Elk bestand en elke map binnen Linux brengt gebruikers-, groeps- en eigenaarsrechten met zich mee. Door te bepalen wie toegang heeft tot een groep, kunt u bepalen wat er met bestanden en mappen op uw systeem gebeurt zonder dat u voor elke gebruiker machtigingen hoeft in te stellen. Deze procedure werkt voor alle Linux-distributies met een desktopomgeving en shell. De onderstaande procedures zijn getest met Ubuntu 19.10 met de Budgie-desktopomgeving en Zsh, draaiend op een virtuele Hyper-V-machine op Windows 10.
Een gebruiker toevoegen aan een groep
Gebruik het commando sudo addgroup [groupname] om een groep te maken, als u er nog geen hebt gemaakt. De opdracht om het wachtwoord van een bestaande groep te wijzigen, gpasswd, heeft de volgende algemene vorm: gpasswd [option] groep
De beschikbare opties voor deze opdracht zijn:
- -een, –toevoegen: een gebruiker toevoegen aan de genoemde groep.
- -NS, –verwijderen: een gebruiker uit de genoemde groep verwijderen.
- -H: een Help-overzicht weergeven en vervolgens afsluiten.
- -Q, –wortel: Pas wijzigingen toe in de hoofdmap van de groep en gebruik de configuratiebestanden ervan.
- -R, –verwijder-wachtwoord: het groepswachtwoord verwijderen. Alleen mensen die al aan de groep zijn toegevoegd, kunnen deze voor de sessie activeren met de nieuwerp opdracht.
- -R, –beperken: de toegang tot de groep beperken en een standaard groepswachtwoord instellen van !. Mensen moeten het wachtwoord opgeven om lid te worden van de groep met behulp van nieuwerp.
- -EEN, –beheerders: Stelt de lijst in met mensen die de bevoegdheid hebben om gebruikers te beheren (toevoegen/verwijderen) of het groepswachtwoord te wijzigen.
- -M, –leden: Stelt de lijst met groepsleden in.
De gebruikelijke methode voor het wijzigen van een groep houdt in: groepsmod opdracht.
Hoe het werkt
De gpasswd commando dient als een shell-gebaseerde front-end om de /etc/group- en /etc/gshadow-bestanden te beheren. Naast het verkorten van de processen voor het toewijzen van gebruikers en groepen (wat meestal gebeurt met de gebruikersmod opdracht), gpasswd stelt een optioneel wachtwoord in voor een groep. Linux bevat een nieuwerp commando waarmee een gewoon gebruikersaccount toegang kan krijgen tot verschillende gebruikersgroepen of om de actieve groeps-ID te wijzigen tijdens een bepaalde inlogsessie. Om mogelijke ongepaste groepslidmaatschap te voorkomen, is het groepswachtwoord vereist wanneer iemand probeert lid te worden van de groep via de nieuwerp opdracht.
Waarom u ‘gpasswd’ moet vermijden
Ooit was het idee van een groepswachtwoord waarschijnlijk logisch; de praktijk spiegelde individuele gebruikers die toegang hadden tot hun accounts met een wachtwoord. Hoewel deze mogelijkheid in Linux ingebakken blijft, verdient het de voorkeur om het gebruik van groepswachtwoorden te vermijden—en boven het gebruik van gpasswd om toegang op groepsniveau te wijzigen. Dit is waarom:
- Veiligheid: Het is over het algemeen voldoende om individuele gebruikers toe te voegen aan secundaire groepen door een systeembeheerder, dan om individuele gebruikers groepen individueel te laten kiezen en kiezen. Een wachtwoord op groepsniveau is immers slechts zo veilig als de persoon die het kent en openbaar lekt, wat de veiligheidswaarde van het wachtwoord in de eerste plaats ondermijnt.
- ACL’s: Het toenemende gebruik van Toegangscontrolelijsten overwint enkele van de eigenaardigheden van het eigenaar/groep/gebruiker-beveiligingsmodel.
- Sudo: In sommige gevallen, met name bij zeldzamere gebruikssituaties (bijv. toegang tot bepaalde gevoelige informatie), is het toevoegen van een speciale sudo-rol voldoende en is deze ook achteraf controleerbaar.