Configurando os usuários
Usuário Default
By default, a privileged user named core
is created on the Fedora CoreOS system, but it is not configured with a default password or SSH key. If you wish to use the core
user, you must provide an Ignition config which includes a password and/or SSH key(s) for the core
user. Alternatively you may create additional, new users via Ignition configs.
If you do not want to use Ignition to manage the default user’s SSH key(s), you can make use of the Afterburn support and provide an SSH key via your cloud provider.
Criando um novo usuário
Para criar um novo usuário (ou mais de um), adicione-o a lista users
da sua configuração Butane, no exemplo a seguir, a configuração cria dois novos nomes de usuários, mas não os configura para serem especialmente úteis.
variant: fcos
version: 1.4.0
passwd:
users:
- name: jlebon
- name: miabbott
Você irá (tipicamente) querer configurar chaves SSH ou uma senha, para poder entrar como esses usuários.
Usando uma chave SSH
Para configurar uma chave SSH para um usuário local, você pode usar uma configuração Butane:
variant: fcos
version: 1.4.0
passwd:
users:
- name: core
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDHn2eh...
- name: jlebon
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDC5QFS...
- sh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIveEaMRW...
- name: miabbott
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDTey7R...
Localizações das chaves SSH
O sshd usa um programa auxiliar para ler as chaves públicas dos arquivos no diretório ~/.ssh/authorized_keys.d
do usuário. Os arquivos de chave são lidos em ordem alfabética, ignorando os dotfiles. O arquivo padrão ~/.ssh/authorized_keys
é lido depois, da maneira usual. Para depurar a leitura de ~/.ssh/authorized_keys.d
, execute manualmente o programa auxiliar e inspecione sua saída:
/usr/libexec/ssh-key-dir
O Ignition grava as chaves SSH configuradas em ~/.ssh/authorized_keys.d/ignition
. Em plataformas onde as chaves SSH podem ser configuradas no nível da plataforma, como AWS, Afterburn escreve essas chaves em ~/.ssh/authorized_keys.d/afterburn
.
Usando autenticação por senha
O Fedora CoreOS não vem com senhas por padrão. Você pode usar uma configuração Butane para escolher uma senha para um usuário local. Considerando o exemplo anterior, você pode configurar o password_hash
para um ou mais usuários:
variant: fcos
version: 1.4.0
passwd:
users:
- name: core
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDHn2eh...
- name: jlebon
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDC5QFS...
- sh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIveEaMRW...
- name: miabbott
password_hash: $y$j9T$aUmgEDoFIDPhGxEe2FUjc/$C5A...
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDTey7R...
To generate a secure password hash, use mkpasswd
from the whois
package. Your Linux distro may ship a different mkpasswd
implementation; you can ensure you’re using the correct one by running it from a container:
$ podman run -ti --rm quay.io/coreos/mkpasswd --method=yescrypt
Password:
$y$j9T$A0Y3wwVOKP69S.1K/zYGN.$S596l11UGH3XjN...
O método de hash yescrypt
é recomendado para novas senhas, para mais detalhes em métodos de hash, veja man 5 crypt
.
A senha configurada será aceita para autenticação local no console. Por padrão, o Fedora CoreOS não permite password authentication via SSH.
Configurando grupos
O Fedora CoreOS vem com alguns grupos configurados por default: root
, adm
,wheel
,sudo
,systemd-journal
,docker
Quando estiver configurando usuários via configurações Butane, nós podemos especificar de quais grupos o(s) usuário(s) será parte.
variant: fcos
version: 1.4.0
passwd:
users:
- name: core
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDHn2eh...
- name: jlebon
groups:
- wheel
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDC5QFS...
- sh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIveEaMRW...
- name: miabbott
groups:
- docker
- wheel
password_hash: $y$j9T$aUmgEDoFIDPhGxEe2FUjc/$C5A...
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDTey7R...
Se um grupo não existe, os usuários devem cria-los como parte da configuração Butane.
variant: fcos
version: 1.4.0
passwd:
groups:
- name: engineering
- name: marketing
gid: 9000
users:
- name: core
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDHn2eh...
- name: jlebon
groups:
- engineering
- wheel
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDC5QFS...
- sh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIveEaMRW...
- name: miabbott
groups:
- docker
- marketing
- wheel
password_hash: $y$j9T$aUmgEDoFIDPhGxEe2FUjc/$C5A...
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDTey7R...
Configurando privilégios administrativos
A maneira mais fácil para garantir privilégios administrativos para usuários é adicioná-los aos grupos sudo
e wheel
como parte da configuração Butane.
variant: fcos
version: 1.4.0
passwd:
groups:
- name: engineering
- name: marketing
gid: 9000
users:
- name: core
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDHn2eh...
- name: jlebon
groups:
- engineering
- wheel
- sudo
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDC5QFS...
- sh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIveEaMRW...
- name: miabbott
groups:
- docker
- marketing
- wheel
- sudo
password_hash: $y$j9T$aUmgEDoFIDPhGxEe2FUjc/$C5A...
ssh_authorized_keys:
- ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDTey7R...
Habilitando autenticação SSH por senha
Para habilitar autenticação por senha via SSH, adicione o seguinte na sua configuração Butane:
variant: fcos
version: 1.4.0
storage:
files:
- path: /etc/ssh/sshd_config.d/20-enable-passwords.conf
mode: 0644
contents:
inline: |
# Fedora CoreOS desabilita login SSH por senha por padrão
# Habilite-o.
# Este arquivo deve vir antes de 40-disable-passwords.conf.
PasswordAuthentication yes
Want to help? Learn how to contribute to Fedora Docs ›