Учетные записи пользователей и работа с ними

Подсистема разграничения доступа ОС Linux, наследующая экономные базовые принципы UNIX, не может зафиксировать права каждого из пользователей на каждый файловый объект. По отношению к каждому из файлов пространство пользователей делится на три неравные по численности категории: одного владельца файла, членов его основной группы и всех остальных зарегистрированных пользователей.

Пользователей в целях удобства администрирования можно объединять в группы, которым также присваиваются символьные имена и уникальные числовые идентификаторы GID (Group ID). Точнее: при правильном планировании вначале создаются группы, а затем в них включаются пользователи. Существование групп предусмотрено функционированием системных алгоритмов, и администратор должен это учитывать. Если иного не предусмотрено командой или настройками, при создании новой учетной записи пользователя автоматически создается новая группа, включающая этого пользователя и наследующая его имя. Настройками конфигурационных файлов могут предусматриваться группы, в которые пользователи включаются «по умолчанию», например users. Если этого не учитывать, зарегистрированные независимо друг от друга пользователи могут оказаться групповыми совладельцами файлов с конфиденциальной информацией.

Минимальная численность группы – один пользователь. Поэтому для учета GID в метаданных каждого файла также предусматриваются поля общим размером в 4 байта.

Для регистрации пользователей и создания групп требуются полномочия администратора. Новая группа создается командой

groupadd [–g GID] <group_name>

В этой команде в качестве аргумента минимально необходимо указать уникальное символьное имя новой группы, а номер ей по умолчанию присвоит система. GID = 0 присвоено группе администратора, а номера с 1 до 99 (эти значения устанавливаются в файле /etc/login.defs) обычно резервируются для псевдогрупп.

Группы совершенно равноправны, но по отношению к конкретному пользователю и его файлам группы могут быть основными и дополнительными. В командах useradd и usermod, которые упоминаются ниже, основная группа пользователя указывается после параметра –g, а дополнительные перечисляются после параметра –G. Основная группа для пользователя и его файлов единственна, а дополнительных групп может быть много. Пользователи, включенные в основную группу пользователя, обладают особыми правами на его файлы. Члены дополнительных групп, куда может входить пользователь, имеют общие права на его файлы. В то же время он сам по отношению к файлам пользователей, входящих в дополнительные группы, пользуется групповыми правами. В такой асимметрии заложена возможность разграничения доступа, когда одни пользователи должны иметь больше прав, чем другие.

Утилита groupmod имеет такие же параметры, но используется при необходимости модификации уже существующих групп. Впрочем, вся модификация сводится к изменению номера группыGID.

Информация о группах содержится в конфигурационном файле /etc/group. Часть этого файла приведена на рис. 1.1.