Skip to content

Administrera filgrupper med ’gpasswd’

15 de augusti de 2021
GettyImages 637343170 dedfe07d1a124ff2b767c3b64684ece9

Varje fil och mapp i Linux innebär behörighet för användare, grupp och ägare. Genom att styra vem som har tillgång till en grupp kan du styra vad som händer med filer och mappar på ditt system utan att behöva ange behörigheter för varje användare. Denna procedur fungerar för alla Linux -distributioner som kör alla skrivbordsmiljöer och skal. Procedurerna som beskrivs nedan testades med Ubuntu 19.10 med Budgie-skrivbordsmiljön och Zsh, som körs i en virtuell Hyper-V-maskin på Windows 10.

Hur man lägger till en användare i en grupp

Använd kommandot sudo tilläggsgrupp [groupname] att skapa en grupp om du inte redan har skapat en. Kommandot för att ändra en befintlig grupps lösenord, gpasswd, har följande allmänna form: gpasswd [option] grupp

De tillgängliga alternativen för det här kommandot inkluderar:

  • -a, –Lägg till: Lägg till en användare i den namngivna gruppen.
  • -d, –radera: Ta bort en användare från den namngivna gruppen.
  • -h: Visa en hjälpöversikt och avsluta.
  • -Q, –rot: Tillämpa ändringar i gruppens rotkatalog och använd konfigurationsfilerna från den.
  • -r, –borttag-lösenord: Ta bort grupplösenordet. Endast personer som redan har lagts till i gruppen kan aktivera den för sessionen med hjälp av nygrp kommando.
  • -R, –begränsa: Begränsa åtkomsten till gruppen och ange ett standardgruppslösenord för !. Människor måste ange lösenordet för att gå med i gruppen nygrp.
  • -A, –administratörer: Ställer in listan över personer som har behörighet att administrera användare (lägga till/ta bort) eller ändra grupplösenordet.
  • -M, -medlemmar: Ställer in listan över gruppmedlemmar.

Den vanliga metoden för att ändra en grupp innebär gruppmod kommando.

Hur det fungerar

De gpasswd kommandot fungerar som ett skalbaserat gränssnitt för att administrera /etc /group och /etc /gshadow-filerna. Förutom att korta processerna för att tilldela användare och grupper (vilket vanligtvis sker med användarmod kommando), gpasswd anger ett valfritt lösenord för en grupp. Linux innehåller en nygrp kommando genom vilket ett vanligt användarkonto kan få åtkomst till olika användargrupper eller ändra det aktiva grupp -ID under en given inloggningssession. För att undvika eventuell olämplig gruppanslutning krävs grupplösenordet när någon försöker gå med i gruppen via nygrp kommando.

Varför du bör undvika ’gpasswd’

En gång var förmodligen tanken på ett grupplösenord vettig; praxis speglade enskilda användare som fick åtkomst till sina konton med ett lösenord. Även om denna förmåga fortfarande är inbäddad i Linux, är det att föredra att undvika att använda grupplösenord – och att använda gpasswd för att ändra åtkomst på gruppnivå. Här är varför:

  • säkerhet: Det är i allmänhet tillräckligt att lägga till enskilda användare i sekundära grupper av en systemadministratör, än att låta enskilda användare välja och välja grupper individuellt. När allt kommer omkring är ett lösenord på gruppnivå bara lika säkert som den som känner till det och läcker ut det offentligt, vilket undergräver säkerhetsvärdet för lösenordet i första hand.
  • ACL: er: Den bredare användningen av åtkomstkontrollistor övervinner några av egendomarna i ägaren/gruppen/användarens säkerhetsmodell.
  • Sudo: I vissa fall, särskilt vid sällsynta användningsfall (t.ex. tillgång till viss känslig information), är det tillräckligt att lägga till en speciell sudoroll, samt att man kan kontrollera den retroaktivt.