Saltar al contenido

Адміністрування файлових груп за допомогою «gpasswd»

26 de julio de 2021

Кожен файл і папка в Linux передбачає права користувача, групи та власника. Контролюючи, хто має доступ до групи, ви можете контролювати, що відбувається з файлами та папками у вашій системі, не встановлюючи дозволів для кожного користувача. Ця процедура працює для всіх дистрибутивів Linux, що працюють у будь-якому робочому середовищі та оболонці. Викладені нижче процедури були протестовані за допомогою Ubuntu 19.10 із робочим середовищем Budgie та Zsh, що працює у віртуальній машині Hyper-V у Windows 10.

Змістовий покажчик

Як додати користувача до групи

Використовуйте команду sudo addgroup [groupname] створити групу, якщо ви її ще не створили. Команда змінити пароль існуючої групи, gpasswd, приймає такий загальний вигляд: gpasswd [option] групи

Доступні параметри для цієї команди:

  • , –додати: Додайте користувача до названої групи.
  • -d, –видалити: Вилучити користувача з названої групи.
  • : Відображення короткої довідки, а потім вихід.
  • -Q, – root: Застосувати зміни до кореневого каталогу групи та використовувати конфігураційні файли з нього.
  • -r, –remove-пароль: Видаліть пароль групи. Тільки люди, які вже додані до групи, можуть активувати її для сеансу за допомогою newgrp команди.
  • -R, –обмежити: Обмежити доступ до групи та встановити стандартний пароль групи для !. Люди повинні ввести пароль, щоб приєднатися до групи за допомогою newgrp.
  • , –адміністратори: Встановлює список людей, які мають повноваження керувати користувачами (додавати / видаляти) або змінювати пароль групи.
  • , –члени: Встановлює список учасників групи.

Звичайний метод модифікації групи передбачає groupmod команди.

Як це працює

gpasswd Команда служить інтерфейсом на основі оболонки для адміністрування файлів / etc / group та / etc / gshadow. На додаток до коротких процесів для призначення користувачів та груп (що зазвичай відбувається з usermod команда), gpasswd встановлює необов’язковий пароль для групи. Linux включає a newgrp команда, за допомогою якої звичайний обліковий запис користувача може отримати доступ до різних груп користувачів або змінити ідентифікатор активної групи під час даного сеансу входу. Щоб уникнути потенційного невідповідного приєднання до групи, пароль групи потрібен щоразу, коли хтось намагається приєднатися до групи через newgrp команди.

Чому слід уникати «gpasswd»

Колись ідея групового пароля, мабуть, мала сенс; практика відображала окремих користувачів, які отримували доступ до своїх облікових записів за допомогою пароля. Однак, хоча ця можливість і надалі зберігається в Linux, бажано уникати використання групових паролів – і використання gpasswd змінити доступ на рівні групи. Ось чому:

  • Безпека: Зазвичай достатньо додавати окремих користувачів до вторинних груп системним адміністратором, ніж дозволяти окремим користувачам вибирати групи окремо. Врешті-решт, пароль групового рівня є настільки ж безпечним, як і людина, яка його знає і публічно витікає, що в першу чергу підриває цінність безпеки пароля.
  • ACL: Ширше використання Списків контролю доступу долає деякі дивацтва моделі безпеки власника / групи / користувача.
  • Судо: У деяких випадках, особливо у рідкісних випадках (наприклад, доступ до певної конфіденційної інформації), достатньо додати спеціальну роль sudo, а також мати ретроактивну перевірку.