Поиск по сайту:

Как составить список всех пользователей в группе в Linux

В Linux файлы имеют три набора разрешений. Один набор предназначен для группы файлов. Прежде чем выделить файл группе, вы можете проверить, кто входит в группу.

Права доступа к файлам и каталогам

Файлы и каталоги в Linux имеют набор разрешений для владельца, другой набор для группы, которой назначен файл, и разрешения для всех, кто не входит ни в одну из двух предыдущих категорий.

Каждый набор разрешений определяет, могут ли члены этой категории читать, записывать или выполнять файл. В случае каталога действие выполнения эквивалентно возможности cd в каталог.

Группа по умолчанию для файла или каталога — это группа владельца по умолчанию. Обычно это человек, который его создал. Разрешения группы используются, чтобы разрешить группе пользователей контролировать доступ к файлам и каталогам других членов этой группы.

Например, у вас может быть команда разработчиков, группа документации, исследовательская группа и так далее. Членов каждой команды можно добавить в группу с подходящим названием для облегчения совместной работы. Пользователи могут состоять во многих группах одновременно.

Это простая, но надежная схема. Но если ваши файлы являются конфиденциальными, вам может быть удобнее проверить, кто является членами группы, прежде чем делиться с ними своей работой. Есть разные способы сделать это. Но обратите внимание. Два наиболее часто рекомендуемых метода проблематичны.

Файл /etc/groups

Файл «/etc/group» содержит разделенный двоеточием «:» список групп и членов группы. Каждая строка имеет четыре поля.

  • Имя: уникальное имя группы.
  • Пароль: не используется. Это всегда будет содержать «x».
  • Идентификатор группы: уникальный идентификатор группы.
  • Пользователи: список членов группы, разделенных запятыми. Список обычно пуст для учетных записей системы и демона.

Чтобы выгрузить содержимое файла в окно терминала, вы можете использовать cat, но удобнее иметь возможность прокручивать содержимое файла с помощью less.

less /etc/group

Большинство записей вверху списка не имеют членов, хотя в группе «adm» их два, а в группе «cdrom» — один.

Если мы хотим обнаружить группы, в которых состоит конкретный пользователь, мы можем использовать grep для поиска записей с именем его учетной записи пользователя. Это не наша задача. Мы хотим видеть всех, кто является членом группы, а не групп, к которым принадлежит один человек. Но нам поучительно взглянуть.

grep "dave" /etc/group

Записи, содержащие строку «dave», перечислены для нас. И спрятанный среди них знак того, что все может быть не так просто, как мы думали.

Когда пользователь добавляется в Linux, по умолчанию он помещается в группу с тем же именем, что и его учетная запись. Это их основная группа. Любые другие группы, в которые они добавлены, называются дополнительными группами.

Проблема в том, что пользователи не указаны как члены своих основных групп. Вот почему группа «dave» не показывает участников, хотя пользователь «dave» является членом этой группы.

Конечно, системные администраторы могут изменить основную группу любого пользователя на группу любой другой группы. Это означает, что пользователь может быть членом любой группы, но он не будет указан как таковой в файле «/etc/group». Это одна проблема.

Вторая проблема заключается в том, что файл «/etc/group» не является единственным источником правды. Современные установки Linux могут хранить информацию о пользователях и группах в большем количестве мест, чем в «/etc/passwd» и «/etc/group», особенно в корпоративных ситуациях, когда развернуты такие службы, как Lightweight Directory Access Protocol. Глядя только в одно место, вы, возможно, не видите общей картины.

В нашем тестовом сценарии мы создали четыре группы для отдела разработки. Они есть:

  • resteam: исследовательская группа.
  • devteam: команда разработчиков.
  • pvqteam: группа проверки и качества продукции.
  • docteam: группа документации.

Мы добавили людей в эти команды. Некоторые люди состоят более чем в одной команде. Если мы откроем файл «/etc/group» в less и прокрутим до конца файла, мы увидим новые группы и членов группы. По крайней мере, столько участников, сколько знает файл «/etc/group».

Если мы хотим извлечь одну группу, мы можем выполнить поиск с помощью grep. Знак «^» обозначает начало строки.

grep "^devteam" /etc/group

Это извлечет запись «devteam» из файла и перечислит всех членов группы. Или это так?

Команда getent

Команда getent проверяет информацию о группе пользователей в нескольких базах данных, а не только в «/etc/group». Мы будем использовать getent, чтобы показать нам группы пользователей.

getent group

Использование getent с параметром group дает на этом тестовом компьютере те же результаты, что и использование файла «/etc/group». Это потому, что мы не используем LDAP или любую другую централизованную службу имен. Таким образом, getent не может ссылаться на другие источники.

Поэтому неудивительно, что результаты совпадают с результатами из файла «/etc/group». Возможно, то, что мы видим, действительно является реальностью ситуации. Может быть, все просто и — на этом компьютере — что видишь, то и получаешь? Давайте оставим за собой право судить об этом.

Команда getent может просмотреть для нас одну группу. Мы рассмотрим группу «devteam».

getent group devteam

Мы получаем точно такие же результаты, как и раньше. Однако есть способ копнуть глубже.

Команда крышки

Команда lid является частью набора инструментов libuser. Он уже был установлен на нашем тестовом компьютере с Fedora 36, но его нужно было установить на Ubuntu 22.04 и Manjaro 21.

Кроме того, команда называется lid в Fedora и Manjaro, но в Ubuntu вам нужно использовать libuser-lid.

Чтобы установить команду в Ubuntu, введите:

sudo apt install libuser

В Manjaro libuser устанавливается из AUR, поэтому вам нужно будет использовать ваш любимый помощник AUR. Мы использовали yay.

yay libuser

Вы можете использовать libuser-lid для отображения групповой информации о группах или пользователях. Чтобы отобразить группы, в которых состоит человек, передайте имя его учетной записи пользователя в командной строке. В Fedora и Manjaro не забудьте использовать lid вместо libuser-lid.

sudo libuser-lib dave

Чтобы просмотреть членов группы, используйте параметр -g (группа) вместе с названием группы.

sudo libuser-lid -g devteam

И вот, пользователь по имени «Фрэнсис» появился в списке. Это первый раз, когда мы видим его. Его нет в списке «/etc/group», и getent его тоже не обнаружил.

Давайте посмотрим на нескольких пользователей с командой groups.

groups abigail
groups hayden
groups francis

  • Пользователь abigail состоит в группе abigail и двух других группах, resteam и devteam.
  • Пользователь hayden состоит в группе hayden и двух других группах, pvqteam и docteam.
  • Пользователь francis входит в одну группу, группу devteam. Примечательно, что они не входят в группу под названием «Фрэнсис».

Мы знаем, что каждый пользователь должен быть членом основной группы и что по умолчанию основная группа имеет GID и имя, которые совпадают с UID пользователя и именем учетной записи. Казалось бы, что-то не так с пользователем «Фрэнсис».

Давайте воспользуемся командой id и посмотрим, что говорят нам UID и GID.

id abigail
id francis

Пользователь «abigail» имеет UID 1002 и GID 1002. Они находятся в трех группах, одна из которых называется «abigail». Его GID равен 1002. Это их основная группа по умолчанию.

Пользователь «francis» имеет GID 1019, что соответствует GID группы «devteam». Этому пользователю либо была назначена новая основная группа, либо группа «devteam» была установлена в качестве его основной группы, когда этот пользователь был добавлен в систему.

Кто бы это ни был, только libuser-lid обнаружил их и сообщил об их присутствии в группе «devteam».

Дьявол в деталях

Поэтому важно видеть подлинные детали.

Группы — отличный способ организовать совместную работу, если вы знаете, с кем вы ее открываете.