Загрузка...Linux создать группу пользователей
Как создать группу Linux
Группы — очень удобный инструмент распределения прав в Linux. Благодаря группам можно разрешить нескольким пользователям доступ к одному файлу или папке, а другим запретить, не прибегая к более сложным технологиям, таким, как ACL-списки. Системные сервисы тоже запускаются от имени определённых пользователей, и поэтому группы позволяют очень тонко настроить права доступа к нужным файлам для сервисов, не давая им полного доступа к системе.
В этой небольшой статье мы рассмотрим, как создать группу Linux разными способами, а также поговорим о дополнительных настройках группы.
Как создать группу Linux
Для создания групп в Linux используется команда groupadd, давайте рассмотрим её синтаксис и опции:
$ groupadd опции имя_группы
А теперь разберём опции утилиты:
- -f — если группа уже существует, то утилита возвращает положительный результат операции;
- -g — установить значение идентификатора группы GID вручную;
- -K — изменить параметры по умолчанию автоматической генерации GID;
- -o — разрешить добавление группы с неуникальным GID;
- -p — задаёт пароль для группы;
- -r — указывает, что группа системная;
- -R — позволяет изменить корневой каталог.
Перейдём к практике. Всё очень просто. Создадим группу group1:
sudo groupadd group1
Теперь вы можете убедится, что группа была добавлена в файл /etc/group:
cat /etc/group | grep group1
Система создала группу с GID 1001. Вы можете вручную указать GID вашей группы с помощью опции -g;
sudo groupadd -g 1006 group6
Также есть возможность задать пароль для группы. Он служит для того, чтобы пользователи, не состоящие в группе, смогли получить к ней доступ с помощью команды newgrp. Эта команда делает пользователя участником указанной группы до конца сеанса. Из соображений безопасности этот метод использовать не рекомендуется, поскольку один пароль будут знать несколько пользователей. Чтобы создать группу с паролем, сначала создаём пароль командой:
perl -e ‘print crypt(«12345», «xyz»),»n»‘
Здесь xyz — это случайная комбинация символов для увеличения надёжности пароля, а 12345 — ваш пароль. Мы должны передать утилите именно зашифрованный пароль, если передать его в открытом виде, то ничего работать не будет. Теперь создаём группу с только что полученным паролем:
sudo groupadd -p sajEeYaHYyeSU group7
Затем можно попытаться получить временный доступ к ресурсам группы с помощью newgrp:
newgrp group7
groups
Нам надо ввести пароль, который мы раньше шифровали, и теперь до конца сеанса наш пользователь находится в группе. Если вы хотите добавить пользователя в группу навсегда, то надо использовать команду usermod:
sudo usermod -aG group7 имя_пользователя
Создание группы Linux вручную
Если вы не хотите создавать группу с помощью команды, это можно сделать, просто редактируя конфигурационные файлы. Все группы, которые существуют в системе, находятся в файле /etc/group. Если мы хотим добавить новую, достаточно добавить строчку с таким синтаксисом:
имя_группы : х : gid : список_пользователей
Разберём более подробно, какой параметр за что отвечает:
- имя_группы — имя, которое будет использоваться для операций с группой;
- x — заглушка пароля группы, пароль указывается в файле /etc/gshadow, если в этом есть необходимость;
- gid — идентификатор группы;
- список_пользователей — пользователи, разделённые запятыми, которые входят в группу.
Таким образом, чтобы создать группу group7, достаточно добавить строку:
sudo vi /etc/group
Всё. Теперь нашу группу можно использовать, например, добавим в неё пользователя:
usermod -aG group7 имя_пользователя
Вы уже знаете, как создать группу пользователей linux двумя способами, теперь разберёмся, как её удалить.
Как удалить группу в Linux
Если вы создали группу неправильно или считаете, что она не нужна, то её можно удалить. Для этого используйте:
sudo groupdel имя_группы
Только ни в коем случае не удаляйте системные группы, они нужны и используются системой, а их удаление может сломать работу некоторых программ.
Выводы
В этой небольшой статье мы рассмотрели создание группы в Linux, а также то, как удалить созданную группу. Как видите, это довольно просто. Ели у вас остались вопросы, спрашивайте в комментариях!
Группы пользователей в Linux: создаем группы, добавляем и удаляем из них пользователей
Перевод статьи «Linux User Groups Explained: How to add a new group, a new group member, and change groups».
Linux позволяет многочисленным пользователям работать в системе одновременно. Установка прав доступа защищает пользователей друг от друга. Для объединения пользователей с одинаковыми правами доступа создаются группы. Члены этих групп могут, например, иметь доступ к каким-то файлам или устройствам, в то время как для остальных пользователей доступ будет закрыт.
Часто группы создаются, чтобы дать отдельным пользователям право модифицировать файл или директорию.
Группы бывают двух основных видов: первичные и вторичные. Первичная группа это основная группа пользователя, установленная для него по умолчанию, с ней связан его аккаунт. Директории и файлы, создаваемые пользователем, имеют Group ID именно этой, первичной группы. Любая другая группа (а их может быть много), в которую входит пользователь, является вторичной.
Создание групп
Давайте создадим две группы: «writers» («писатели») и «editors» («редакторы»). Для этого используется команда groupadd. (Возможно, потребуется также поставить sudo в начале команды, чтобы получить право создавать группы).
Создание пользователей
Возможно, у вас уже есть пользователи, которых вы могли бы добавить в только что созданные группы. Если нет, вот базовый синтаксис для создания пользователя при помощи команды useradd:
Ниже представлена команда для создания пользователя по имени «quincy». Флаг -m нужен для создания домашней директории пользователя (для ее названия используется имя пользователя). Флаг -p позволяет задать пароль для пользователя, в данном случае — «p4ssw0rd».
Позже пользователь сможет изменить свой пароль при помощи команды passwd. Для этого ему понадобится ввести текущий пароль и новый.
Добавление пользователя в группу
Для добавления пользователя в группу используется команда usermod. Давайте добавим пользователя «quincy» в группу «writers». Опция -a означает «append» («добавить», «прикрепить»), а опция -G служит для указания названия вторичной группы.
Когда вы создаете пользователя при помощи команды adduser, для него автоматически создается первичная группа, носящая его имя. Поэтому в настоящее время пользователь «quincy» состоит в первичной группе «quincy» и вторичной «writers».
Также можно добавить пользователя сразу в несколько групп, перечислив их через запятую без пробелов (-G group1,group2,group3).
А эта команда изменит первичную группу пользователя quincy на группу «editors»:
Удаление пользователя из вторичной группы
Чтобы удалить пользователя из вторичной группы, нужно перезаписать список групп пользователя, задав набор групп, в котором не будет этой вторичной группы.
При помощи команды id смотрим, в каких группах состоит пользователь (опция -n нужна для вывода названий групп, а не их ID).
Предположим, мы увидели, что пользователь quincy состоит в группах «editors» и «writers». Если мы хотим удалить его из группы «writers», мы можем воспользоваться следующей командой:
Эта команда очень похожа на ту, которой мы установили для пользователя quincy вторичную группу «editors». Но поскольку мы сейчас не использовали флаг -a, предыдущий список групп просто перезаписался, и теперь в нем нет группы «writers».
Заключение
Теперь вы можете начать управлять группами и пользователями. Следующий шаг — определить, какие привилегии должны быть у каждой группы.
Записки IT специалиста
Технический блог специалистов ООО»Интерфейс»
- Главная
- Linux — начинающим. Часть 6. Управление пользователями и группами. Практика
Linux — начинающим. Часть 6. Управление пользователями и группами. Практика
- Автор: Уваров А.С.
- 24.01.2020
В прошлом материале нашего цикла мы рассмотрели теоретические аспекты системы управления пользователями в Linux и теперь, располагая багажом необходимых знаний, можно переходить к практике. Несмотря на то, что мы традиционно рассматриваем работу в системах основанных на Debian, данный материал будет полезен пользователям любого Linux-дистрибутива, так как работа с учетными записями пользователей везде построена одинаково. Именно поэтому мы будем рассматривать только работу в командной строке, так как она предоставляет единый и универсальный интерфейс вне зависимости от используемого окружения.
Создание пользователей
Для создания пользователей используется команда useradd, но не будем спешить с ее применением, сначала ознакомимся с используемыми по умолчанию параметрами, для этого выполните:
Здесь мы можем увидеть место размещения домашних каталогов, оболочку по умолчанию и каталог с шаблоном домашней директории /etc/skel. Эта директория будет полностью скопирована в директорию нового пользователя и содержит базовые настройки окружения пользователя. Вы можете воспользоваться этим, если вам нужно формировать определенную структуру домашних каталогов или применять какие-либо специфичные настройки. При этом не рекомендуется вносить изменения в оригинальный /etc/skel, рекомендуется сделать его копию (можно и не одну) в которую внести все необходимые изменения.
Также обратите внимание на параметр:
Но как нам известно в Debian пользовательские группы начинаются с 1000, а в RHEL c 500, поэтому в современных системах этот параметр игнорируется. Все параметры, кроме SKEL, могут быть изменены, но практический смысл это имеет только для HOME и SHELL.
Скажем вы настраиваете многопользовательский веб-сервер и хотите создавать домашние директории в каталоге веб-сервера, в этом случае можно выполнить:
А для изменения командной оболочки:
Чтобы добавить нового пользователя введите:
Ключ -m предписывает создать домашний каталог пользователя. Это самый простой вариант использования, но при использовании дополнительных ключей мы можем сразу задать или переопределить многие параметры пользователя. Получить их список можно командой:
Приведем некоторые из них:
- -b — задает домашний каталог пользователя
- -c — комментарий к учетной записи
- -g — задает основную группу пользователя
- -G — задает дополнительные группы
- -m — создать домашний каталог пользователя
- -N — не создавать группу с именем пользователя
- -k — путь к каталогу шаблона домашней директории (по умолчанию /etc/skel)
- -s — командная оболочка
Этой командой мы создадим пользователя ivanov, которому назначим домашнюю директорию в /var/www/ivanov, для которой будет использован шаблон из /etc/myskel, включим его в основную группу webuser и дополнительную www-data. Также запретим ему интерактивный вход в систему, назначив оболочкой /sbin/nologin.
Созданная учетная запись будет заблокирована до тех пор, пока мы не установим для нее пароль, это можно сделать следующей командой:
которая установит пароль к учетной записи ivan. Для блокировки пароля используйте:
Но учтите, что данная блокировка распространяется только на вход по паролю, если у пользователя настроены иные способы входа, скажем по SSH-ключу, то доступ в систему с их помощью сохранится. Поэтому данный способ следует использовать в тех случаях, когда есть подозрение на компрометацию пароля, но в полной блокировке учетной записи нет необходимости. Для разблокировки потребуется заново установить пароль.
Изменение пользователей
Для того, чтобы изменить параметры уже существующей учетной записи используется команда usermod, для ознакомления с ее возможностями получим список ключей командой
Приведем некоторые из них:
- -c — изменить комментарий
- -d — новый домашний каталог
- -g — новая основная группа
- -G — новые дополнительные группы
- -a — добавить пользователя в дополнительные группы, не удаляя из других групп, используется совместно с ключом -G
- -l — новое имя учетной записи
- -L — блокировать учетную запись
- -m — переместить содержимое домашнего каталога, используется только вместе с —d
- -U — разблокировать учетную запись
Данная команда создаст новый комментарий к учетной записи и добавит пользователя ivan в дополнительную группу sudo.
Удаление пользователей
Для удаления учетной записи пользователя используется команда userdel, например:
которая удалит учетную запись vasya.
Команда имеет дополнительные ключи, которые также можно просмотреть, запустив ее с ключом -h, практическую пользу представляют два из них:
- -r — удалить домашний каталог пользователя
- -f — удалять файлы, даже если они не принадлежат пользователю
На практике оба ключа обычно используются совместно, но будьте осмотрительны и перед удалением убедитесь, что удаляемые данные не нужны другим пользователям. Чтобы удалить пользователя вместе со всеми данными выполните:
При этом будет удален не только рабочий каталог, но и сообщения электронной почты пользователя, если таковые были в системе.
Управление группами пользователей
Для управления группами используется аналогичный набор команд: groupadd, groupmod и groupdel. Их ключи также можно посмотреть, запустив их с параметром -h.
Для создания группы используйте:
Из дополнительных ключей имеют практический смысл:
- -g — использовать указанный GUID
- -f — завершить команду без ошибки если группа с таким именем уже существует и отменить действие -g, если указанный GUID уже используется.
При помощи команды usermod мы можем изменить GUID и наименование группы, скажем:
Данная команда переименует группу office в группу sales. Используемые ключи:
- -g — изменить GUID группы
- -n — изменить наименование группы
Ну и наконец groupdel, который используется для удаления групп:
Из параметров можно использовать:
- -f — удалить группу, даже если она является основной для пользователя
При удалении групп всегда нужно проявлять осмотрительность и не следует удалять группы, в которых состоят пользователи. Если же такая необходимость существует, то следует предварительно вывести из группы пользователей и изменить группу для всех объектов, которыми владела удаляемая группа.
Управление членством пользователей в группах
Управлять членством пользователей в группах можно различным образом. Выше мы уже приводили примеры с использованием usermod, для изменения основной группы пользователя используйте:
Данная команда изменит основную группу пользователя ivan на office. Для добавления в дополнительные группы следует выполнить команду:
Которая добавит пользователя ivan в группы office и sales.
Также существует и другая команда gpasswd, которая позволяет не только добавлять, но и удалять членство пользователей в группах. Для добавления пользователя в группу используйте:
Данная команда добавить пользователя ivan в группу office. Для удаления членства выполните:
Для того, чтобы проверить членство пользователя в группах используйте команду:
где ivan — имя пользователя.
Чтобы быстро удалить пользователя из всех дополнительных групп используйте:
Как видим, управление пользователями и группами в Linux не такое уж и сложное дело, особенно когда вы понимаете, что значит тот или иной параметр и для чего вы это делаете.
Как создать группы в Linux (команда groupadd)
Главное меню » Операционная система Linux » Как создать группы в Linux (команда groupadd)
В этой статье мы поговорим о том, как создавать новые группы в Linux, используя команду groupadd.
Синтаксис команды groupadd
Общий синтаксис команды groupadd выглядит следующим образом:
Только root или пользователь с привилегиями sudo могут создавать новые группы.
При вызове groupadd создает новую группу с использованием параметров, указанных в командной строке, а также значений по умолчанию, указанных в файле /etc/login.defs.
Создание группы в Linux
Для создания нового типа группы, после команды groupadd следует имя пользователя.
Например, чтобы создать новую группу с именем, andreyexgroup, вы должны выполнить:
Команда добавляет запись для новой группы к файлам /etc/group и /etc/gshadow.
Как только группа создана, вы можете начать добавлять пользователей в группу.
Если группа с таким именем уже существует, система выведет сообщение об ошибке, подобное следующему:
Чтобы подавить сообщение об ошибке, если группа существует, и успешно завершить команду, используйте параметр -f( –force):
Создание группы с определенным GID
В Linux и Unix-подобных операционных системах группы идентифицируются по их имени и уникальному GID (положительное целое число).
По умолчанию при создании новой группы система назначает следующий доступный GID из диапазона идентификаторов групп, указанных в файле login.defs.
Используйте опцию -g( –gid), чтобы создать группу с определенным GID.
Например, чтобы создать группу с именем andreyexgroupGID 1010, введите:
Вы можете проверить GID группы, перечислив все группы и отфильтровав результат с помощью grep:
Если группа с данным GID уже существует, вы получите следующую ошибку:
При использовании с параметром -o( –non-unique) команда groupadd позволяет создать группу с неуникальным GID:
Создание системной группы
Нет реальной технической разницы между системной и обычной (нормальной) группой. Обычно системные группы используются для каких-то особых системных операций, таких как создание резервных копий или обслуживание системы.
GID системных групп выбирается из диапазона UD системных групп, указанного в файле login.defs, который отличается от диапазона, используемого для обычных групп.Используйте опцию -r( –system) для создания системной группы. Например, чтобы создать новую системную группу с именем, mysystemgroupвы должны выполнить:
Переопределение /etc/login.defs значений по умолчанию
Опция -K( –key), за которой следует, KEY=VAL позволяет переопределить значения по умолчанию, указанные в файле /etc/login.defs.
По сути, все, что вы можете переопределить, – это максимальное и минимальное значения идентификаторов обычной и системной групп для автоматического выбора GID при создании новой группы.
Допустим, вы хотите создать новую группу с GID в диапазоне от 1200 до 1500. Для этого укажите минимальные/максимальные значения, как показано ниже:
Создание системной группы с паролем
Добавление пароля в группу не имеет практического применения и может вызвать проблемы с безопасностью, так как пароль должен знать более одного пользователя.
Параметр -p( –password), за которым следует пароль, позволяет вам установить пароль для новой группы:
Заключение
В Linux вы можете создавать новые группы с помощью команды groupadd.
Те же инструкции применимы для любого дистрибутива Linux, включая Ubuntu, CentOS, RHEL, Debian, Fedora и Arch Linux.
Не стесняйтесь оставлять комментарии, если у вас есть какие-либо вопросы.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Linux создать группу пользователей
Создание новой группы в системе
Этой командой можно создать новую группу пользователей (далее группу) group в системе:
groupadd group
Добавление нового пользователя в систему
Нового пользователя user можно добавить командой :
useradd user
Он автоматически будет помещен в индивидуальную группу, названную в честь его.
Чтобы добавить пользователя user в уже существующую группу group прописываем:
useradd -G group user
Этой командой пользователя можно добавить сразу в несколько групп. Для этого имена групп перечисляем через запятую.
Для добавления пользователя в новую группу, с именем отличным от имени пользователя, выполняем следующее:
useradd -g groupname user
Эта группа для пользователя будет являться основной.
Задание пароля пользователю
Пароль для пользователя user задается командой:
passwd user
Эта команда попросит ввести пароль дважды. Никогда не оставляйте пользователя без пароля!
Иногда необходимо запретить пользователю вход в систему. Например если нужен доступ только к сетевому общему ресурсу. (Подробнее об этом написано здесь.) Для этого следует изменить файл passwd следующей командой:
nano /etc/passwd
В поле пароля добавляю символ звездочки «*» перед самим паролем (подробнее этот файл описан в конце статьи). Сохраняем сделанные изменения и выходим клавишами Ctrl+X, клавишей Y подтверждаем наш выбор.Для большей безопасности этот файл можно отредактировать командой vipw. Чтобы выйти из редактора с сохранением изменений требуется выполнить :wq. Для выхода без сохранения изменений прописываем :q или :q!, если были произведены какие либо изменения.
Файлы с информацией о пользователях
Следующая информация приведена для лучшего понимания создания пользователей системы и более тонкой настройки. Для редактирования пользователей в большинстве случаев будет проще использовать команду usermod. Подробнее об этой команде можно узнать выполнив man usermdod . Обычно для добавления и редактирования пользователя достаточно выше приведенных команд.
Вся информация о пользователях системы и о группах хранится в следующих файлах:
— /etc/passwd в этом файле содержится весь список пользователей, о которых известно системе. Каждая строка этого файла описывает пользователя и содержит семь полей, в которых указана пользовательская информация. Поля разделены двоеточиями.
1. Регистрационное имя пользователя;
2. Шифрованный пароль пользователя (никогда не оствляйте это поле пустым);
3. Идентификатор пользователя (UID);
4. Идентификатор группы (GID);
5. Поле GECOS, в котором можно указать полное имя пользователя, рабочий домашний телефон, место работы и прочее;
6. Путь к домашнему каталогу;
7. Регистрационная оболочка.
— /etc/shadow здесь хранятся пароли в зашифрованном виде. Этот файл доступен суперпользователю только для чтения. Каждая строка соответствует одному пользователю. В нем содержится девять полей, разделенных двоеточиями:
1. Регистрационное имя пользователя;
2. Зашифрованный пароль пользователя;
3. Дата последнего изменения пароля;
4. Минимальное число дней между изменениями пароля;
5. Максимальное число дней между изменениями пароля;
6. Количество дней до предупреждения об окончании действия пароля;
7. Количество дней до окончания действия пароля;
8. Срок действия учетной записи;
9. Зарезервированное пустое поле, которое не используется.
Поля дат в данном файле заполняются числом дней, прошедших от 1 января 1970 года. Обязательно заполнены должны быть первые два поля!
— /etc/group содержит список групп и имена пользователей, входящие в эти группы. Подобно предыдущим файлам каждая строка соответствует одной группе и имеет четыре поля, которые разделены двоеточиями:
1. Имя группы;
2. Зашифрованный пароль или символ x указывающий на использование файла gshadow (когда для подключения пользователя к группе с помощью утилиты newgrp нужно ввести пароль);
3. Идентификатор группы (GID);
4. Список членов данной группы, которые разделены запятой.
