Každý soubor a složka v systému Linux obsahuje oprávnění uživatele, skupiny a vlastníka. Ovládáním toho, kdo má přístup ke skupině, můžete řídit, co se stane se soubory a složkami ve vašem systému, aniž byste museli nastavovat oprávnění pro každého uživatele. Tento postup funguje pro všechny distribuce Linuxu s libovolným desktopovým prostředím a shellem. Níže uvedené postupy byly testovány pomocí Ubuntu 19.10 s desktopovým prostředím Budgie a Zsh, běžícím na virtuálním počítači Hyper-V ve Windows 10.
Jak přidat uživatele do skupiny
Použijte příkaz sudo addgroup [groupname] vytvořit skupinu, pokud jste ji ještě nevytvořili. Příkaz pro úpravu hesla stávající skupiny, gpasswd, má následující obecnou podobu: gpasswd [option] skupina
Možnosti dostupné pro tento příkaz zahrnují:
- -A, –přidat: Přidat uživatele do pojmenované skupiny.
- -d, –vymazat: Odebrat uživatele z pojmenované skupiny.
- -h: Zobrazte souhrn nápovědy a poté ukončete.
- -Q, –vykořenit: Aplikujte změny v kořenovém adresáři skupiny a použijte z něj konfigurační soubory.
- -r, –odstranit heslo: Odeberte heslo skupiny. Pouze lidé, kteří jsou již přidáni do skupiny, ji mohou aktivovat pro relaci pomocí newgrp příkaz.
- -R, –omezit: Omezte přístup ke skupině a nastavte výchozí heslo skupiny !. Lidé musí zadat heslo pro připojení ke skupině pomocí newgrp.
- -A, -administrátoři: Nastaví seznam lidí, kteří mají oprávnění ke správě uživatelů (přidání/odstranění) nebo změně hesla skupiny.
- -M, –členové: Nastaví seznam členů skupiny.
Obvyklý způsob úpravy skupiny zahrnuje skupinový příkaz.
Jak to funguje
The gpasswd příkaz slouží jako front-end založený na shellu pro správu souborů /etc /group a /etc /gshadow. Kromě zkrácení procesů pro přiřazování uživatelů a skupin (ke kterému obvykle dochází u souboru usermod příkaz), gpasswd nastaví ve skupině volitelné heslo. Linux obsahuje a newgrp příkaz, kterým může běžný uživatelský účet získat přístup k různým skupinám uživatelů nebo změnit ID aktivní skupiny během dané přihlašovací relace. Aby se zabránilo potenciálnímu nevhodnému připojení ke skupině, je heslo skupiny vyžadováno vždy, když se někdo pokusí připojit ke skupině prostřednictvím newgrp příkaz.
Proč byste se měli vyvarovat „gpasswd“
Kdysi měla myšlenka skupinového hesla pravděpodobně smysl; tato praxe odrážela individuální přístup uživatelů k jejich účtům pomocí hesla. Ačkoli je tato schopnost v Linuxu zachována, je lepší se vyhnout používání skupinových hesel – a používání gpasswd upravit přístup na úrovni skupiny. Zde je důvod:
- Bezpečnostní: Obecně je vhodné přidat jednotlivé uživatele do sekundárních skupin správcem systému, než umožnit jednotlivým uživatelům vybrat a vybrat skupiny jednotlivě. Koneckonců, heslo na úrovni skupiny je pouze tak bezpečné jako osoba, která ho zná a zveřejňuje jej, což v první řadě podkopává bezpečnostní hodnotu hesla.
- ACL: Rozšíření používání seznamů řízení přístupu překonává některé zvláštnosti modelu zabezpečení vlastníka/skupiny/uživatele.
- Sudo: V některých případech, zvláště u vzácnějších případů použití (např. Přístup k určitým citlivým informacím), postačí přidání speciální role sudo a zpětná kontrola.