table of contents
other languages
gpasswd(1) | Пользовательские команды | gpasswd(1) |
НАЗВАНИЕ¶
gpasswd - управление /etc/group и /etc/gshadowСИНТАКСИС¶
gpasswd
[параметр]
группа
ОПИСАНИЕ¶
Программа gpasswd используется для управления файлом /etc/groupи /etc/gshadow. В каждой группе могут быть определены администраторы, члены и пароль. Системные администраторы могут использовать параметр -A, чтобы назначить группе администратора(ов) и параметр -M для определения списка членов, а также имеют все права администраторов и членов группы. Программа gpasswd, запущенная администратором группы с указанием в командной строке только имени группы, предложит назначить пароль группе. Если пароль не пустой, то для членов группы вызов newgrp(1) пароля не требует, а не члены группы должны ввести пароль.Замечания о паролях групп¶
Пароли групп имеют врождённую проблему с безопасностью, так как пароль знает более одного человека. Однако, группы являются полезным инструментом совместной работы различных пользователей.ПАРАМЕТРЫ¶
За исключением параметров -A и -M, параметры нельзя использовать вместе. Параметры команды gpasswd: -a, --add пользовательДобавить
пользователя
в
указанную
группу.
-d,
--delete пользователь
Удалить
пользователя
из
указанной
группы.
-h, --help
Показать
краткую
справку и
закончить
работу.
-Q, --root КАТ_CHROOT
Выполнить
изменения
в каталоге
КАТ_CHROOT и
использовать
файлы
настройки
из
каталога
КАТ_CHROOT.
-r, --remove-password
Удалить
пароль
указанной
группы.
Пароль
группы
будет
пустым.
Только
члены
группы
смогут
использовать
newgrp для
входа в
указанную
группу.
-R, --restrict
Ограничить
доступ к
указанной
группе.
Пароль
группы
становится
равным «!».
Только
члены
группы
имеющие
пароль
смогут
использовать
newgrp для
входа в
указанную
группу.
-A, --administrators
пользователь,
...
Задать
список
администраторов
группы.
-M,
--members пользователь,
...
Задать
список
членов
группы.
ПРЕДОСТЕРЕЖЕНИЯ¶
Данная утилита работает только с файлом /etc/groupи /etc/gshadow. Она не может изменить группу NIS или LDAP, это нужно делать на соответствующем сервере.НАСТРОЙКА¶
На работу этого инструмента влияют следующие переменные настройки из /etc/login.defs: ENCRYPT_METHOD (строка)Задаёт
системный
алгоритм
шифрования
по
умолчанию
для
шифрования
паролей
(используется,
если
алгоритм
не указан в
командной
строке).
Возможны
следующие
значения: DES
(по
умолчанию),
MD5, SHA256, SHA512.
Замечание:
этот
параметр
переопределяет
переменную
MD5_CRYPT_ENAB.
Замечание:
действует
только при
генерации
паролей к
группам.
Генерация
пользовательских
паролей
выполняется
PAM и там же
настраивается.
Рекомендуется
устанавливать
значение
этой
переменной
согласно
настройкам
PAM.
MAX_MEMBERS_PER_GROUP (число)
Максимальное
количество
членов в
записи о
группе. При
достижения
максимума
заводится
новая
запись
группы
(строка) в /etc/group
(с тем же
именем,
паролем и
тем же GID).
Значение
по
умолчанию
равно 0,
означающее,
что
ограничения
на
количество
членов в
группе нет.
Данная
возможность
(разделение
группы)
позволяет
ограничить
длину
строк в
файле
групп. Это
полезно
для
ограничения
длины
строк
групп NIS в 1024
символа.
Если вам
нужно
такое
ограничение,
укажите
значение 25.
Замечание:
разделение
групп
поддерживается
не всеми
инструментами
(даже в
наборе
инструментов
Shadow). Вы не
должны
использовать
эту
переменную,
если вам
действительно
это
ненужно.
MD5_CRYPT_ENAB
(логический)
Обозначает,
что пароль
должен
быть
зашифрован
по
алгоритму
на основе MD5.
Если
значение
равно yes, то
новые
пароли
будут
зашифрованы
по
алгоритму
на основе MD5,
совместимому
с
используемым
в новых
версиях FreeBSD.
Он
поддерживает
пароли
неограниченной
длины и
имеет
более
длинную
строку
соли.
Установите
в no, если вам
нужно
копировать
шифрованные
пароли в
другие
системы,
которые не
поддерживают
новый
алгоритм.
По
умолчанию
no.
Эта
переменная
переопределяется
переменной
ENCRYPT_METHOD или
любым
параметром
командной
строки,
который
задаёт
алгоритм
шифрования.
Эта
переменная
устарела;
используйте
ENCRYPT_METHOD.
Замечание:
действует
только при
генерации
паролей к
группам.
Генерация
пользовательских
паролей
выполняется
PAM и там же
настраивается.
Рекомендуется
устанавливать
значение
этой
переменной
согласно
настройкам
PAM.
SHA_CRYPT_MIN_ROUNDS (число),
SHA_CRYPT_MAX_ROUNDS (число)
Если
значение
ENCRYPT_METHOD равно SHA256
или SHA512, эта
переменная
определяет
количество
раундов SHA,
используемых
алгоритмом
шифрования
по
умолчанию
(если
количество
раундов не
задано в
командной
строке).
Увеличение
количества
раундов
повышает
сложность
подбора
пароля
простым
перебором.
Но заметим,
что при
этом для
аутентификации
пользователей
требуется
большее
количество
процессорных
ресурсов.
Если не
задана, то libc
выбирает
значение
количества
раундов по
умолчанию
(5000).
Значения
должны
лежать в
диапазоне
1000-999999999.
Если
задано
какое-то
одно
значение —
SHA_CRYPT_MIN_ROUNDS или
SHA_CRYPT_MAX_ROUNDS — то
будет
использовано
это
значение.
Если SHA_CRYPT_MIN_ROUNDS >
SHA_CRYPT_MAX_ROUNDS, то
используется
большее
значение.
Замечание:
действует
только при
генерации
паролей к
группам.
Генерация
пользовательских
паролей
выполняется
PAM и там же
настраивается.
Рекомендуется
устанавливать
значение
этой
переменной
согласно
настройкам
PAM.
ФАЙЛЫ¶
/etc/groupсодержит
информацию
о группах
/etc/gshadow
содержит
защищаемую
информацию
о группах
СМОТРИТЕ ТАКЖЕ¶
newgrp(1), groupadd(8), groupdel(8), groupmod(8), grpck(8), group(5), gshadow(5).05/17/2017 | shadow-utils 4.2 |