Bezárás
Menü

Csoportok adminisztrálása gpasswd segítségével

Minden fájl és mappa belül Linux felhasználói, csoportos és tulajdonosi jogosultságokkal jár. A csoportokhoz való hozzáférés szabályozásával szabályozhatja, hogy mi történjen a rendszeren lévő fájlokkal és mappákkal anélkül, hogy minden egyes felhasználóhoz engedélyeket kellene beállítania.

Ez az eljárás minden olyan Linux-disztribúciónál működik, amelyen bármilyen asztali környezet és shell fut. Az alábbiakban vázolt eljárásokat a következővel teszteltük Ubuntu 19.10 a Budgie asztali környezettel és a Zsh-val, amely Hyper-V virtuális gépen fut Windows 10 rendszeren.

gpasswd parancs

Felhasználó hozzáadása egy csoporthoz

Használja a parancsot sudo addgroup [csoportnév] csoport létrehozásához, ha még nem hozott létre egyet.

A parancs egy meglévő csoport jelszavának módosítására, gpasswd, a következő általános formát ölti: 

gpasswd [opció] csoport

Az ehhez rendelkezésre álló lehetőségek parancs tartalmazza:

  • -a, --add: Felhasználó hozzáadása a megnevezett csoporthoz.
  • -d, --töröl: Felhasználó eltávolítása a megnevezett csoportból.
  • -h: Súgó összefoglaló megjelenítése, majd kilépés.
  • -Q, --gyökér: Alkalmazza a változtatásokat a csoport gyökérkönyvtárában, és használja az abból származó konfigurációs fájlokat.
  • -r, --remove-password: Távolítsa el a csoport jelszavát. Csak a csoporthoz már felvett személyek aktiválhatják azt a munkamenethez a következő használatával newgrp parancs.
  • -R, --korlátoz: Korlátozza a hozzáférést a csoporthoz, és állítsa be a csoport alapértelmezett jelszavát !. Az embereknek meg kell adniuk a jelszót, hogy csatlakozhassanak a csoporthoz newgrp.
  • -A, --adminisztrátorok: Beállítja azoknak a személyeknek a listáját, akik jogosultak a felhasználók adminisztrálására (hozzáadásra/törlésre) vagy a csoportjelszó módosítására.
  • -M, --tagok: Beállítja a csoporttagok listáját.

A csoport módosításának szokásos módja az groupmod parancs.

Hogyan működik

Az gpasswd parancs shell-alapú kezelőfelületként szolgál az /etc/group és /etc/gshadow fájlok adminisztrálására. A felhasználók és csoportok hozzárendelési folyamatainak lerövidítésén túl (ami általában a usermod parancs), gpasswd opcionális jelszót állít be egy csoporthoz.

A Linux magában foglalja a newgrp parancs, amellyel egy közönséges felhasználói fiók hozzáférhet különböző felhasználói csoportokhoz, vagy megváltoztathatja az aktív csoport azonosítóját egy adott bejelentkezési munkamenet során. Az esetleges nem megfelelő csoporthoz való csatlakozás elkerülése érdekében a csoport jelszavát minden alkalommal meg kell adni, amikor valaki megpróbál csatlakozni a csoporthoz a newgrp parancs.

Miért érdemes kerülni a 'gpasswd'-t

Valószínűleg volt valami értelme a csoportjelszó ötletének; a gyakorlat tükrözte az egyéni felhasználókat, akik jelszóval fértek hozzá fiókjukhoz. Bár ez a képesség továbbra is megmarad a Linuxban, jobb elkerülni a csoportjelszavak használatát – és gpasswd csoportszintű hozzáférés módosításához. Íme, miért:

  • Biztonság: Általában megfelelő, ha a rendszeradminisztrátor egyedi felhasználókat ad hozzá a másodlagos csoportokhoz, nem pedig lehetővé teszi, hogy az egyes felhasználók egyénileg válasszanak ki csoportokat. Hiszen egy csoportszintű jelszó csak annyira biztonságos, mint amennyire ismeri és nyilvánosan kiszivárogtatja, ami eleve aláássa a jelszó biztonsági értékét.
  • ACL-ek: A hozzáférés-vezérlési listák egyre szélesebb körű használata legyőzi a tulajdonos/csoport/felhasználó biztonsági modell néhány furcsaságát.
  • Sudo: Bizonyos esetekben, különösen ritkább felhasználási esetekben (pl. bizonyos érzékeny információk elérése), elegendő egy speciális sudo szerep hozzáadása, valamint visszamenőlegesen ellenőrizhető.