Каждый файл и папка в Linux влечет за собой права пользователя, группы и владельца. Контролируя, кто имеет доступ к группе, вы можете контролировать, что происходит с файлами и папками в вашей системе, не устанавливая разрешения для каждого пользователя.
Эта процедура работает для всех дистрибутивов Linux, работающих под любой рабочей средой и оболочкой Процедуры, описанные ниже, были протестированы с использованием Ubuntu 19.10 с настольной средой Budgie и Zsh, работающих на виртуальной машине Hyper-V в Windows 10.
Как добавить пользователя в группу
Используйте команду sudo addgroup [groupname], чтобы создать группу, если вы еще не создали ее.
Команда для изменения пароля существующей группы, gpasswd , имеет следующую общую форму:
gpasswd [опция] группа
Опции, доступные для этой команды :
- -a , —add : добавить пользователя в указанную группу.
- -d , —delete : удалить пользователя из указанной группы.
- -h : Показать справку, затем выйти.
- -Q , —root : применить изменения в корневом каталоге группы и использовать файлы конфигурации из него.
- -r , —remove-password : удалить пароль группы. Только люди, которые уже добавлены в группу, могут активировать ее для сеанса с помощью команды newgrp .
- -R , —restrict : ограничить доступ к группе и установить пароль по умолчанию для группы ! , Люди должны предоставить пароль для присоединения к группе, используя newgrp .
- -A , —administrators : устанавливает список людей, которые имеют полномочия администрировать пользователей (добавлять / удалять) или изменять пароль группы.
- -M , —members : устанавливает список членов группы.
Обычный метод изменения группы влечет за собой команду groupmod .
Как это устроено
Команда gpasswd служит оболочкой для администрирования файлов / etc / group и / etc / gshadow. В дополнение к сокращению процессов назначения пользователей и групп (что обычно происходит с командой usermod ), gpasswd устанавливает дополнительный пароль для группы.
Linux включает команду newgrp, с помощью которой обычная учетная запись пользователя может получить доступ к различным группам пользователей или изменить идентификатор активной группы во время данного сеанса входа в систему. Чтобы избежать возможного несоответствующего присоединения к группе, пароль группы требуется всякий раз, когда кто-то пытается присоединиться к группе с помощью команды newgrp .
Почему вы должны избегать «gpasswd»
Когда-то давно идея группового пароля, вероятно, имела смысл; практика отражала отдельных пользователей, получающих доступ к своим учетным записям с паролем. Однако, хотя эта возможность остается встроенной в Linux, предпочтительно избегать использования групповых паролей — и использовать gpasswd для изменения доступа на уровне группы. Вот почему:
- Безопасность : Обычно достаточно добавить отдельных пользователей во вторичные группы системным администратором, чем позволить отдельным пользователям выбирать группы по отдельности. В конце концов, пароль на уровне группы безопасен настолько же, насколько и человек, который знает его и публично его утечки, что в первую очередь подрывает значение безопасности пароля.
- ACL : расширение использования списков контроля доступа преодолевает некоторые особенности модели безопасности владельца / группы / пользователя.
- Судо : В некоторых случаях, особенно при более редких случаях использования (например, при доступе к определенной конфиденциальной информации), достаточно добавить специальную роль sudo, а также иметь возможность обратной проверки.