16.09.2019

Linux komut satırından kullanıcı yönetimi

Yeni kullanıcı oluşturmak için:
# useradd  <username>
Bu şekilde /etc/passwd dosyasına aşağıdaki gibi bir satır eklenir:

username:x:user-id:group-id:userinfo:homedirectory:shell

Her ne kadar dosyanın adı passwd olsa da parolalar x ile gösterilir. useradd komutu varsayılan olarak etkinleştirilmemiş bir kullanıcı yaratır. Etkinleştirmek için kullanıcı parolası değiştirimelidir:
# passwd <username>
Daha fazla veri ile kullanıcı yaratmak için
# useradd -m # home klasörünü yarat
          -d /data/projects # home klasörünün konumunu
          -c "Tam Adı" # kullanıcının tam adı
          -e 2019-10-01 # hesap son kullanma tarihi, ya da -f 45 ile kaç gün kullanılabileceği
          -G webadmin,powerusers # kullanıcının üye olacağı grupları
          -g developers # birincil üye olacağı grup

          <username> kullanıcı adı
Yaratılan hesabın kullanıcı ve grup ID'lerini görmek için
# id
uid=1015(username) gid=1039(developers),...
Aynı amaçla kullanılabilecek, bu bilgileri anahtarlarla değil, sorulara verilecek yanıtlarla girebileceğimiz benzer bir komut daha var:
#  adduser <username>

Ya da birden fazla kullanıcıyı bir dosyadan bakarak yaratmak için
# newusers kullanicilar
kullanicilar dosyasının içinde şunun gibi satırlar olmalı:

ahmet:HcZ600a9:1008:1000:Ahmet Özhan:/home/ahmet:/bin/bash


Var olan bir kullanıcı hesabını silmek için
# userdel <username>
Bu komut ile kullanılabilecek bazı anahtarlar:

-r: home klasörünü de sil
-f: sahibinin <username> olmadığı da silmeye zorla
-Z: tüm SELinux bağlantılarını kaldır

Silme öncesinde kullanıcının sahibi olduğu dosyaları aramak için
# find /mnt/shared -user <username> -print
Hatta bulunan dosyaların sahibini değiştirmek için
# find /mnt/shared -user <username> -exec chown mehmet:mehmet {} \;
userdel komutuna alternatif de deluser var:
# deluser <username> -force # silmeye zorla
-remove-home # home klasörünü de sil
-remove-all-files # tüm dosyalarını sil
-backup-to /backup/2018 # silmeden önce yedeğini /backup/2018'e al
Bir grup yaratmak için
# groupadd muhendislik
Bu komut da /etc/groups dosyasına aşağıdaki gibi bir satır ekler

muhendislik:x:1009:

Bir kullanıcıyı bu grubun üyesi yapmak için
# usermod -aG muhendislik ahmet
ya da (kullanıcı ve grup isimlerinin yer değiştirdiğine dikkat!)
# gpasswd -a ahmet muhendislik
Grubu silmek için
# groupdel muhendislik
Kullanıcımızın üyesi olduğu tüm grupların listesini almak için
$ groups
Kullanıcıyı grup üyeliğinden çıkarmak için
# gpasswd -d ahmet muhendislik
Kullanıcıyı grubun yöneticisi yapmak için
# gpasswd -A ahmet muhendislik

2023-07-17 Ek: Linux'ta bir kullanıcının admin yetkilerine sahip olması, sudo veya wheel gruplarına üye olması ile mümkün olur. Debian ve türevlerinde sudo grubu üyeliği, Fedora ve CentOS ailesinde ise wheel grubu ile. Ahmet adlı bir kullanıcıyı admin yapmak için örneğin Fedora'da

    # usermod -aG wheel ahmet 

ya da Debian tüvevlerinde bir kullanıcının admin olup olmadığını sorgulamak için 

    # id ahmet

komutunun çıktısında sudo grubunun varlığını kontrol etmek gerek.

 

Linux komut satırı araçları

uptime
Bilgisayar ne kadar süredir açık görmek için. Yanında ek bilgiler de var.
$ uptime
16:07:00 up 50 min1 userload average: 0,05, 0,02, 0,00
Burada mavi ile verilen ilk bölüm mevcut yerel saati gösteriyor. Kırmızı ile verilen ikinci bölüm ne kadar süredir açık olduğunu, sonraki yeşil bölüm kaç kullanıcının oturum açtığını, en son turuncu bölüm ise son 1, 5 ve 10 dakikalık zaman dilimindeki iş yükü ortalamasını gösteriyor, yüzdesel olarak.

Üçüncü bölümde yeşil olarak verilen şu anda oturum açmış kullanıcıların kimler olduğunu görmek için kullanılabilecek birkaç komut var. İlki en basit şekliyle kaç kullanıcının ne zaman oturum açtığını gösteren who:
$ who
usern    tty1         2019-09-08 21:43 (:0)
Bu komuttan biraz daha fazla bilgi veren w komutu var, bir miktar uptime ile birleştirilmiş who gibi:
$ w
21:59:28 up 16 min,  1 users,  load average: 0,79, 1,00, 0,78
USER     TTY       LOGIN@   IDLE   JCPU   PCPU   WHAT
usern    tty1      21:43    16:18  1:02   0.02s  /bin/bash
Ya da ps komutunu u parameteresiyle kullanabiliriz. Bunun avantajı, eğer oturumunu sonlandırmayı istediğimiz bir kullanıcı varsa bu komut aracılığıyla PID sütunundaki kimlik numarası kullanarak yapabiliriz.
$ ps u
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
usern      1447  0.0  0.0  10444  4524 pts/2    Ss   21:43   0:00 /bin/bash
Örneğin tek kullanıcımız usern'in oturumunu
$ kill 1447
ile sonlandırabiliriz.

last
Bilgisayar ilk kurulduğu günden beri açılış ve oturum açma işlemlerini listeler.
$ last
usern    tty1         :0               Fri Sep  6 15:18   still logged in
usern    :0                            Fri Sep  6 15:18   still logged in
reboot   system boot  5.2.5-200.fc30.x Fri Sep  6 15:16   still running
usern    tty1         :0               Thu Aug  8 16:16 - 18:03  (01:46)
usern    :0                            Thu Aug  8 16:16 - down   (01:48)
reboot   system boot  5.1.18-300.fc30. Thu Aug  8 16:05 - 18:05  (02:00)
Çok geriye gitmeden son birkaç satırı aldım. İşletim sisteminin açılışı reboot ile başlayan satırlarda belirtiliyor:
reboot   system boot  5.2.5-200.fc30.x Fri Sep  6 15:16   still running
Bu gibi satırlarda 2. sütunda hep system boot yazıyor. 3. sütunda ise yükleme işleminden sorumlu çekirdek sürüm numarası var. Son sütunda ise sistemin açılış tarihi ve saati ile kapanış saati ve parantez içinde de sistemin açık kalma süresi var.

Kullanıcı adıyla (usern) başlayan satırlar kullanıcının şifresini girerek oturum açması ile ilgili olan satırlar.
usern    :0                            Fri Sep  6 15:18   still logged in
Burada tty1 (veya genel olarak tty*) yerel olarak terminal etkileşimini, pts0 (veya pts*) uzaktan ssh gibi yöntemlerle terminal etkileşimini gösterir. Bu satırların sonunda ise kullanıcının oturumu açık olarak kaldığı süre gösterilir.

Sadece sistemin başlatma olaylarını listelemek için
$ last reboot
sadece belli bir kullanıcının oturum açma olaylarını listelemek için de
$ last usern
Kapanma olaylarını ve çalışma seviyesi (runlevel) değişikliklerini görebilmek için -x kullanılır.
$ last -x
kullanılabilir. Belli bir tarihten sonra gerçekleşen olayların listesi için -s anahtarı (since), bir tarihe kadar olan bir olayları görmek için -t (until) veya son 10 sayıda olayı görmek için -n 10 gibi anahtarlar kullanılabilir.
$ last -s 2019-03-01 -t 2019-05-31
$ last -n 10
Belirtilen bir tarihteki olayları görmek için -p (present)
$ last -p 2019-05-19
awk
Çok faydalı bir araç. İsmini geliştiricilerinin soyisimlerinin başharflerinden alıyor. Örneğin last komutu ile 01.05.2019 tarihinden sonra kimler giriş yapmış, kullanıcı adlarını görüntülemek için şöyle bir komut kullanılabilir:
$ last -s 2019-05-01 | awk '{print $1}'
reboot yazılan satırlar sistem açılışları, gerçek kullanıcı değil. Varsayılan olarak boşluk karakterlerini alan ayraçı olarak kullanır. Bunu değiştirmek için -F anahtarı kullanılır. Örneğin /etc/passwd dosyasındaki kullanıcı isimlerini ve tire "-" karakteri ile ayrılan açıklamalarını yazmak için şöyle bir komut kullanılabilir:
$ awk -F: '{print $1 " - " $5}' /etc/passwd
Örnek olarak aşağıdaki gibi notlar.txt dosyamız olsun.

Arda 80
Batu 60
Deniz 40
Caner 30

Bu verilere göre 50 geçer notun üzerinde not alan öğrencilerin geçtiğini açıklamak istiyoruz. Şöyle bir satır işimizi görür:
$ awk '{if ($2>50) print $1 " geçti"}' notlar.txt
Arda geçti
Batu geçti
Bir sonraki aşama, notlar.txt dosyasında her satırda isim ve 2 sınav notu yer alıyor.

Arda 80 60
Batu 60 70
Deniz 40 80
Caner 30 50


Bu 2 notun ortalamasını ekrana yazmak istiyoruz.
$ awk '{
total = 0
for (i=2; i<4; i++)
{ total += $i }
avg = total/(i-2)
print $1 ": " avg
}' notlar.txt
Şöyle bir sonuç verecek:

Arda: 70
Batu: 65
Deniz: 60
Caner: 40


Notlar dosyasında sadece Deniz'in ilk sınav notunu merak ettik diyelim. Bunu yapmanın başka yolları var elbette, ama awk örneği olsun diye böyle yapalım.
$ awk ' /'Deniz'/ {print $2}' notlar.txt
40
Başka bir örnek; adı sayilar.txt ve her satırında 10, 20, 30 ve 40 olan bir metin dosyasındaki tüm sayıların toplamını hesaplamak için
cat sayilar.txt | awk '{toplam+=$1} END {print toplam}' 
Veya kısa bir oran hesaplaması yapmak için
cat sayilar.txt | awk 'BEGIN {adet=0} {toplam+=$1; adet++} END {print toplam " / " adet " = " toplam/adet}'
Daha fazla ayrıntı için [1] ve [2] ye bakılabilir.

sed
Stream EDitor kısaltması. Bu aracın da ilginç kullanım alanları var. Örneğin bir dosyamız olsun, aşağıdaki gibi.

Bu birinci satır
Sonra gelir ikinci
Sondan bir önceki üçüncü
En sonda da dördüncü

Bu dosyanın örneğin 2. satırını silmek istiyoruz
$ sed '2d' ornek.txt
Bu birinci satır
Sondan bir önceki üçüncü
En sonda da dördüncü
Ya da en son satırını
$ sed '$d' ornek.txt
Bu birinci satır
Sonra gelir ikinci
Sondan bir önceki üçüncü
2. ve 4. satırlar arasını da silebiliriz
$ sed '2,4d' ornek.txt
Bu birinci satır
Dosyanın sadece 2. satırını yazdırmak istersek
$ sed -n 2p ornek.txt
Sonra gelir ikinci
Dosyanın içinde "önceki" kelimesini "evvelki" ile değiştirmek için
$ sed 's/önceki/evvelki/' ornek.txt
Bu birinci satır
Sonra gelir ikinci
Sondan bir evvelki üçüncü
En sonda da dördüncü

Eğer son kesmeden sonra bir sayı gelmiyorsa sadece ilk görülen "önceki" kelimesi "evvelki" ile değiştirilir. En son kesme işaretinden sonra bir sayı geliyorsa, örneğin 2, "önceki" kelimesinin sadece 2. tekrarını "evvelki" ile değiştirir. Eğer kesmeden sonra g geliyorsa tüm tekrarlar değiştirilir.

Bir dosyanın içindeki boşluk karakterlerini yeni satır (carriage return) karakteriyle değiştirmek için

$ sed s/" "/\\n/g ornek.txt

Tüm satırların öncesinde satır numaralarını yazmak için '=' kullanılır (ki bunun alternatifi cat -n dir)

$ sed '=' ornek.txt
1
Bu birinci satır
2
Sonra gelir ikinci

3
Sondan bir önceki üçüncü

4
En sonda da dördüncü
İkinci satırın içeriğini tümüyle değiştirmek istersek
$ sed '3c\BURASI ÜÇÜNCÜ SATIR' ornek.txt
Bu birinci satır
Sonra gelir ikinci
BURASI ÜÇÜNCÜ SATIR
En sonda da dördüncü
Birkaç karakteri değiştirmek:
$ sed 'y/ioü/104/' ornek.txt
B1r1nc1 satır
S0nra gel1r 1k1nc1
S0ndan b1r öncek1 4ç4nc4
En s0nda da dörd4nc4

cut

Bu da çok yetenekli bir metin aracı. Aşağıdaki farazi personel.txt dosyası üzerinden birkaç örnek yapalım.
 
personel.txt
Mazhar Alonson 1950 Ankara
Fuat Güner 1948 İstanbul
Özkan Uğur 1953 İstanbul
 
Bu dosyada boşluk karakteriyle ayrılmış bazı alanlar var; isim, soyisim, doğum yılı, doğum yeri.
 
Sadece isim ve doğu yılını almak için
 
$ cut -d " " -f 1,3 personel.txt
Mazhar 1950
Fuat 1948
Özkan 1953
 
Her satırdan sadece ilk 3 karakteri (byte) almak için
 
$ cut -b 1,3 personel.txt
Maz
Fua
Özk 

-b (byte) ve -c (character) komutlarının farkını göremedim. İkisi de belli sayıda karakter veya byte okumak için kullanılıyor. -d "AYRAÇ" ile alan ayracı belirtilebiliyor. Varsayılan ayraç TAB. -f ile ayrılan alanlardan istenilen numaralı olan (indeksleme 1'den başlıyor) seçilebiliyor.

Bazı ls parametreleri
Bulunduğumuz klasördeki sadece klasörleri görüntülemek için

$ ls -ld */

Listelemede önce klasör isimlerini görmek için
$ ls --group-directories-first

Bir klasörde yer alan dosyaları en son değiştirilme tarihine göre listelemek istersek:
$ ls -lt
kullanabiliriz. Bu şekilde en yeniler en üstte yer alır. Sıralamayı tersine çevirmek için -r (reverse) anahtarını eklemek gerek:
$ ls -ltr
Bunu bütün alt klasörler için yapmak istesek -R anahtarını kullanmak gerek (büyük/küçük harf hassasiyetine dikkat!):
$ ls -ltR

Klasördeki dosyaları boyutlarına göre sıralamak için -S (varsayılan olarak büyükten küçüğe) anahtarı kullanılır:

$ ls -lS | head -5

ile mevcut klasördeki en büyük 5 dosyayı görebiliriz. 

Bir sürecin başlama zamanını ve açık kalma süresini görmek için aşağıdaki komut kullanılabilir [8]:

# ps -eo comm,lstart,etime,user | grep firefox

En çok işlemci kullanan 3 uygulamayı görmek için

# ps -e –sort=-pcpu -o pid,pcpu,comm | head -n 4

Aynı şekilde en çok bellek kullanan 3 uygulamayı görmek için

# ps -e –sort=-pmem -o pid,pmem,comm | head -n 4

find

Bir klasör ve alt klasörlerinde son 24 saatte değişen dosyaları ve klasörleri bulabilmek için şu komut kullanılabilir:

$ find /klasor -mtime -1 -ls
Burada -1 son 24 saat içinde değişenler demek. +1 kullansaydık son 24 saatten önce değişenler anlamına gelecekti. Ayrıca şunun gibi "daha insani" yollar da önerilmiş:
$ find /klasor -newermt "-24 hours" -ls
$ find /klasor -newermt "5 days ago" -ls
$ find /klasor -newermt "yesterday" -ls
Daha iyi bir çıktı için:
$ find /klasor -mtime 0 -printf '%T+\t%s\t%p\n' 2>/dev/null | sort -r | more

gibi bir komuttan bahsedilmiş ki burada dosyalar son değiştirilme tarihi ile listelenecek, bu tarihe göre sıralanacak ve sayfalanacak. Sadece dosyaları görmek istersek -type f ile listelenecek öğe tipini dosya (f) olarak kısıtlayabiliriz. Burada -prinf sonrasındaki alanlar şöyle verilmiş:

%T : Dosyanın son değiştirilme tarihi (yerel saatte)

%s : Byte olarak dosya boyutu

%p : Dosya adı

aralardaki \t tab karakteri, \n ise tahmin edilebileceği gibi yeni satır karakteri.

Bir klasör ve alt klasörleri içinde son 6 ay içinde üzerinde değişiklik yapılmamış dosyaları silmek için

find /hedef -type f -mtime +180 -exec rm -f {} \+

Burada
-type f : sadece dosyaları hedef al
-mtime +180: değiştirilme tarihi 180 günden önce (-180 olsaydı 180 günden sonra olurdu)
-exec rm -f {} : bulunan her öğe için rm (remove) komutunu çalıştır, bunu -f ile (force) destekle
\+ : bunları tek bir satırda toplayarak rm -f dosya1 dosya2 ... dosyaN şeklinde çalıştır
\; olsaydı bu her bir exec işlemini ayrı ayrı yap anlamına gelecekti (rm -f dosya1, rm -f dosya2, .... gibi). Burada \ escape karakteri.

Bir klasörün altındaki tüm boş dosyaları bulmak için

    $ find . -type f -empty

Hatta boş klasörler için

    $ find . -type d -empty

Veya 2 KB'tan büyük dosyaları bulmak için

    $ find . -type f -size +2K

Bir kullanıcının sahip olduğu dosyaları aramak için

    $ find . -user metin
 
lsof (list open files)
Açık dosyaları sorgulamak çoğu durumda çok faydalı olabilir. Hiçbir parametre olmaksızın aşağıdaki gibi bir çıktı üretir.
# lsof
COMMAND PID TID TASKCMD USER FD TYPE DEVICE SIZE/OFF NODE NAME
systemd 1               root cwd DIR 8,3       4096     2 /
systemd 1               root rtd DIR 8,3       4096     2 /
systemd 1               root txt REG 8,3    1640496 14161 /usr/lib/systemd/systemd


Çıkışta geçen FD dosya tanımlayıcısıdır (file descriptor) ve şu değerleri alabilir:
cwd: şimdi bulunulan klasör (current working directory)
rtd : root'un klasörü, yani /root (root directory)
txt : program metni
mem : memory mapped file
r: bir sayı eşliğinde geçen r okuma (read) kipinde açılmış dosyayı gösterir
w: bir sayı eşliğinde geçen w yazma (write) kipinde açılmış dosyayı gösterir
u: yine bir sayı eşliğinde geçer ve yazma ve okuma modunda açılmış dosyayı gösterir
 
TYPE alanı dosya tipini gösterir şu değerleri alabilir:
REG: normal dosya (regular file)
DIR: klasör (directory)
CHR: karakter tipi cihaz (character special file)
FIFO: ilk giren ilk çıkar tipi yapı (first in first out)

Birkaç örnek üzerinden gidelim.

Belli bir kullanıcı tarafından açılan dosyaların listesini almak için
# lsof -u metin
hatta bu kullanıcının açtığı tüm süreçleri sonlandırmak için
# kill -9 `lsof -t -u metin`
veya belli bir kullanıcıyı hariç tutmak için
# lsof -u^root
Ağ bağlantıları içinde dinleme durumunda (listening) ve kurulmuş (established) bağlantıları görmek için
# lsof -i
TCP 25 portunu kullananlar
# lsof -i TCP:25
Protokol farketmeksizin 53 portunu kullanan uygulamalar için
# lsof -i :53
Sadece IPv4 bağlantıları listelemek için
# lsof -i 4
PID'si 1135 olan süreç tarafından açılan dosyaları görmek için
# lsof -p 1135
/var/log/clamav/freshclam.log dosyasını açan prosesi bulmak için
# lsof /var/log/clamav/freshclam.log
/var/log klasöründeki dosyalarla ilgileniyorsak
# lsof +D /var/log

du (disk usage)
Komut satırında çalışırken bir klasörün alt klasörleri ile birlikte diskte ne kadar yer kapladığını bulmak için bu komut ideal. Örneğin Fedora'nın dnf yerel önbelleğinde tutulan dosyaların boyutunu öğrenmek için

$ sudo du -sh /var/cache/dnf/
kullanabiliriz. Burada

-s : tek satırda tüm alt klasörlerle boyutu yaz
-h : byte cinsinden değil, otomatik olarak hangi ölçekteyse KB, MB veya GB cinsinden yaz.

Faydalı bir anahtarı daha var; örneğin tmp uzantılı dosyalar hariç boyutu görmek istiyorsak --exclude="*.tmp" yazabiliriz. 
Bunun sonucunda görülecek sayı dosya yöneticisi ile bakıldığında görülecek sayı ile bir olmayabilir. Bunun sebebi du'nun dosyanın diskte kapladığı yeri göstermesi, dosya yöneticisinin ise dosyaların toplam boyutlarını göstermesidir (aradaki fark; 300 byte'lık bir dosya diskte asgari bir blocksize yer kaplar ki o da muhtemelen 4KB'dır. Sizinkini görmek için blocksize --getbsz /dev/sdaX). Bu durumda dosya yöneticisinin verilerini doğrulamak için
$ find /var/cache/dnf/ -type f -exec ls -l {} \; | awk '{toplam+=$1} END {print toplam}'
kullanılabilir. Bu byte cinsinden verir. du -h anahtarı ile bunu MB veya duruma göre GB cinsinden gösterebilir.

df
Dosya sistemi kullanım oranlarını gösterir. Hiçbir parametre kullanmadan çalıştırınca tüm dosya sistemlerini listeler. Listelenen dosya sistemi türlerini de ayrı bir sütunda görmek için -T anahtarı kullanılabilir.

$ df -T
Dosyasistemi                            Tür       1K-blok     Dolu      Boş Kull% Bağlanılan yer
devtmpfs                                devtmpfs   469808        0   469808    0% /dev
tmpfs                                   tmpfs      488044        0   488044    0% /dev/shm
tmpfs                                   tmpfs      488044     1284   486760    1% /run
/dev/mapper/fedora_localhost--live-root ext4     37868960 10927560 24988020   31% /
tmpfs                                   tmpfs      488044      164   487880    1% /tmp
/dev/sda1                               ext4       999320   235008   695500   26% /boot
tmpfs                                   tmpfs       97608       36    97572    1% /run/user/1000


Listelenecek dosya sistemlerini dosya sistemi türüne göre sınırlandırmak için -t anahtarı ve sonrasında dosya sistemi tipi kullanılabilir:

$ df -t ext4
Dosyasistemi                             1K-blok     Dolu      Boş Kull% Bağlanılan yer
/dev/mapper/fedora_localhost--live-root 37868960 10927560 24988020   31% /
/dev/sda1                                 999320   235008   695500   26% /boot


Veya tam tersi olarak bir dosya sistemini hariç tutarak listelemek için -x ve sonrasında dosya sistemi tipi kullanılabilir.

$ df -T -x tmpfs
Dosyasistemi                            Tür       1K-blok     Dolu      Boş Kull% Bağlanılan yer
devtmpfs                                devtmpfs   469808        0   469808    0% /dev
/dev/mapper/fedora_localhost--live-root ext4     37868960 10927584 24987996   31% /
/dev/sda1                               ext4       999320   235008   695500   26% /boot


less
Bir komutun çıktısını sayfalayarak göstermeye yarayan more komutuna benzer yapıda çalışıyor. Bu komutla ilgili çok sık yapılan bir espri var: "The less is more, more or less". More'a göre daha işlevsel. Kısayollar şöyle:


Kısayol Tuşu
İşlevi
aşağı ok, enter, e, veya j Bir satır aşağı
yukarı ok, y, veya k Bir satır yukarı
boşluk çubuğu
Bir sayfa aşağı
b Bir sayfa yukarı
sağ ok
Yatay sağa kay
sol ok
Yatay sola kay
g İlk satıra git
G Son satıra git
10g 10. satıra git. Farklı sayıla ile istenen satıra gidilebilir
50p veya 50% Tam ortaya (veya başka bir sayı verilerek istenen yüzdelik noktaya) git
/search terim Şu anki noktadan aşağıya doğru terimi ara
?search terim Şu anki noktadan yukarıya doğru terimi ara
n Arama sırasında bir sonraki bulunan noktaya git
N Arama sırasındaki bir önceki bulunan noktaya git
m<c> m'den sonra herhangi bir karakter girerek şu anki konumu işaretle
'<c> Tek tırnak tuşu ile yukarıdaki gibi işaretlenen noktaya git   
q çıkış yap


---
[1] https://likegeeks.com/awk-command/
[2] https://linuxconfig.org/learning-linux-commands-awk
[3] https://www.geeksforgeeks.org/sed-command-in-linux-unix-with-examples/
[4] https://www.linuxtechi.com/20-sed-command-examples-linux-users/
[5] https://likegeeks.com/sed-linux/
[6] https://www.howtogeek.com/562941/how-to-use-the-awk-command-on-linux/ 
[7] https://www.linuxteck.com/find-command-in-linux-with-examples/
[8] https://www.linuxteck.com/ps-command-in-linux-with-examples/
[9] https://medium.com/techtofreedom/8-uses-of-sed-in-linux-e61678b04114

[10] https://medium.com/@hicransevik/some-text-processing-tools-aaac89e89a16

13.09.2019

Powershell ile kullanıcı hesapları yönetimi

Süresi dolan parolalar, yanlış girilince kilitlenen hesaplar... Komut satırından yönetilse fena mı olurdu?

Windows istemci işletim sistemleri için RSAT'ın yüklenişi için şu bağlantıya bakılabilir. Bir kere

PS> Get-Module -ListAvailable
ile ActiveDirectory modülünü gördükten sonra Powershell 3.0 ve üstü sürümlerde Import-Module'e gerek kalmadan doğrudan cmdlet isimlerini yazarak kullanabiliriz.

En sık kullanılabilecek şey parola süresi dolan hesapları görmek olabilir. Search-ADAccount bu amaçlı güzel bir İsviçre çakısı.
PS> Search-ADAccount -PasswordExpired

Parolası dolan hesapları admin tarafından değiştirmek için şu yöntem kullanılabilir:

PS> Set-ADAccountPassword -Identity kullanici.adi
   -Reset
   -NewPassword (ConvertTo-SecureString -AsPlainText "P@ssw0rd!" -Force)

Burada -NewPassword alanı SecureString  tipinde bir veri bekliyor. Bunu sağlamak çin ConvertTo-SecureString cmdlet'ini kullanıyoruz. Ama şifreyi de aynı zamanda okunabilir bir şekilde yazdığımız için ConvertToSecureString cmdlet'i bunu ilk başta çevirmeyi reddedecektir. Bütün bu uyarıları görmezden gelmek için -Force parameteresini kullanmamız gerek. Daha doğru bir yöntemle şöyle de yapabilirdik:

PS> Set-ADAccountPassword -Identity kullanici.adi
   -Reset
   -NewPassword (Read-Host "Yeni parola" -AsSecureString)

Ya da parola süresi asla dolmayacak hesapların listesini almak için

PS> Search-ADAccount -PasswordNeverExpires
olabilir. Account lockout politikasına göre kilitlenmiş hesapları görmek için ise
PS> Search-ADAccount -Lockedout
faydalı olur. Bazı hesapları süreli açarız ve o süre dolduktan sonra hesabın kullanılmamasını isteriz. Bu şekilde süresi dolmuş hesapları görmek için
PS> Search-ADAccount -AccountExpired
ya da süresi haftaya dolacak hesapları görmek için
PS> Search-ADAccount -AccountExpiring -DateTime (Get-Date).AddDays(7)
ve kapatılmış (disabled) hesapları görmek için de
PS> Search-ADAccount -AccountDisabled
kullanılabilir. Bu komutların hepsi çok ayrıntılı sayfalarca veri üretiyorsa daha özet bir veri görmek için Select-Object (veya kısaca select) kullanılabilir. Örneğin son komut için
PS> Search-ADAccount -AccountDisabled | select SamAccountName
olabilir. Search-ADAccount'un yardımına bakınca -ComputersOnly ve -UsersOnly parametrelerini gördüm. Bu cmdlet hem bilgisayar hem de kullanıcı hesaplarını çıkış olarak verdiği için bu parametrelerle sadece bilgisayar veya sadece kullanıcı hesaplarını süzmek mümkün.
PS> Search-ADAccount -AccountDisabled -UsersOnly | select SamAccountName
Son 90 günde kullanılmamış (inactive) hesapları görmek için
PS> Search-ADAccount -AccountInactive
Parola süresi dolmuş bir hesabın parolasını değiştirmek için (net user hesap.adi * /DOM)
PS> Set-ADAccountPassword -Identity kullanici.adi -NewPassword (ConvertTo-SecureString -AsPlainText "..." -Force)
 Evet, bunu bir cmdlet'e çevirmek faydalı olabilir.

Yeni bir Active Directory hesabı yaratmak için: (net user user1 password /add /DOM)
PS> New-ADUser -Name "Kullanıcı Adı" 
   -GivenName "Ön Ad" 
   -Surname "Soyad" 
   -SamAccountName "hesap.adi" 
   -UserPrincipalName "hesap.adi@firmaadi.com" 
   -Path "OU=yoneticiler,DC=firmaadi,DC=com" 
   -AccountPassword(Read-Host -AsSecureString "Parola:")
   -Enabled $true
New-ADUser cmdlet'i ile kullanıcı adı yaratırken parola vermek zorunlu değildir, çünkü ilk yaratılan durumda kullanıcı etkinleştirilmemiş olarak yaratılır. Ya daha sonra parola ataması yapıp (domain password policy'ye uygun olarak) Enable-ADAccount ile kullanıcı etkinleştirilmeli, ya da yukarıdaki gibi hem parola belirtilip hem de -Enable $true parameteresi kullanılmalı. Başka önemli bir nokta ise -AccountPassword parametresi SecureString tipinde veri beklenmesi. Buraya "P@ssw0rd" gibi bir parola veremeyiz. Ama illaki önceden belirlenmiş bir parola verilecekse
PS> ConverTo-SecureString "P@ssw0rd" -AsPlainText -Force
kullanılabilir.

Mevcut bir hesabı görmek için (net user hesap.adi /DOM)
PS> Get-ADUser -Identity "hesap.adi"
ya da hesabı bir sorgu ile bulmak için
PS> Get-ADUser -Filter {Name -like "murat*"}
Var olan bir kullanıcı hesabını silmek için (net user hesap.adi /Del /DOM)
PS> Remove-ADUser -Identity "hesap.adi"
Mevcut bir hesabın son kullanım tarihini 3 ay olarak belirlemek için
PS> Set-ADAccountExpiration hesap.adi -DateTime (Get-Date).AddMonths(3)
Tam  tersi, hesap üzerindeki son kullanma tarihini kaldırarak süresiz kullanılabilmesini sağlamak için
PS> Clear-ADAccountExpiration -Identity hesap.adi
Var olan bir hesabı kullanıma kapatmak için (disable, net user hesap.adi /DOM /active:no)
PS> Disable-ADAccount -Identity hesap.adi
Ya da tekrar etkinleştirmek için (net user hesap.adi /DOM /active:yes)
PS> Enable-ADAccount -Identity hesap.adi
Lockout olmuş bir hesabı tekrar kullanıma açmak için
PS> Unlock-ADAccount -Identity hesap.adi

Ya da unlock olmuş hesapları tek satırda bulup onları unlock etmek için

PS> Search-ADAccount - Lockedout | Unlock-ADAccount

 Active Directory modülü ile gelen benzer komutları aramak için

PS> Get-Command -Noun ADAccount*

veya

PS> Get-Command -Module ActiveDirectory

 kullanılabilir. Benzer şekilde grup işlemleri ile ilgili

PS> Get-Command -Noun ADGroup*
yazdığımda birkaç grup cmdlet'i buldum. Birkaç grup işlemi için de örnek yapayım.

Mail ile başlayan grupları bulmak için
PS> Get-ADGroup -Filter {Name -like 'Mail*'}

Bir kullanıcının grup üyeliklerini görmek için ise

PS> Get-ADPrincipalGroupMembership -Identity kullanici.adi

Bir grubun üyelerini görmek için (net group GrupAdi /DOM)
PS> Get-ADGroupMember Administrators
Veya bir kullanıcıyı gruba eklemek için (net group GrupAdi hesap.adi /DOM /ADD)
PS> Add-ADGroupMember -Identity GrupAdi -Members hesap.adi
Ve hatta bir kullanıcıyı grup üyeliğinden çıkarmak için (net group GrupAdi hesap.adi /DOM /DEL)
PS> Remove-ADGroupMember -Identity GrupAdi -Members hesap.adi -Confirm

Bu komut, kullanıcıyı gruptan çıkarmadan önce onaylama isteyecektir. Sondaki -Confirm bu onayı peşinen vermek için.

Evet, komut isimleri uzun, parametreler ve ek yönlendirmelerle gayet uzun komutlara dönüşebiliyorlar. Bunun için yeni alias'lar tanımlanabilir, ya da amaca özel yeni cmdlet'ler oluşturulabilir.

2022-08-25 Ek: Yerel hesaplar için de powershell gibisi yok. Yeni bir yerel hesap yaratmak için

PS> New-LocalUser -Name fatih -FullName 'Fatih Terim'

Bu komutu çalıştırdıktan sonra bir parola sorar. Parolasız bir kullanıcı oluşturmak istiyorsak -NoPassword kullanabilir, veya parolayı -Password argumanı ile vermek istiyorsak da Read-host -AsSecureString ile yapabiliriz. Ayrıca -AccountExpires ve -Desription gibi argümanlar da var. Parolasız oluşturulan hesabın parolasını daha sonra oluşturmak için

PS> Set-LocalUser -Name fatih -Password (Readhost "Parola?" -AsSecureString)

Yerel kullanıcı hesaplarının yönetilmesinde kullanılabilecek diğer cmdlet'ler ise şöyle:

PS> Enable-LocalUser -Name fatih

PS> Disable-LocalUser -Name fatih

PS> Remove-LocalUser -Name fatih

PS> Rename-LocalUser -Name Fatih -NewName FatihTerim

Yeni oluşturulan bir hesabı var olan bir gruba, örneğin Administrators grubuna üye yapmak için

PS> Add-LocalGroupMember -Group Administrators -Member fatih

kullanabiliriz. Yeni bir grup oluşturmak için New-LocalGroup, grup veya kullanıcı hesabını silmek için ise bu cmdlet'lerin Remove'larını, yani Remove-LocalGroup veya Remove-LocalUser kullanabiliriz.

Bonus
Eskiden, Windows sunucu etki alanı üyesi bir bilgisayarın ismini değiştirmek istediğimizde önce etki alanından çıkartıp, sonra ismini değiştirip sonra tekrar etki alanı üyesi yapardık. Bunun için de 3 kez terar başlatmak gerekirdi. Windows 7 sonrasında artık bu işi etki alanından çıkarmadan yapabileceğimizi duymuştum ama denememiştim. Bu şerefe powershell ile nail oldum. Aşağıdaki şekilde uzaktaki bir bilgsayara yeni bir isim vermek çok büyük kolaylık.

PS> Rename-Computer -ComputerName eskiadi -NewName yeniadi -Restart -Force -DomainCredential (Get-Credential)
Burada:
-ComputerName: hangi bilgisayarda yeniden adlandırma işlemi uygulanacak
-NewName: bilgisayarın yeni ismi ne olacak
-Force: Emin misiniz? gibi sorulara baştan "evet" diye cevap vermek için
-Restart: Yeniden adlandırma işleminin geçerli olması için hemen ardından yeniden başlatmaya zorlamak için. Bu parametre kullanılmazsa yeniden başlatma kullanıcının insiyatifinde olacak. Bilgisayar özelliklerinde de yeniden başlatma sonrası bilgisayarın yeni adının ne olacağına dair bir bilgilendirme mesajı görüntülenecek.
-DomainCredential: Etki alanında bu işlemi yapmak için yetkisi olan bir kullanıcı hesabını bildirmek için
-(Get-Credential): Grafik arayüz ile kullanıcı adı ve şifrenin girilebilmesi için

Bununla birlikte bilgisayarın yeni ismi şu anda ağda mevcut bir isim olamaz. Yeniden adlandırma öncesinde etki alanında bu isme sahip bir bilgisayar var mı diye bakabiliriz:
PS> Get-ADComputer -Identity yeniadi
ya da daha geniş bir arama için isim filtresi kullanarak
PS> Get-ADComputer -Filter 'Name -like "*ad*"'
ve eğer mevcutta böyle bir bilgisayar varsa o eski hesabı silmek için (kullanılmayan, eski bir hesap ise)
PS> Get-ADComputer -Identity yeniadi | Remove-ADComputer -Credential (Get-Credential)