المستوى الأدنى وهي أنسب للأتمتة والبرمجة. تنشئ الخيارات التالية مجلد المنزل (-m)، وتعيّن صدفة الدخول، وتضيف وصفًا:
sudo useradd -m -s /bin/bash -c "Sara Ahmed" sara
sudo passwd sara
لحذف مستخدم مع الاحتفاظ بملفاته:
sudo deluser sara
لحذف المستخدم و مجلد منزله وصندوق بريده، استخدم --remove-home:
sudo deluser --remove-home sara
فهم المجموعات
تتيح لك المجموعات منح الوصول نفسه لعدة مستخدمين دفعة واحدة. اعرض مجموعات مستخدم باستخدام:
groups sara
id sara
أنشئ مجموعة وأضف إليها مستخدمًا:
sudo groupadd developers
sudo usermod -aG developers sara
الخياران -aG بالغا الأهمية: -a يعني الإلحاق (append)، و-G يحدد المجموعات الإضافية. إن إغفال -a سيؤدي إلى استبدال كل المجموعات الإضافية الحالية للمستخدم — وهو خطأ شائع وخطير. يسري التغيير عند تسجيل الدخول التالي للمستخدم.
لإزالة مستخدم من مجموعة:
sudo gpasswd -d sara developers
منح الصلاحيات الإدارية باستخدام sudo
على Ubuntu، يمكن لأعضاء مجموعة sudo تنفيذ الأوامر كجذر (root). أضف مستخدمًا إليها:
sudo usermod -aG sudo sara
لتحكم أدق، عدّل إعدادات sudoers — دائمًا باستخدام visudo الذي يتحقق من صحة الصياغة قبل الحفظ ويمنعك من إغلاق وصولك على نفسك:
sudo visudo
والأفضل من ذلك إنشاء ملف مخصص داخل /etc/sudoers.d/ كي تبقى قواعدك صامدة عبر ترقيات الحزم:
sudo visudo -f /etc/sudoers.d/sara
للسماح للمستخدمة sara بإعادة تشغيل خدمة محددة فقط دون كلمة مرور، أضف:
sara ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart nginx
هذا المبدأ — منح أضيق صلاحية تُنجز المهمة — هو جوهر مبدأ الامتياز الأدنى (least privilege).
أذونات الملفات في لينكس
لكل ملف ومجلد مالك، ومجموعة، ومجموعة أذونات لثلاث فئات: المالك (u)، والمجموعة (g)، والآخرون (o). اعرضها باستخدام ls -l:
ls -l report.txt
# -rw-r--r-- 1 sara developers 1240 Jun 8 10:12 report.txt
أنواع الأذونات الثلاثة هي القراءة (r/4)، والكتابة (w/2)، والتنفيذ (x/1). بالنسبة للمجلدات، يعني x القدرة على الدخول إلى المجلد.
| الرمز | النظام الثماني | المعنى للملف | المعنى للمجلد |
|---|---|---|---|
r |
4 | قراءة المحتوى | سرد العناصر |
w |
2 | تعديل المحتوى | إنشاء/حذف العناصر |
x |
1 | التشغيل كبرنامج | الدخول / العبور |
غيّر الأذونات باستخدام chmod، إما بالترميز الرمزي أو الثماني:
# رمزيًا: إضافة صلاحية التنفيذ للمالك
chmod u+x script.sh
# ثمانيًا: للمالك rwx، للمجموعة rx، للآخرين r (754)
chmod 754 script.sh
غيّر الملكية باستخدام chown (المستخدم والمجموعة معًا):
sudo chown sara:developers report.txt
طبّق التغييرات على شجرة كاملة بشكل متكرر باستخدام -R:
sudo chown -R sara:developers /var/www/project
sudo chmod -R 750 /var/www/project
الإعداد الافتراضي الآمن لمحتوى الويب هو 644 للملفات و755 للمجلدات، بحيث يستطيع خادم الويب القراءة منها دون الكتابة فيها.
التحكم الدقيق باستخدام قوائم ACL
لا تعبّر الأذونات القياسية إلا عن مالك واحد ومجموعة واحدة. وعندما تحتاج إلى منح طرف ثالث وصولًا محددًا، استخدم قوائم التحكم بالوصول (ACL). وهي مثبّتة افتراضيًا على Ubuntu:
# منح المستخدم 'omar' صلاحية القراءة والكتابة على ملف
sudo setfacl -m u:omar:rw report.txt
# عرض قوائم ACL
getfacl report.txt
# إزالة إدخال omar
sudo setfacl -x u:omar report.txt
تُعدّ قوائم ACL مثالية عندما تتشارك عدة فرق مجلدًا واحدًا في بيئة استضافة دون الحاجة إلى إعادة هيكلة المجموعات.
أمان الحسابات وانتهاء الصلاحية
استخدم chage لفرض تقادم كلمات المرور ومراجعة حالة الحساب:
# عرض إعدادات التقادم الحالية
sudo chage -l sara
# طلب تغيير كلمة المرور كل 90 يومًا
sudo chage -M 90 sara
لقفل حساب أو إلغاء قفله مؤقتًا:
sudo usermod -L sara # قفل
sudo usermod -U sara # إلغاء القفل
للإدارة اليومية، فضّل مفاتيح SSH على كلمات المرور، وعطّل تسجيل دخول الجذر عبر SSH تمامًا في الملف /etc/ssh/sshd_config.
وضع كل ذلك معًا على خادم سحابي مُدار
هذه الأوامر عالمية، لكنّ المكان الذي تشغّلها فيه يهم. فعلى خادم VPS سحابي من سكاي لاين، يقع خادمك داخل المملكة — مما يُبقي بياناتك خاضعة لمتطلبات نظام حماية البيانات الشخصية (PDPL) والهيئة الوطنية للأمن السيبراني (NCA) وسدايا (SDAIA) — مع دعم محلي بالعربية إذا واجهتك عقبة. اقرنه بـاستضافة البريد الإلكتروني للأعمال لتحصل على منظومة متكاملة ومتوافقة.
إن النظافة الجيدة للمستخدمين — حساب واحد لكل شخص، وصلاحيات sudo بأقل امتياز ممكن، وأذونات ملفات محكمة، ومفاتيح SSH — هي أرخص إجراء أمني يمكنك تطبيقه على الإطلاق.
هل أنت مستعد لإطلاق خادم وتطبيق ما تعلمته؟ أنشئ حساب سكاي لاين السحابي وأطلق خادم VPS داخل المملكة في دقائق.
Comments
0 total · 0 threads