Jak dodać użytkownika do grupy na RHEL 8 / Centos 8

Jak dodać użytkownika do grupy na RHEL 8 / Centos 8

W kontekście mechanizmu uznaniowego kontroli dostępu (DAC) dostęp do zasobów systemowych, plików i katalogów opiera się na tożsamości użytkowników i na grupach, w których są członkami. Ten rodzaj kontroli dostępu jest nazywany „uznaniami”, ponieważ użytkownik może wykonywać własne decyzje polityczne (oczywiście ograniczone własnymi uprawnieniami). W tym samouczku zobaczymy, jak dodać użytkownika do grupy i jaka jest różnica między grupą pierwotną i wtórną w systemie RHEL 8 / Centos 8 Linux.

W tym samouczku nauczysz się:

  • Jaka jest różnica między grupą pierwotną i wtórną
  • Jak dodać użytkownika do grupy za pomocą polecenia Usermod
  • Jak dodać użytkownika do grupy bezpośrednio z VIGR


Jak dodać użytkownika do grupy w RHEL8

Zastosowane wymagania i konwencje oprogramowania

Wymagania oprogramowania i konwencje linii poleceń Linux
Kategoria Wymagania, konwencje lub wersja oprogramowania
System RHEL 8 / CENTOS 8
Oprogramowanie Nie jest potrzebne specjalne oprogramowanie, aby śledzić ten samouczek
Inny Pozwolenie na uruchomienie polecenia z uprawnieniami root.
Konwencje # - Wymaga, aby podane polecenia Linux są wykonywane z uprawnieniami root bezpośrednio jako użytkownik root lub za pomocą sudo Komenda
$ - Wymaga, aby podane polecenia Linux zostały wykonane jako zwykły użytkownik niepewny

Co to jest grupa?

Linux, oparty na UNIX, to system operacyjny wielu użytkowników: wielu użytkowników istnieje i jednocześnie udostępnia zasoby w systemie. Na najprostszym poziomie dostęp do tych zasobów zarządza użycie DAC (dyskrecjonalna kontrola dostępu) Model. Na przykład dostęp do plików i katalogów opiera się na tożsamości użytkownika i na grupy Jest członkiem. W tym samouczku zobaczymy, jak dodać użytkownika do istniejącej grupy na komputerze Red Hat Enterprise Linux 8.



Grupy pierwotne i wtórne

W dzisiejszych czasach Red Hat, podobnie jak prawie wszystkie inne główne dystrybucje Linux, używa schematu, który nazywa się UPG, lub grupa prywatna użytkownika: za każdym razem, gdy tworzy się nowy użytkownik, automatycznie tworzy się także nowa grupa o tej samej nazwie użytkownika, a użytkownik staje się jego jedynym członkiem. To jest tak się nazywa podstawowy Lub prywatny Grupa.

Każdy użytkownik ma własną grupę podstawową, nazwaną imieniem, bez innych członków. Ta konfiguracja umożliwia zmianę domyślnej Umask Wartość: Tradycyjnie tak było 022 (to znaczy 644 uprawnienia do plików i 755 W przypadku katalogów), teraz zwykle jest to ustawione 002 (664 uprawnienia do plików i 775 dla katalogów).

Ponieważ, domyślnie, każdy plik lub katalog utworzony przez użytkownika jest tworzony z grupą podstawową tego użytkownika, ta konfiguracja, jednocześnie zachowanie bezpieczeństwa (użytkownik może nadal modyfikować tylko własne pliki), upraszcza udostępnianie zasobów i współpracę między użytkownikami, którzy są członkami członków ta sama grupa, gdy używany jest bit setgid, umożliwiając uprawnienia do zapisu dla grupy.

Możemy uzyskać listę grup, z których użytkownik jest członkiem, korzystając z grupy Komenda:

$ grupy Egdoc Wheel 

Jak możemy obserwować na podstawie wyjścia polecenia, bieżący użytkownik, EGDOC, należy do EGDOC grupa, która jest własną grupą podstawową i do koło grupa, która sprawia, że ​​może uruchamiać polecenia sudo, i tak się nazywa grupa wtórna: Grupa opcjonalna, która nie jest domyślnie powiązana z użytkownikiem.

Dodaj użytkownika do grupy za pomocą Usermoda

Chociaż użytkownik jest jedynym członkiem swojej grupy podstawowej, możemy chcieć dodać użytkownika do grupy dodatkowej, być może aby zapewnić mu dostęp do pewnego rodzaju zasobów. Powiedzmy na przykład test użytkownik i chcemy dodać go do istniejącej grupy Linuxconfig: Najłatwiejszym i zalecanym sposobem wykonania tego zadania jest użycie Usermod Komenda:

$ sudo usermod -a -g test Linuxconfig


Sprawdźmy opcje, które użyliśmy. Usermod narzędzie, zmodyfikujmy konto użytkownika; Korzystając z niego, możemy wykonywać szeroki zakres operacji, takich jak zmiana katalogu domowego użytkownika, ustalając datę ważności jego konta lub natychmiastowe zablokowanie. Polecenie pozwól nam również dodać użytkownika do istniejącej grupy. Opcje, których użyliśmy w tym przypadku -G (Krótkie dla --grupy) I -A, (która jest krótką formą --dodać).

Opcja -g lub -groups pozwól nam podać listę grup dodatkowych oddzielonych przecinkami, użytkownik powinien być członkiem. Jak powiedzieliśmy wcześniej, każda dostarczona grupa musi już istnieć w systemie. Jedną bardzo ważną rzeczą do zapamiętania jest to, że lista dostarczonych grup jest interpretowana inaczej, czy -A Opcja jest również podana lub nie: w pierwszym przypadku lista jest interpretowana jako grupy uzupełniające, do których użytkownik powinien być dodany oprócz tych, których jest już członkiem; kiedy -A Opcja nie jest dostarczana, zamiast tego lista jest interpretowana jako bezwzględna lista grup, które użytkownik powinien być członkiem. Jak stwierdzono na stronie polecenia, w tym drugim przypadku, jeśli użytkownik jest obecnie członkiem grupy, która nie jest częścią listy podanej na polecenie, zostanie usunięta z tej grupy!

„Test” użytkownika jest teraz członkiem grupy „LinuxConfig”. Sprawdźmy to:

Test testu grup $ sudo: test Linuxconfig 

Dodaj użytkownika do grupy bezpośrednio

Za pomocą Usermod to najłatwiejszy sposób na dodanie użytkownika do grupy. Ze względu na kompletność zbadamy teraz inny sposób wykonania tego samego zadania, używając vigr polecenie Linux. To polecenie pozwól nam edytować /etc/grupa I /etc/gshadow pliki bezpośrednio, również blokując je, gdy są otwarte, aby zapobiec ich uszkodzeniu i zapewnienia spójności.

Wersja „cienia” pliku (/etc/gshadow) jest modyfikowana tylko wtedy, gdy -S używana jest opcja. Aby dodać naszego użytkownika „testowego” do grupy „LinuxConfig” za pomocą tej metody, powinniśmy uruchomić vigr polecenie jako Superuser: The /etc/grupa Plik zostanie otwarty w domyślnym edytorze (zwykle vi):



[…] Chory: X: 993: EGDOC: X: 1000: CGRED: X: 992: Docker: X: 991: Apache: X: 48: Test: X: 1001: Test Linuxconfig: x: 1002: […] 

Składnia używana do reprezentowania każdej grupy jest następująca:

nazwa grupy: grupa-pass słów: grupa-id: użytkownicy

Pola są oddzielone dwukropkiem: pierwsza to nazwa grupy, drugie to „hasło” grupy (które zwykle nie jest ustawione), a trzecie pole to The Treat Pole KOŁOWACIZNA lub grupa-id. Ostatnią pole to oddzielona przecinek lista członków grupy. Aby dodać naszego użytkownika „testowego” do grupy „LinuxConfig”, powinniśmy zmodyfikować to pole, aby linia stała się:

Linuxconfig: x: 1002: test

Po przeprowadzeniu zmiany możemy zapisać i zamknąć plik. Na terminalu pojawi się wiadomość:

Masz zmodyfikowane /etc /grupę. Może być konieczne zmodyfikowanie /etc /gshadow w celu spójności. Aby to zrobić, użyj polecenia „vigr -s”. 

Odkąd zmieniliśmy /etc/grupa Plik, wiadomość sugeruje, abyśmy zmienili również powiązany plik Shadow, czyli /etc/gshadow. Dla tych z was, którzy nie wiedzą, plik cienia, służy do przechowywania zaszyfrowanej wersji informacji, które nie byłyby bezpieczne do przechowywania w formularzu PlainText. Na przykład, jak widzieliśmy wcześniej, X jest zgłaszany w /etc/grupa Plik, zamiast opcjonalnego hasła grupy; Hashed wersja hasła, jeśli istnieje, byłaby przechowywana w pliku cienia.

Teraz dokonajmy tej samej zmiany, którą dokonaliśmy wcześniej, do /etc/gshadow plik, aby był zsynchronizowany z /etc/grupa. Wszystko, co musimy zrobić, to zapewnić -S flaga do vigr Komenda:

$ sudo vigr -s

Po otwarciu pliku dokonujemy potrzebnej zmiany:

Linuxconfig:!::test

Następnie musimy wymusić pisanie tego pliku, ponieważ jest on tylko do odczytu: podczas używania vi, Możemy to zrobić, uruchamiając w! Komenda.



Alternatywnym sposobem na zsynchronizowanie dwóch plików jest użycie grpconv polecenie, które tworzy /etc/gshadow plik z /etc/grupa, i opcjonalnie z już istniejącego /etc/gshadow plik:

$ sudo grpconv

W tym momencie możemy zweryfikować spójność między dwoma plikami, uruchamiając:

$ sudo grpck

W tym momencie nie powinno być wyświetlane wyjściowe.

Wnioski

W tym samouczku widzieliśmy różnicę między grupą pierwotną i wtórną a tym, jakie są ich role w DAC Model. Widzieliśmy, jak możemy dodać użytkownika do grupy, używając Usermod polecenie, które jest zalecanym sposobem lub bezpośrednio za pomocą vigr komenda bezpiecznie edycja /etc/grupa I /etc/gshadow akta. Niezależnie od procedury, którą zdecydujesz się użyć do wykonania tego zadania administracyjnego, zawsze powinieneś zwrócić maksymalną uwagę.

Powiązane samouczki Linux:

  • Wprowadzenie do automatyzacji, narzędzi i technik Linuksa
  • Rzeczy do zainstalowania na Ubuntu 20.04
  • Rzeczy do zrobienia po zainstalowaniu Ubuntu 20.04 Focal Fossa Linux
  • Mastering Bash Script Loops
  • Mint 20: Lepsze niż Ubuntu i Microsoft Windows?
  • Zaawansowane rejestrowanie i audyt w systemie Linux
  • Jak utworzyć konto modyfikowania i usuwania użytkowników w systemie Linux
  • Linux Pliki konfiguracyjne: Top 30 Najważniejsze
  • Obsługa danych wejściowych użytkownika w skryptach Bash
  • Jak często musisz ponownie uruchomić serwer Linux?