Betriebssystem Linux
Die Datei /etc/gshadow
In mnchen modernen Unixen hat auch die Gruppenverwaltung ihre Passwörter in einer separaten Datei, eben /etc/gshadow. Die Felder sind wie üblich durch Dopelpunkte voneinander getrennt:Gruppenname: Passwort: Gruppenverwalter: Mitgliedsliste
Die einzelnen Felder haben folgende Bedeutung:
- Gruppenname
- Der Username, wie in /etc/passwd
- Passwort
- Das verschlüsselte Passwort. Fals hier nur ein * oder ein ! steht, bedeutet das, dass diese Gruppe kein Passwort hat.
- Gruppenverwalter
- Jede Gruppe kann einen Verwalter haben, der das Recht hat, andere Mitglieder aufzunehmen, Mitgliedschaften zu löschen oder das Passwort zu verändern. Deser Verwalter muß NICHT der Systemverwalter sein.
- Mitgliedsliste
- Eine durch Kommas getrennte Liste von Usernamen wie in /etc/group
Der Hauptvorteil dieser neuen Architektur ist die Tatsache, dass jede Gruppe ihren eigenen Verwalter haben kann und so eine gewisse Eigenständigkeit aufweisen kann, ohne immer den Systemverwalter zu brauchen um eine kleine Veränderung vorzunehmen. Das Programm gpasswd ermöglicht es dem Gruppenverwalter, diese Änderungen durchzuführen.
Die Gruppenpasswörter werden oft missverstanden. Wenn ein User in der Mitgliedsliste der Gruppe steht, muß er dieses Passwort weder wissen, noch braucht er es, um auf Dateien zuzugreifen, die dieser Gruppe angehören - er ist automatisch in der Gruppe.
Nur wenn ein User, der nicht als Gruppenmitglied eingetragen ist, dessen Username also nicht in der Datei /etc/group und /etc/gshadow in der Mitgliedsliste der Gruppe auftaucht, auf Dateien zugreifen will, die nur für Gruppenmitglieder dieser Gruppe lesbar sind, dann muß er sich mit dem Befehl newgrp kurzzeitig in ein Gruppenmitglied verwandeln. Dazu braucht er das Passwort, sonst könnte das ja jeder und die Sicherheit wäre dahin.
Wenn eine Gruppe in /etc/gshadow ein ! oder * im Passwortfeld aufweist, statt eines Passworts, dann gibt es für diese Gruppe kein Passwort. Das heißt aber eben NICHT, dass jeder User sich mit newgrp dort als Mitglied einschleichen kann, sondern dass KEIN User das kann, dass es nicht möglich ist.
[ Kurs Hauptseite ] [ Linux-Kurse ] [ Startseite Linux-Praxis ] © 1999, 2000, 2001 by F. Kalhammer