gpasswd
gpasswd指令用來管理組文件“/etc/group”和“/etc/gshadow”,每個組可以設置管理員、組員、密碼。系統管理員可以使用-A選項定義組管理員,使用-M選項定義成員。他們擁有組管理員和成員的所有權利。由具有組名的組管理員調用的gpasswd只提示輸入組的新密碼。如果設置了密碼,則成員仍然可以在沒有密碼的情況下使用newgrp(1),而非成員必須提供密碼。
組密碼是一個固有的安全問題,因爲允許多個人知道密碼。然而,羣組是允許不同用戶之間合作的有用工具。
警告,此工具僅對“/etc/group”和“/etc/gshadow”文件進行操作。因此,您不能更改任何NIS或LDAP組。這必須在相應的服務器上執行。
此命令的適用範圍:RedHat、RHEL、Ubuntu、CentOS、SUSE、openSUSE、Fedora。
1、語法
gpasswd [選項] group
2、選項列表
選項 | 說明 |
--help | 顯示幫助文檔 |
--version | 顯示命令版本 |
-a | --add user | 向組中添加用戶 |
-d | --delete user | 刪除成員 |
-r | --remove-password | 刪除組密碼 |
-R | --restrict | 限制對命名組的訪問。只允許組成員使用newgrp加入命名組。 |
-M | --members user,... | 向組添加多個成員 |
-A | --administrators user,.. | 設置組管理員 |
3、配置
下面“/etc/login.defs”中的配置變量更改了該工具的行爲:
ENCRYPT_METHOD(string),這定義了用於加密密碼的系統默認加密算法(如果命令行上沒有指定算法)。可用的算法有:DES(默認)、MD5、SHA256、SHA512。注意:此參數重寫MD5_CRYPT_ENAB變量。
MAX_MEMBERS_PER_GROUP(number),每個組條目的最大成員數。達到最大值時,在/etc/group中啓動一個新的組條目(行)(具有相同的名稱、相同的密碼和相同的GID)。默認值爲0,這意味着組中的成員數沒有限制。此功能(拆分組)允許限制組文件中的行長度。這對於確保NIS組的行不大於1024個字符非常有用。如果你需要執行這樣的限制,你可以使用25。注意:拆分組可能不支持所有的工具(即使在陰影工具集中)。除非你真的需要這個變量,否則你不應該使用它。
MD5_CRYPT_ENAB(boolean),指示是否必須使用基於MD5的算法加密密碼。如果設置爲“是”,新密碼將使用基於MD5的算法進行加密,該算法與FreeBSD最新版本使用的算法兼容。它支持無限長度的密碼和更長的鹽字符串。如果您需要將加密密碼複製到其他不瞭解新算法的系統,則設置爲“否”。默認爲否。該變量由ENCRYPT_METHOD變量或用於配置加密算法的任何命令行選項取代。不推薦這個變量。您應該使用ENCRYPT_METHOD。
SHA_CRYPT_MIN_ROUNDS(number)、SHA_CRYPT_MAX_ROUNDS(number),當Encrypt_Method設置爲SHA 256或SHA 512時,默認情況下這將定義加密算法使用的SHA輪數(當命令行上未指定輪數時)。有很多回合,這是比較困難的暴力強制密碼。但是還要注意的是,需要更多的CPU資源來對用戶進行身份驗證。如果沒有指定,libc將選擇默認的回合數(5000)。數值必須在1000-999999999範圍內。如果只設置了SHA_CRYPT_MIN_ROUNDS或SHA_CRYPT_MAX_ROUNDS中的一個,則將使用此值。如果SHA_CRYPT_MIN_ROUNDS>SHA_CRYPT_MAX_ROUNDS,則將使用最高值。
4、文件
/etc/group,組賬戶信息。
/etc/gshadow,安全組賬戶信息。
5、實例
1)將用戶user01 添加到組weijie
|
2)設置組管理員
|