НАЗВАНИЕ

gpasswd - управление /etc/group и /etc/gshadow

СИНТАКСИС

gpasswd [параметр] группа

ОПИСАНИЕ

Программа gpasswd используется для управления файлом /etc/group и /etc/gshadow. В каждой группе могут быть определены администраторы, члены и пароль.

Системные администраторы могут использовать параметр -A, чтобы назначить группе администратора(ов) и параметр -M для определения списка членов, а также имеют все права администраторов и членов группы.

Программа gpasswd, запущенная администратором группы с указанием в командной строке только имени группы, предложит назначить пароль группе.

Если пароль не пустой, то для членов группы вызов newgrp(1) пароля не требует, а не члены группы должны ввести пароль.

Замечания о паролях групп

Пароли групп имеют врождённую проблему с безопасностью, так как пароль знает более одного человека. Однако, группы являются полезным инструментом совместной работы различных пользователей.

ПАРАМЕТРЫ

За исключением параметров -A и -M, параметры нельзя использовать вместе.

Параметры команды gpasswd:

-a, --add пользователь

Добавить пользователя в указанную группу.

-d, --delete пользователь

Удалить пользователя из указанной группы.

-h, --help

Показать краткую справку и закончить работу.

-Q, --root КАТ_CHROOT

Выполнить изменения в каталоге КАТ_CHROOT и использовать файлы настройки из каталога КАТ_CHROOT.

-r, --remove-password

Удалить пароль указанной группы. Пароль группы будет пустым. Только члены группы смогут использовать newgrp для входа в указанную группу.

-R, --restrict

Ограничить доступ к указанной группе. Пароль группы становится равным «!». Только члены группы имеющие пароль смогут использовать newgrp для входа в указанную группу.

-A, --administrators пользователь, ...

Задать список администраторов группы.

-M, --members пользователь, ...

Задать список членов группы.

ПРЕДОСТЕРЕЖЕНИЯ

Данная утилита работает только с файлом /etc/group и /etc/gshadow. Она не может изменить группу NIS или LDAP, это нужно делать на соответствующем сервере.

НАСТРОЙКА

На работу этого инструмента влияют следующие переменные настройки из /etc/login.defs:

ENCRYPT_METHOD (строка)

Задаёт системный алгоритм шифрования по умолчанию для шифрования паролей (используется, если алгоритм не указан в командной строке).

Возможны следующие значения: DES (по умолчанию), MD5, SHA256, SHA512.

Замечание: этот параметр переопределяет переменную MD5_CRYPT_ENAB.

Замечание: действует только при генерации паролей к группам. Генерация пользовательских паролей выполняется PAM и там же настраивается. Рекомендуется устанавливать значение этой переменной согласно настройкам PAM.

MAX_MEMBERS_PER_GROUP (число)

Максимальное количество членов в записи о группе. При достижения максимума заводится новая запись группы (строка) в /etc/group (с тем же именем, паролем и тем же GID).

Значение по умолчанию равно 0, означающее, что ограничения на количество членов в группе нет.

Данная возможность (разделение группы) позволяет ограничить длину строк в файле групп. Это полезно для ограничения длины строк групп NIS в 1024 символа.

Если вам нужно такое ограничение, укажите значение 25.

Замечание: разделение групп поддерживается не всеми инструментами (даже в наборе инструментов Shadow). Вы не должны использовать эту переменную, если вам действительно это ненужно.

MD5_CRYPT_ENAB (логический)

Обозначает, что пароль должен быть зашифрован по алгоритму на основе MD5. Если значение равно yes, то новые пароли будут зашифрованы по алгоритму на основе MD5, совместимому с используемым в новых версиях FreeBSD. Он поддерживает пароли неограниченной длины и имеет более длинную строку соли. Установите в no, если вам нужно копировать шифрованные пароли в другие системы, которые не поддерживают новый алгоритм. По умолчанию no.

Эта переменная переопределяется переменной ENCRYPT_METHOD или любым параметром командной строки, который задаёт алгоритм шифрования.

Эта переменная устарела; используйте ENCRYPT_METHOD.

Замечание: действует только при генерации паролей к группам. Генерация пользовательских паролей выполняется PAM и там же настраивается. Рекомендуется устанавливать значение этой переменной согласно настройкам PAM.

SHA_CRYPT_MIN_ROUNDS (число), SHA_CRYPT_MAX_ROUNDS (число)

Если значение ENCRYPT_METHOD равно SHA256 или SHA512, эта переменная определяет количество раундов SHA, используемых алгоритмом шифрования по умолчанию (если количество раундов не задано в командной строке).

Увеличение количества раундов повышает сложность подбора пароля простым перебором. Но заметим, что при этом для аутентификации пользователей требуется большее количество процессорных ресурсов.

Если не задана, то libc выбирает значение количества раундов по умолчанию (5000).

Значения должны лежать в диапазоне 1000-999999999.

Если задано какое-то одно значение — SHA_CRYPT_MIN_ROUNDS или SHA_CRYPT_MAX_ROUNDS — то будет использовано это значение.

Если SHA_CRYPT_MIN_ROUNDS > SHA_CRYPT_MAX_ROUNDS, то используется большее значение.

Замечание: действует только при генерации паролей к группам. Генерация пользовательских паролей выполняется PAM и там же настраивается. Рекомендуется устанавливать значение этой переменной согласно настройкам PAM.

ФАЙЛЫ

/etc/group

содержит информацию о группах

/etc/gshadow

содержит защищаемую информацию о группах

НАЗВАНИЕ

СИНТАКСИС

ОПИСАНИЕ

Замечания о паролях групп

ПАРАМЕТРЫ

ПРЕДОСТЕРЕЖЕНИЯ

НАСТРОЙКА

ФАЙЛЫ

СМОТРИТЕ ТАКЖЕ