Como excluir um usuário no Linux (e remover todos os rastros)

Um prompt de shell em uma janela de terminal em um computador Linux.
Fatmawati Achmad Zaenuri / Shutterstock

Excluir um usuário no Linux envolve mais do que você pensa. Se você for um administrador de sistema, você desejará limpar todos os rastros da conta e seu acesso de seus sistemas. Mostraremos as etapas a serem seguidas.

Se você deseja apenas excluir uma conta de usuário do sistema e não está preocupado em encerrar os processos em execução e outras tarefas de limpeza, siga as etapas na seção “Excluindo a conta de usuário” abaixo. Você precisará do delusercomando em distribuições baseadas em Debian e do userdelcomando em outras distribuições Linux.

Contas de usuário no Linux

Desde que os primeiros sistemas de compartilhamento de tempo surgiram no início dos anos 1960 e trouxeram com eles a capacidade de vários usuários trabalharem em um único computador, houve a necessidade de isolar e compartimentar os arquivos e dados de cada usuário de todos os outros usuários. E assim as contas de usuário – e senhas – nasceram.

As contas de usuário têm uma sobrecarga administrativa. Eles precisam ser criados quando o usuário precisa acessar o computador pela primeira vez. Eles precisam ser removidos quando esse acesso não for mais necessário. No Linux, há uma sequência de etapas que devem ser seguidas para remover correta e metodicamente o usuário, seus arquivos e sua conta do computador.

Se você é o administrador do sistema, essa responsabilidade recai sobre você. Veja como fazer isso.

Nosso Cenário

Existem vários motivos pelos quais uma conta pode precisar ser excluída. Um membro da equipe pode estar mudando para uma equipe diferente ou saindo da empresa. A conta pode ter sido configurada para uma colaboração de curto prazo com um visitante de outra empresa. As equipes são comuns na academia, onde os projetos de pesquisa podem abranger departamentos, diferentes universidades e até entidades comerciais. Na conclusão do projeto, o administrador do sistema deve realizar a manutenção e remover contas desnecessárias.

O pior cenário é quando alguém sai escondido por causa de uma contravenção. Esses eventos geralmente acontecem de repente, com pouco aviso prévio. Isso dá ao administrador do sistema muito pouco tempo para planejar e uma urgência para bloquear, fechar e excluir a conta – com uma cópia dos arquivos do usuário, caso sejam necessários para qualquer análise forense pós-fechamento.

Recomendado:  Como ativar ou desativar a tela de toque do seu computador no Windows 10

Em nosso cenário, vamos fingir que um usuário, Eric, fez algo que justifica sua remoção imediata das instalações. Neste momento ele não sabe disso, ele ainda está trabalhando e logado. Assim que você acenar para o segurança, ele será escoltado para fora do prédio.

Tudo pronto. Todos os olhos estão em você.

Verifique o Login

Vamos ver se ele realmente está logado e, se estiver, com quantas sessões está trabalhando. O whocomando listará as sessões ativas .

Who

quem em uma janela de terminal

Eric está logado uma vez. Vamos ver quais processos ele está executando.

Revendo os processos do usuário

Podemos usar o pscomando para listar os processos que este usuário está executando . A -uopção (usuário) nos permite psrestringir sua saída aos processos em execução sob a propriedade dessa conta de usuário.

ps-u eric

ps -u eric em uma janela de terminal

Podemos ver os mesmos processos com mais informações usando o topcomando. top também tem uma -Uopção (usuário) para restringir a saída aos processos pertencentes a um único usuário. Observe que, desta vez, é um “U” maiúsculo.

top -U eric

top -U eric em uma janela de terminal

Podemos ver o uso de memória e CPU de cada tarefa e procurar rapidamente qualquer coisa com atividade suspeita. Estamos prestes a encerrar à força todos os seus processos, por isso é mais seguro reservar um momento para revisar rapidamente os processos e verificar e ter certeza de que outros usuários não serão incomodados quando você encerrar os ericprocessos da conta do usuário .

Saída do top -U eric em uma janela de terminal

Não parece que ele está fazendo muito, apenas usando  lesspara visualizar um arquivo. Estamos seguros para prosseguir. Mas antes de encerrarmos seus processos, congelaremos a conta bloqueando a senha.

Bloqueando a conta

Bloquearemos a conta antes de encerrar os processos porque, quando encerrarmos os processos, o usuário será desconectado. Se já tivermos alterado sua senha, ele não poderá fazer o login novamente.

As senhas de usuário criptografadas são armazenadas no /etc/shadowarquivo. Normalmente, você não se importaria com essas próximas etapas, mas para que possa ver o que acontece no /etc/shadow arquivo quando você bloqueia a conta, faremos um pequeno desvio. Podemos usar o seguinte comando para examinar os dois primeiros campos da entrada da eric conta do  usuário.

sudo awk -F: '/ eric / {print $ 1, $ 2}' / etc / shadow

sudo awk -F: '/ eric / {print $ 1, $ 2}' / etc / shadow em uma janela de terminal

O comando awk analisa campos de arquivos de texto e, opcionalmente, os manipula. Estamos usando a opção -F(separador de campo) para informar awkque o arquivo usa dois pontos ” :” para separar os campos. Vamos procurar uma linha com o padrão “eric”. Para linhas correspondentes, imprimiremos o primeiro e o segundo campos. Estes são o nome da conta e a senha criptografada.

Recomendado:  Como ocultar tipos de arquivo específicos dos resultados de pesquisa do Windows 11

A entrada para a conta de usuário eric é impressa para nós.

Para bloquear a conta, usamos o passwdcomando. Usaremos a -lopção (bloquear) e passaremos o nome da conta do usuário a ser bloqueada .

sudo passwd -l eric

sudo passwd -l eric em uma janela de terminal

Se verificarmos o /etc/passwdarquivo novamente, veremos o que aconteceu.

sudo awk -F: '/ eric / {print $ 1, $ 2}' / etc / shadow

sudo awk -F: '/ eric / {print $ 1, $ 2}' / etc / shadow em uma janela de terminal

Um ponto de exclamação foi adicionado ao início da senha criptografada. Não sobrescreve o primeiro caractere, é apenas adicionado ao início da senha. Isso é tudo o que é necessário para evitar que um usuário consiga fazer login nessa conta.

Agora que impedimos o usuário de fazer login novamente, podemos encerrar seus processos e desconectá-lo.

Matando os processos

Existem diferentes maneiras de eliminar os processos de um usuário, mas o comando mostrado aqui está amplamente disponível e é uma implementação mais moderna do que algumas das alternativas. O pkillcomando encontrará e eliminará os processos. Estamos passando o sinal KILL e usando a -uopção (usuário).

sudo pkill -KILL -u eric

sudo pkill -KILL -u eric em uma janela de terminal

Você é retornado ao prompt de comando de uma forma decididamente anticlímax. Para ter certeza de que algo aconteceu, vamos verificar whonovamente:

Who

quem em uma janela de terminal

Sua sessão acabou. Ele foi desconectado e seus processos parados. Isso eliminou um pouco da urgência da situação. Agora podemos relaxar um pouco e continuar com o resto da limpeza enquanto o segurança dá uma caminhada até a mesa de Eric.

Arquivando o diretório inicial do usuário

Não está fora de questão que, em um cenário como este, o acesso aos arquivos do usuário será necessário no futuro. Tanto como parte de uma investigação ou simplesmente porque a substituição pode precisar consultar o trabalho de seu antecessor. Usaremos o tarcomando para arquivar todo o diretório inicial .

As opções que estamos usando são:

  • c : Crie um arquivo compactado.
  • f : Use o nome de arquivo especificado para o nome do arquivo.
  • j : Use compactação bzip2.
  • v : Fornece saída detalhada conforme o arquivo é criado.
sudo tar cfjv eric-20200820.tar.bz / home / eric

sudo tar cfjv eric-20200820.tar.bz / home / eric em uma janela de terminal

Muita saída de tela irá rolar na janela do terminal. Para verificar se o arquivo foi criado, use o lscomando. Estamos usando as opções -l(formato longo) e -h(legível).

ls -lh eric-20200802.tar.bz

sudo tar cfjv eric-20200820.tar.bz / home / eric em uma janela de terminal

Um arquivo de 722 MB foi criado. Isso pode ser copiado em algum lugar seguro para revisão posterior.

Removendo tarefas cron

É melhor verificar se há algum crontrabalho agendado para a conta do usuário eric. Um crontrabalho é um comando disparado em horários ou intervalos especificados. Podemos verificar se há crontrabalhos agendados para esta conta de usuário usando ls:

sudo ls -lh / var / spool / cron / crontabs / eric

sudo ls -lh / var / spool / cron / crontabs / eric em uma janela de terminal

Se houver algo neste local, significa que há crontrabalhos em fila para essa conta de usuário. Podemos excluí-los com este crontabcomando. A -ropção (remover) removerá os trabalhos e a -uopção (usuário) informa crontab quais trabalhos remover .

sudo crontab -r -u eric

sudo crontab -r -u eric em uma janela de terminal

Os trabalhos são excluídos silenciosamente. Pelo que sabemos, se Eric suspeitasse que estava para ser despejado, ele poderia ter agendado um trabalho malicioso. Esta etapa é a prática recomendada.

Recomendado:  Por que você deve mover seu bate-papo em grupo para Discord

Removendo trabalhos de impressão

Talvez o usuário tenha trabalhos de impressão pendentes? Só para ter certeza, podemos limpar a fila de impressão de todos os trabalhos pertencentes à conta do usuário eric. O lprmcomando remove trabalhos da fila de impressão . A -Uopção (nome de usuário) permite remover trabalhos pertencentes à conta de usuário nomeada:

lprm -U eric

lprm -U eric em uma janela de terminal

Os trabalhos são removidos e você retorna à linha de comando.

Excluindo a conta do usuário

Já fizemos backup dos arquivos do /home/eric/diretório, portanto, podemos prosseguir e excluir a conta do usuário e excluir o /home/eric/diretório ao mesmo tempo.

O comando a ser usado depende de qual distribuição do Linux você está usando. Para distribuições Linux baseadas em Debian , o comando é deluser, e para o resto do mundo Linux , é userdel.

Na verdade, no Ubuntu ambos os comandos estão disponíveis. Eu meio que esperava que um fosse um alias do outro, mas eles são binários distintos.

tipo deluser
digite userdel

digite deluser em uma janela de terminal

Embora ambos estejam disponíveis, a recomendação é usar deluser em distribuições derivadas do Debian :

userdelÉ um utilitário de baixo nível para remover usuários. No Debian, os administradores geralmente devem usar deluser(8) no lugar. ”

Isso é claro o suficiente, então o comando a ser usado neste computador Ubuntu é deluser. Como também queremos que seu diretório inicial seja removido, estamos usando o --remove-homesinalizador:

sudo deluser --remove-home eric

sudo deluser --remove-home eric em uma janela de terminal

O comando a ser usado para distribuições não Debian é userdel, com o --removesinalizador:

sudo userdel --remove eric

Todos os rastros da conta do usuário ericforam apagados. Podemos verificar se o /home/eric/diretório foi removido:

ls / home

ls / home em uma janela de terminal

O ericgrupo também foi removido porque a conta do usuário ericera a única entrada nele. Podemos verificar isso com bastante facilidade, canalizando o conteúdo /etc/groupatravés de grep:

sudo less / etc / group | grep eric

sudo less / etc / group |  grep eric em uma janela de terminal

É um embrulho

Eric, por seus pecados, se foi. A segurança ainda está acompanhando-o para fora do prédio e você já protegeu e arquivou seus arquivos, excluiu sua conta e purgou o sistema de quaisquer resquícios.

A precisão sempre supera a velocidade. Certifique-se de considerar cada etapa antes de executá-la. Você não quer que alguém vá até sua mesa e diga “Não, o outro Eric”.