Κάθε αρχείο και φάκελος στο Linux συνεπάγεται δικαιώματα χρήστη, ομάδας και κατόχου. Ελέγχοντας ποιος έχει πρόσβαση σε μια ομάδα, μπορείτε να ελέγξετε τι συμβαίνει σε αρχεία και φακέλους στο σύστημά σας χωρίς να χρειάζεται να ορίσετε δικαιώματα για κάθε χρήστη. Αυτή η διαδικασία λειτουργεί για όλες τις διανομές Linux που εκτελούν οποιοδήποτε περιβάλλον επιφάνειας εργασίας και κέλυφος. Οι διαδικασίες που περιγράφονται παρακάτω δοκιμάστηκαν χρησιμοποιώντας το Ubuntu 19.10 με το περιβάλλον επιφάνειας εργασίας Budgie και το Zsh, που εκτελούνται σε μια εικονική μηχανή Hyper-V στα Windows 10.
Πώς να προσθέσετε έναν χρήστη σε μια ομάδα
Χρησιμοποιήστε την εντολή ομάδα προσθήκης sudo [groupname] για να δημιουργήσετε μια ομάδα, εάν δεν έχετε ήδη δημιουργήσει μια ομάδα. Η εντολή τροποποίησης ενός υπάρχοντος κωδικού πρόσβασης ομάδας, gpasswd, παίρνει την ακόλουθη γενική μορφή: gpasswd [option] ομάδα
Οι διαθέσιμες επιλογές για αυτήν την εντολή περιλαμβάνουν:
- -ένα, –Προσθήκη: Προσθέστε έναν χρήστη στην ονομαζόμενη ομάδα.
- -ρε, –διαγράφω: Καταργήστε έναν χρήστη από την ονομαζόμενη ομάδα.
- -χ: Εμφάνιση σύνοψης βοήθειας και μετά έξοδος.
- -Q, –ρίζα: Εφαρμόστε αλλαγές στον ριζικό κατάλογο της ομάδας και χρησιμοποιήστε τα αρχεία διαμόρφωσης από αυτόν.
- -ρ, – αφαίρεση κωδικού πρόσβασης: Καταργήστε τον κωδικό πρόσβασης ομάδας. Μόνο τα άτομα που έχουν ήδη προστεθεί στην ομάδα μπορούν να την ενεργοποιήσουν για τη συνεδρία χρησιμοποιώντας το newgrp εντολή.
- – Ρ, –περιορίζω: Περιορίστε την πρόσβαση στην ομάδα και ορίστε έναν προεπιλεγμένο κωδικό πρόσβασης ομάδας !. Οι χρήστες πρέπει να δώσουν τον κωδικό πρόσβασης για να συμμετάσχουν στην ομάδα χρησιμοποιώντας newgrp.
- -ΕΝΑ, – διαχειριστές: Ορίζει τη λίστα των ατόμων που έχουν την εξουσία να διαχειρίζονται χρήστες (προσθήκη / διαγραφή) ή αλλαγή του κωδικού πρόσβασης της ομάδας.
- -Μ, – μέλη: Ορίζει τη λίστα των μελών της ομάδας.
Η συνήθης μέθοδος τροποποίησης μιας ομάδας συνεπάγεται το groupmod εντολή.
Πως δουλεύει
ο gpasswd Η εντολή χρησιμεύει ως διεπαφή με βάση το κέλυφος για τη διαχείριση των αρχείων / etc / group και / etc / gshadow. Εκτός από τη συντόμευση των διαδικασιών για την εκχώρηση χρηστών και ομάδων (που συμβαίνει συνήθως με το usermod εντολή), gpasswd ορίζει έναν προαιρετικό κωδικό πρόσβασης σε μια ομάδα. Το Linux περιλαμβάνει ένα newgrp εντολή με την οποία ένας συνηθισμένος λογαριασμός χρήστη μπορεί να αποκτήσει πρόσβαση σε διαφορετικές ομάδες χρηστών ή να αλλάξει το ενεργό αναγνωριστικό ομάδας κατά τη διάρκεια μιας δεδομένης περιόδου σύνδεσης. Για να αποφευχθεί η ενδεχόμενη ακατάλληλη συμμετοχή στην ομάδα, ο κωδικός πρόσβασης της ομάδας απαιτείται κάθε φορά που κάποιος προσπαθεί να συμμετάσχει στην ομάδα μέσω του newgrp εντολή.
Γιατί πρέπει να αποφύγετε το «gpasswd»
Κάποτε, η ιδέα ενός ομαδικού κωδικού πρόσβασης πιθανότατα είχε νόημα. Η πρακτική αντικατοπτρίζει μεμονωμένους χρήστες που έχουν πρόσβαση στους λογαριασμούς τους με κωδικό πρόσβασης Ωστόσο, παρόλο που αυτή η δυνατότητα παραμένει ψημένη στο Linux, είναι προτιμότερο να αποφεύγετε τη χρήση κωδικών πρόσβασης ομάδας και τη χρήση gpasswd για να τροποποιήσετε την πρόσβαση σε επίπεδο ομάδας. Να γιατί:
- Ασφάλεια: Γενικά, αρκεί να προσθέσετε μεμονωμένους χρήστες σε δευτερεύουσες ομάδες από έναν διαχειριστή συστήματος, παρά να επιτρέψετε σε μεμονωμένους χρήστες να επιλέγουν και να επιλέγουν ομάδες ξεχωριστά. Σε τελική ανάλυση, ένας κωδικός πρόσβασης σε επίπεδο ομάδας είναι εξίσου ασφαλής με το άτομο που τον γνωρίζει και τον διαρρέει δημόσια, πράγμα που υπονομεύει την τιμή ασφαλείας του κωδικού.
- ACL: Η διευρυμένη χρήση των Λιστών Ελέγχου Πρόσβασης ξεπερνά ορισμένες από τις ιδιορρυθμίες του μοντέλου ασφαλείας ιδιοκτήτη / ομάδας / χρήστη.
- Σούντο: Σε ορισμένες περιπτώσεις, ιδιαίτερα σε περιπτώσεις σπανιότερης χρήσης (π.χ. πρόσβαση σε ορισμένες ευαίσθητες πληροφορίες), αρκεί η προσθήκη ενός ειδικού ρόλου sudo, καθώς και η αναδρομική δυνατότητα ελέγχου.