Lukk
Meny

Hvordan administrere grupper med gpasswd

Hver fil og mappe innenfor Linux innebærer bruker-, gruppe- og eiertillatelser. Ved å kontrollere hvem som har tilgang til en gruppe, kan du kontrollere hva som skjer med filer og mapper på systemet ditt uten å måtte angi tillatelser for hver bruker.

Denne prosedyren fungerer for alle Linux-distribusjoner som kjører et hvilket som helst skrivebordsmiljø og skall. Prosedyrene skissert nedenfor ble testet ved hjelp av Ubuntu 19.10 med Budgie-skrivebordsmiljøet og Zsh, kjører i en Hyper-V virtuell maskin på Windows 10.

gpasswd kommando

Hvordan legge til en bruker i en gruppe

Bruk kommandoen sudo addgroup [gruppenavn] for å opprette en gruppe, hvis du ikke allerede har opprettet en.

Kommandoen for å endre passordet til en eksisterende gruppe, gpasswd, har følgende generelle form: 

gpasswd [alternativ] gruppe

Alternativene som er tilgjengelige for dette kommando inkludere:

  • -en, --legge til: Legg til en bruker i den navngitte gruppen.
  • -d, --slett: Fjern en bruker fra den navngitte gruppen.
  • -h: Vis et hjelpesammendrag, og avslutt.
  • -Q, --rot: Bruk endringer i gruppens rotkatalog og bruk konfigurasjonsfilene fra den.
  • -r, --fjern-passord: Fjern gruppepassordet. Bare personer som allerede er lagt til gruppen kan aktivere den for økten ved å bruke nygrp kommando.
  • -R, --begrense: Begrens tilgangen til gruppen og angi et standard gruppepassord for !. Folk må oppgi passordet for å bli med i gruppen som bruker nygrp.
  • -EN, --administratorer: Setter listen over personer som har autoritet til å administrere brukere (legge til/slette) eller endre gruppepassordet.
  • -M, --medlemmer: Angir listen over gruppemedlemmer.

Den vanlige metoden for å endre en gruppe innebærer gruppemod kommando.

Hvordan det fungerer

De gpasswd kommandoen fungerer som et skallbasert grensesnitt for å administrere filene /etc/group og /etc/gshadow. I tillegg til å forkorte prosessene for å tildele brukere og grupper (som vanligvis skjer med brukermod kommando), gpasswd setter et valgfritt passord på en gruppe.

Linux inkluderer en nygrp kommando som en vanlig brukerkonto kan få tilgang til forskjellige brukergrupper eller for å endre den aktive gruppe-IDen under en gitt påloggingsøkt. For å unngå potensiell upassende gruppetilknytning, kreves gruppepassordet når noen prøver å bli med i gruppen gjennom nygrp kommando.

Hvorfor du bør unngå "gpasswd"

En gang i tiden var ideen om et gruppepassord sannsynligvis fornuftig; praksisen speilet individuelle brukere som fikk tilgang til kontoene deres med et passord. Men selv om denne muligheten forblir innebygd i Linux, er det å foretrekke å unngå å bruke gruppepassord – og å bruke gpasswd for å endre tilgang på gruppenivå. Her er hvorfor:

  • Sikkerhet: Det er generelt tilstrekkelig å legge til individuelle brukere i sekundære grupper av en systemadministrator, enn å la individuelle brukere velge grupper individuelt. Tross alt er et passord på gruppenivå bare så sikkert som personen som kjenner det og lekker det offentlig, noe som undergraver sikkerhetsverdien til passordet i utgangspunktet.
  • ACL-er: Den utvidede bruken av tilgangskontrolllister overvinner noen av særhetene til eier/gruppe/bruker-sikkerhetsmodellen.
  • Sudo: I noen tilfeller, spesielt med sjeldnere brukstilfeller (f.eks. tilgang til visse sensitive opplysninger), er det tilstrekkelig å legge til en spesiell sudo-rolle, i tillegg til at det kan kontrolleres med tilbakevirkende kraft.