Группы в linux
Как просмотреть список пользователей и групп в Linux?
Одной из важнейших задач в системном администрировании является управление пользователями. Не менее важно также иметь чёткое представление и о самих пользователях. Точнее, об их учётных записях в системе. Администраторам приходится очень часто выяснять и проверять информацию о пользователях в разных ситуациях. О том, как это делается в системах Linux и будет рассмотрено в данной статье.
Просмотр пользователей
Учётные записи в системах Linux – это универсальные компоненты. Которые представляют собой как реальных пользователей, так и виртуальных. Последние предназначены для функционирования системных сервисов Linux, являющихся неотъемлемыми составляющими системы. Или же это могут быть служебные, дополнительно добавленные в систему сервисы, предназначенные для расширения её функционала.
Независимо от того, каким пользователям (реальным или виртуальным) принадлежат учётные записи, вся основная информация о них хранится в файле /etc/passwd. Каждая учётная запись в этом файле представлена одной строкой, разделённой на поля символами двоеточия. Например, просмотреть этот файл можно командой less:
Имя пользователя (учётной записи) содержится в первом поле. Поэтому, чтобы упростить восприятие вывода, когда нужно получить например, только список имён пользователей, можно использовать соответствующие инструменты, например команду cut (или аналогичные sed или awk):
Конечно, для того, чтобы различать принадлежность некоторых учётных записей к реальным или виртуальным пользователям, необходим некоторый опыт администрирования Linux или UNIX. Например, в приведённом выводе пользователь root – это суперпользователь. А пользователи daemon, bin, sys и sync – учётные записи, от имени которых работают системные сервисы.
Вообще, изначально по устоявшимся соглашениям, по-умолчанию в системах Linux принято придерживаться определённых правил для наименования учётных записей, обслуживающих системные или служебные процессы и/или сервисы. Так, например, для работы веб-сервера Apache обычно используется учётная запись www-data. Это очень важно для обеспечения и контроля безопасности системы. Таким образом легко разделять привилегии по функциональному признаку для пользователей. Такие же соглашения действуют и для наименования системных или служебных процессов. Тот же Apache обычно представляется процессами httpd или apache.
Просмотр пользовательских групп
Аналогично учётным записям, информация о всех группах пользователей хранится в одном файле /etc/group :
Первое, на что нужно обратить внимание, это то, что имена многих групп идентичны именам некоторых имеющихся в системе пользователей. И это не просто совпадение. Дело в том, что таким образом реализуется механизм частных пользовательских групп (UPG) в системе. Он заключается в том, что для пользователя создаётся одноимённая закрытая группа. Которая назначается этому пользователю как основная. Этот механизм позволяет использовать в системе общие каталоги (и вообще ресурсы) без вреда для безопасности. Для этого существует такой полезный инструмент в системе прав доступа как бит setgid. Смысл этого бита в том, что в каталоге, для которого он установлен, можно создавать файлы, принадлежащие тому же владельцу, что и сам каталог с битом setgid.
Просмотр активных пользователей
Информацию о том, какие пользователи активны в данный момент времени в системе позволяют команды «w» и «who». Первая по-умолчанию выводит более подробные данные о пользователях, например:
В первой строке указаны время старта системы, продолжительность её работы, количество активных пользователей, а также данные о средней загруженности системы за прошедшие 1, 5 и 15 минут. Далее следует список активных пользователей и используемых ими командах/процессах. Более подробно о работе команды «w» можно узнать на страницах интерактивного руководства, используя команду man w.
Заключение
В заключение стоит еще раз отметить, насколько легко при помощи простых команд можно получить подробное представление о пользовательской среде системы. При этом составить картину о действиях самих пользователей в данный момент времени. А также определить принадлежность групп и учётных записей. Важно понимать, что без умения находить информацию о пользователях нереально полноценно и гибко ими управлять. Что является важнейшей частью системного администрирования.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Как перечислить группы в Linux
В этой статье объясняется, как показать все группы, в которые входит пользователь. Мы также объясним, как составить список всех членов группы.
Linux группы
Пользователь может принадлежать к двум типам групп:
- Основная группа или группа входа – это группа, назначаемая файлам, которые создаются пользователем. Обычно имя основной группы совпадает с именем пользователя. Каждый пользователь должен принадлежать ровно к одной основной группе.
- Вторичная или дополнительная группа – используется для предоставления определенных привилегий группе пользователей. Пользователь может быть членом нуля или более вторичных групп.
Список всех групп, членом которых является пользователь
Есть несколько способов узнать группы, к которым принадлежит пользователь.
Основная группа пользователей хранится в файле /etc/passwd, а дополнительные группы, если таковые имеются, перечислены в файле /etc/group.
Один из способов найти группы пользователей – просмотреть содержимое этих файлов, используя cat, less или grep. Другой более простой вариант – использовать команду, цель которой – предоставить информацию о пользователях и группах системы.
Используя команду groups
Самая запоминающаяся команда для перечисления всех групп, в которые входит пользователь, это команда groups. При выполнении без аргумента команда выведет список всех групп, к которым принадлежит текущий зарегистрированный пользователь:
Первая группа является основной группой.
Чтобы получить список всех групп, к которым принадлежит конкретный пользователь, укажите в groups в качестве аргумента имя пользователя для команды:
Как и прежде, первая группа является основной.
Используя команду id
Команда id печатает информацию об указанном пользователе и его группах. Если имя пользователя не указано, отображается информация о текущем пользователе.
Например, чтобы получить информацию о пользователе, andreyex, вы должны набрать:
Команда покажет имя пользователя (uid), первичную группу пользователя (gid) и вторичные группы пользователя (groups)
Для печати только имен без идентификаторов пользователя и группы используйте опцию -n. Опция -g будет печатать только основную группу и -G все группы.
Следующая команда напечатает имена групп, в которые входит текущий пользователь:
Список всех членов группы
Чтобы вывести список всех членов группы, используйте команду getent group, за которой следует имя группы.
Например, чтобы узнать членов группы с именем developers, вы бы использовали следующую команду:
Если группа существует, команда напечатает группу и всех ее членов:
Если нет вывода, это означает, что группа не существует.
Список всех групп
Для просмотра всех групп, присутствующих в системе, просто откройте файл /etc/group. Каждая строка в этом файле представляет информацию для одной группы.
Другой вариант – использовать команду getent, которая отображает записи из баз данных, настроенных в /etc/nsswitch.conf, включая базу данных group, которую мы можем использовать для запроса списка всех групп.
Чтобы получить список всех групп, введите следующую команду:
Вывод такой же, как при отображении содержимого файла /etc/group. Если вы используете LDAP для аутентификации пользователя, getentотобразятся все группы из файловой базы данных /etc/group и базы данных LDAP.
Вы также можете использовать awk или cut для печати только первое поле, содержащее название группы:
Заключение
В этой статье вы узнали, как найти группы, в которые входит пользователь. Те же команды применимы для любого дистрибутива Linux, включая Ubuntu, CentOS, RHEL, Debian и Linux Mint.
Не стесняйтесь оставлять комментарии, если у вас есть какие-либо вопросы.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Группы пользователей Linux
Основа распределения прав доступа в операционной системе Linux лежит на понятии пользователь. Пользователю-владельцу файла выдаются определенные полномочия для работы с ним, а именно на чтение, запись и выполнение. Также отдельно устанавливаются полномочия на чтение, запись и выполнение для всех остальных пользователей. Поскольку в Linux все есть файлом, то такая система позволяет регулировать доступ к любому действию в этой операционной системе с помощью установки прав доступа на файлы. Но еще при создании Linux, разработчики поняли, что этого явно недостаточно.
Поэтому и были придуманы группы пользователей. Пользователи могут объединяться в группы, чтобы уже группам выдавать нужные полномочия на доступ к тем или иным файлам, а соответственно и действиям. В этой статье мы рассмотрим группы пользователей в Linux, рассмотрим зачем они нужны, как добавить пользователя в группу и управлять группами.
Что такое группы?
Как я уже сказал группы в Linux появились еще в самом начале разработки этой операционной системы. Они были разработаны для того, чтобы расширить возможности управления правами. Разберем небольшой пример, возьмем организацию в которой есть только один компьютер, у нас есть администраторы и пользователи. У каждого человека свой аккаунт на нашем компьютере. Администраторы могут настраивать систему, пользователям же лучше не давать воли, чтобы что-то не сломали. Поэтому администраторы объединяются в группу admin, и ей дается доступ ко всему оборудованию, реально же ко всем файлам в каталоге dev, а пользователи, объеденные в группу users, и этой группе дается возможность читать и записывать файлы в общий каталог, с помощью которого они могут обмениваться результатами своей работы. Мы могли бы назначать права для каждого пользователя отдельно разрешая ему доступ к тому или иному файлу, но это слишком неудобно. Поэтому и были придуманы группы. Говорите, да ничего, можно назначить? Ну а теперь представьте что наши пользователи — это процессы. Вот тут вся краса групп выходит на передний план, группы используются не столько для обеспечения доступа для пользователей, сколько для управления правами программ, особенно их доступом к оборудованию. Для сервисов создаются отдельные группы и пользователь, от имени которого запущен он, сервис может состоять в нескольких группах, что обеспечивает ему доступ к определенным ресурсам.
А теперь давайте рассмотрим как посмотреть группы linux.
Группы в Linux
Все группы, созданные в системе, находятся в файле /etc/group. Посмотрев содержимое этого файла, вы можете узнать список групп linux, которые уже есть в вашей системе. И вы будете удивлены.
Кроме стандартных root и users, здесь есть еще пару десятков групп. Это группы, созданные программами, для управления доступом этих программ к общим ресурсам. Каждая группа разрешает чтение или запись определенного файла или каталога системы, тем самым регулируя полномочия пользователя, а следовательно, и процесса, запущенного от этого пользователя. Здесь можно считать, что пользователь — это одно и то же что процесс, потому что у процесса все полномочия пользователя, от которого он запущен.
Давайте подробнее рассмотрим каждую из групп, чтобы лучше понимать зачем они нужны:
- daemon — от имени этой группы и пользователя daemon запускаютcя сервисы, которым необходима возможность записи файлов на диск.
- sys — группа открывает доступ к исходникам ядра и файлам include сохраненным в системе
- sync — позволяет выполнять команду /bin/sync
- games — разрешает играм записывать свои файлы настроек и историю в определенную папку
- man — позволяет добавлять страницы в директорию /var/cache/man
- lp — позволяет использовать устройства параллельных портов
- mail — позволяет записывать данные в почтовые ящики /var/mail/
- proxy — используется прокси серверами, нет доступа записи файлов на диск
- www-data — с этой группой запускается веб-сервер, она дает доступ на запись /var/www, где находятся файлы веб-документов
- list — позволяет просматривать сообщения в /var/mail
- nogroup — используется для процессов, которые не могут создавать файлов на жестком диске, а только читать, обычно применяется вместе с пользователем nobody.
- adm — позволяет читать логи из директории /var/log
- tty — все устройства /dev/vca разрешают доступ на чтение и запись пользователям из этой группы
- disk — открывает доступ к жестким дискам /dev/sd* /dev/hd*, можно сказать, что это аналог рут доступа.
- dialout — полный доступ к серийному порту
- cdrom — доступ к CD-ROM
- wheel — позволяет запускать утилиту sudo для повышения привилегий
- audio — управление аудиодрайвером
- src — полный доступ к исходникам в каталоге /usr/src/
- shadow — разрешает чтение файла /etc/shadow
- utmp — разрешает запись в файлы /var/log/utmp /var/log/wtmp
- video — позволяет работать с видеодрайвером
- plugdev — позволяет монтировать внешние устройства USB, CD и т д
- staff — разрешает запись в папку /usr/local
Теперь, когда вы знаете зачем использовать группы в linux и какие они есть по умолчанию, рассмотрим управление группами LInux.
Управление группами Linux
Управлять группами можно и с помощью графического интерфейса. В KDE есть программа Kuser специально предназначенная для этого, в Gnome это выполняется с помощью настроек системы. Кроме того, в популярных дистрибутивах есть отдельные инструменты, такие как YaST в OpenSUSE или Настройки Ubuntu. Но с графическим интерфейсом я думаю вы разберетесь. А мы рассмотрим управление группами linux через терминал. Сначала разберемся с файлами, а уже потом с пользователями.
При создании файла ему назначается основная группа пользователя который его создал. Это просто например:
Здесь вы можете видеть, что владелец всех папок sergiy и группа тоже sergiy. Правильно, так как эти пользователи были созданы мной. Но давайте пойдем дальше:
Здесь мы видим что дисковым устройствам sd* назначена группа disk, а это все значит, что пользователь, состоящий в этой группе, может получить к ним доступ. Или еще пример:
Все как мы рассматривали в предыдущем пункте. Но эти группы могут быть не только установлены системой, но и вы сами вручную можете менять группы файлов для этого есть команда chgrp:
chgrp имя_группы имя_файла
Например создадим файл test:
И изменим для него группу:
Теперь этот файл смогут прочитать все пользователи из группы adm.
Если вы хотите создать группу linux, это можно сделать командой newgrp:
sudo groupadd test
С пользователями ситуация немного сложнее. Пользователь имеет основную группу, она указывается при создании, а также несколько дополнительных. Основная группа отличается от обычных тем, что все файлы в домашнем каталоге пользователя имеют эту группу, и при ее смене, группа этих каталогов тоже поменяется. Также именно эту группу получают все файлы созданные пользователем. Дополнительные группы нужны, чтобы мы могли разрешить пользователям доступ к разным ресурсам добавив его в эти группы в linux.
Управление группами Linux для пользователя выполняется с помощью команды usermod. Рассмотрим ее синтаксис и опции:
$ usermod опции имя_пользователя
- -G — дополнительные группы, в которые нужно добавить пользователя
- -g изменить основную группу для пользователя
- -R удалить пользователя из группы.
Добавить пользователя в группу можно командой usermod:
sudo usermod -G -a имя_группы имя_пользователя
Можно добавить пользователя в группу linux временно, командой newgrp. Откроется новая оболочка, и в ней пользователь будет иметь нужные полномочия, но после закрытия все вернется как было:
sudo newgrp имя_группы
Для примера давайте добавим нашего пользователя в группу disk, чтобы иметь прямой доступ к жестким дискам без команды sudo:
sudo usermod -G -a disk sergiy
Теперь вы можете монтировать диски без команды sudo:
mount /dev/sda1 /mnt
Посмотреть группы linux, в которых состоит пользователь можно командой:
Также можно использовать команду id. В первом случае мы просто видим список групп linux, во втором дополнительно указанны id группы и пользователя. Чтобы включить пользователя в группу Linux, для основной группы используется опция -g:
sudo usermod -g test sergiy
Теперь все каталоги в домашней папке пользователя имеют группу test. Удалить пользователя из группы в linux можно той же командой с опцией R:
sudo usermod -R группа пользователь
Ну и наконец, удалить группу Linux можно командой:
sudo delgroup имя_группы
Выводы
Как видите, группы пользователей Linux не такое уж сложное дело. Вы можете в несколько команд добавить пользователя в группу linux или дать ему полномочия на доступ к определенным ресурсам. Если вы надумали изменять группы для системных устройств, тут все не так просто, но в этом вопросе вам поможет статья про правила udev в linux. Теперь управление группами Linux вам не кажется таким сложным. Если остались вопросы, пишите в комментариях!
Сведения о пользователях и группах в Linux
В этой статье рассмотрим где хранится информация о пользователях и группах.
Данная информация хранится в следующих файлах:
- /etc/passwd — хранит информацию о пользователях, доступен для просмотра всем пользователям.
- /etc/group — хранит информацию о группах, доступен для просмотра всем пользователям.
- /etc/shadow — хранит информацию о пользователях и их паролях, доступен только суперпользователю.
- /etc/gshadow — хранит информацию о группах и их паролях, доступен только суперпользователю.
Файлы представляют из себя базы данных. Каждая строка файла описывает одного пользователя/группу, поля разделяются двоеточием. Все файлы имеют связи друг с другом. имя пользователя связывает записи файлов /etc/passwd и /etc/shadow. Имя группы связывает записи файлов /etc/group и /etc/gshadow.
Для избегания некорректной работы файлов и системы в целом, рекомендуется использовать специальные программы для добавления пользователей и групп.
Сведения о п ользователях
Откроем файл /etc/passwd, для этого выполним команду:
Рассмотрим содержание файла.
При открытии, снизу появляется уведомление, о том, что файл предназначен для чтения. На данном снимке не видно, потому как я выделил строку и оно закрылось. Уведомление высвечивается, если файл открыт без прав суперпользователя. Посмотрим информацию и моём пользователе.
- anatolii — Имя пользователя
- x — Пароль. Здесь указывается специальный символ Х , который говорит о том, что пароль находится не в этом файле, а в теневом файле /etc/shadow.
- 1000 — Идентификатор пользователя. Идентификаторы до 1000 зарезервированы для использования системой и службами, свыше тысячи для пользователей. В некоторых дистрибутивах для пользователей используются значения от 500.
- 1000 — Идентификатор группы. По умолчанию, в ОС Linux для каждого нового пользователя создается новая группа с таким же именем и идентификатором. При создании можно указать, чтобы группа не создавалась, или присвоить членство в другой группе. Группы
хранятся в файле /etc/group, а поле идентификатора группы в файле /etc/passwd. Этот идентификатор не играет особой роли при определении прав доступа. Он используется лишь при создании новых файлов и каталогов. - anatolii. — Прочие сведения пользователя, указываются через запятую: полное имя, номер офиса и здания, рабочий телефон, домашний телефон.
- /home/anatolii — Домашняя папка пользователя. При создании пользователя можно не создавать её, либо создать её по другому пути. По умолчанию (/home/ваш логин)
- /bin/bash — Командная оболочка, которая запускается при входе.
Сведения о группах
С информацией о группах можно ознакомиться в файле /etc/group. Просмотреть его можно опять же командой nano /etc/group .
Тут наглядно видно уведомление, что файл только для чтения, о котором писал выше. Тут уже строчку не выделил, рассматривать будем на примере группы cdrom (вторая снизу).
- cdrom — имя группы
- x — пароль для группы. Знак X опять же информирует, о хранении пароля в теневом файле /etc/gshadow. У групп, практически никогда не используют пароли, но такая опция есть.
Для чего это нужно: Пример 1. Если пользователь будет менять членство группы, то у него запросится этот пароль. Пример 2. Если мы устанавливаем доступ на папку или файл группе, то при обращении к файлу или при переходе в папку, у нас запросят пароль.
- 24 — идентификатор группы
- anatolii — члены группы. Если после двоеточия пусто, то в эту группу входит только одноимённый пользователь. Пользователи указываются через запятую. Если в файле /etc/passwd пользователь является членом определённой группы, а в файле /etc/group он не включён в эту группу, то пользователь все равно включается в неё. На этапе регистрации членство в группе проверяется по обоим файлам, но лучше использовать команды, либо согласовывать их содержимое.
Минус файлов /etc/passwd и /etc/group в том, что по умолчанию у всех пользователей системы есть разрешение на чтение информации из них. Потому что разные демоны и службы обращаются к этим файлам, чтобы брать из них информацию. В этих файлах раньше хранился пароль пользователя, хоть он был и в зашифрованном виде, его всё равно можно было узнать, используя специальные программы.
Сейчас же используется механизм теневых паролей. Это файл /etc/shadow и /etc/gshadow. И как уже было отмечено выше, пользователи не могут их просмотреть, и уж тем более изменить, без прав суперпользователя.
Сведения о паролях пользователя
Посмотрим файл /etc/shadow, для это используем всё тот же редактор nano, но уже с правами суперпользователя:
Фундаментальные основы Linux. Часть VII. Управление локальными учетными записями пользователей
Глава 29. Группы пользователей
Учетные записи пользователей системы могут объединяться в рамках групп . Концепция групп пользователей позволяет устанавливать права доступа на уровне групп пользователей вместо установки аналогичных прав доступа для каждого отдельного пользователя.
В каждом дистрибутиве Unix или Linux имеется инструмент с графическим интерфейсом для управления группами пользователей. Пользователям, не имеющим опыта работы с данными системами, рекомендуется использовать именно эти инструменты. Более опытные пользователи могут использовать инструменты с интерфейсом командной строки для управления учетными записями пользователей, проявляя при этом осторожность: некоторые дистрибутивы не позволяют работать одновременно с инструментами для управления группами пользователей с графическим интерфейсом и интерфейсом командной строки (примером может служить инструмент YaST из состава дистрибутива Novell Suse). Опытные системные администраторы могут осуществлять непосредственное редактирование соответствующих файлов с помощью текстового редактора vi или утилиты vigr .
Утилита groupadd
Файл group
Первым полем в строке с описанием группы пользователей является имя группы. Во втором поле размещается (зашифрованный) пароль группы (это поле может быть пустым). В третьем поле размещается идентификатор группы или значение GID . Четвертое поле является списком членов группы, который в данном случае является пустым, так как в группах нет пользователей.
Команда groups
Утилита usermod
Проявляйте осторожность при использовании утилиты usermod для добавления пользователей в группы. По умолчанию утилита usermod будет удалять пользователя из всех групп, в которых он состоял, если имена данных групп не были переданы в составе команды! Использование параметра -a (append — дополнение) позволяет избежать данного поведения.
Утилита groupmod
Утилита groupdel
Утилита gpasswd
Утилита newgrp
Утилита vigr
По аналогии с утилитой vipw, утилита vigr может использоваться для редактирования файла /etc/group в ручном режиме, так как она осуществляет корректную блокировку этого файла в процессе редактирования. Текстовый редактор vi или утилита vigr может использоваться для управления группами пользователей исключительно опытными системными администраторами.
Практическое задание: группы пользователей
1. Создайте группы пользователей tennis, football и sports.
2. С помощью одной команды сделайте пользователя venus членом групп tennis и sports.
3. Переименуйте группу пользователей fotball в foot.
4. Используйте текстовый редактор vi для добавления пользователя serena в группу пользователей tennis.
5. Используйте команду id для того, чтобы убедиться, что пользователь serena состоит в группе пользователей tennis.
6. Сделайте кого-либо из пользователей ответственным за управление членством пользователей в группах foot и sports. Проверьте работоспособность использованного механизма.
Корректная процедура выполнения практического задания: группы пользователей
1. Создайте группы пользователей tennis, football и sports.
2. С помощью одной команды сделайте пользователя venus членом групп tennis и sports.
3. Переименуйте группу пользователей fotball в foot.
4. Используйте текстовый редактор vi для добавления пользователя serena в группу пользователей tennis.
5. Используйте команду id для того, чтобы убедиться, что пользователь serena состоит в группе пользователей tennis.
6. Сделайте кого-либо из пользователей ответственным за управление членством пользователей в группах foot и sports. Проверьте работоспособность использованного механизма.