「gpasswd(1)」-

  LINUX MANUAL PAGES

设置组管理员与组成员

命令语法格式

gpasswd [option] group

命令描述

命令gpasswd用于管理/ etc / group和/ etc / gshadow文件。 每个组都可以拥有管理员、成员、密码。

系统管理员可以使用-A选项定义组管理员,使用-M选项定义成员。管理员拥有组管理员和成员的所有权限。

具有组权限的组管理员执行的gpasswd命令时,仅提示输入该组的新密码。

如果设置了组密码,则组成员仍然可以在没有密码的情况下使用newgrp(1)命令,但是非组内成员必须提供密码。

关于组密码的注意事项

组密码是一个固有的安全问题,因为允许多个人知道密码。但是,组是允许不同用户之间合作的有用工具。

命令支持的选项及含义

命令gpasswd支持如下的选项:

-a, –add user
添加一个用户到指定的组group中。

-d, –delete user
从指定的组group中,删除一个用户。

-r, –remove-password
删除指定的组group中的密码。此时,组密码将为空。只有组成员被允许使用newgroup(1)来改变当前组。

-R, –restrict
限制对指定组group的访问。该命令将组密码设置为“!”。只允许具有密码的组成员使用newgrp加入指定的组。

-A, –administrators user,…
设置组管理员用户。

-M, –members user,…
设置组成员用户。

-Q, –root CHROOT_DIR
在CHROOT_DIR目录中应用更改,并使用CHROOT_DIR目录中的配置文件。

-h, –help
显示帮助信息并退出。

注意,除了-A与-M选项,剩余的选项不能结合使用。

注意事项

该命令只操作/etc/group和/etc/gshadow文件,因此不能修改NIS和LDAP中的组,必须在相应的服务器上操作。

配置文件

在/etc/login.defs中的以下配置变量会影响命令chgpasswd的行为:

ENCRYPT_METHOD (string)
定义了用于加密密码的系统默认加密算法(如果在命令行上未指定加密算法时使用)。它可以采用的值有:DES(默认),MD5,SHA256,SHA512。

注意:此参数会覆盖MD5_CRYPT_ENAB变量。

注意:这仅影响组密码的生成。用户密码的生成由PAM完成,并受PAM配置的约束。建议PAM配置与此变量保持一致。

MAX_MEMBERS_PER_GROUP (number)
每组条目的最大成员数。达到最大值时,将在/etc/group中创建新的组条目(行),并具有相同的名称、相同的密码、相同的GID值。

该属性默认值为0,表示组中的成员数没有限制。

此功能(拆分组)允许限制group文件中的行长度。这有助于确保NIS组的行不超过1024个字符。

如果你需要强制执行此类限制,则可以使用25。

注意:并不是所有工具都支持拆分组,即使在Shadow软件包中也有些工具不支持。除非确实有必要,否则不应使用此变量。

MD5_CRYPT_ENAB (boolean)
指示是否必须使用基于MD5的算法对密码进行加密。如果设置为yes,则使用与最近发布的FreeBSD版本兼容的基于MD5的算法来进行新密码的加密。它支持无限长度的密码和更长盐串。如果您需要将加密密码复制到其他不了解新算法的系统,请设置为no。默认为no。

此变量会被ENCRYPT_METHOD变量或用于配置加密算法的任何命令行选项替代。不推荐使用此变量。你应该使用ENCRYPT_METHOD。

注意:这仅影响组密码的生成。 用户密码的生成由PAM完成,并受PAM配置的约束。建议PAM配置与此变量保持一致。

SHA_CRYPT_MIN_ROUNDS (number), SHA_CRYPT_MAX_ROUNDS (number)
当ENCRYPT_METHOD设置为SHA256或SHA512时,这两个配置项定义了默认情况下加密算法使用的SHA轮数(当命令行中未指定轮数(-s)时)。

当轮次有很多时,暴力破解密码会更难。但请注意,在验证用户时也需要消耗更多的CPU资源。

如果仅设置了SHA_CRYPT_MIN_ROUNDS、SHA_CRYPT_MAX_ROUNDS值中的一个,则将使用此值。如果SHA_CRYPT_MIN_ROUNDS > SHA_CRYPT_MAX_ROUNDS,将使用最高值。如果未指定,则libc将选择默认轮数(5000)。值必须在1000-999,999,999范围内。

注意:这仅影响组密码的生成。 用户密码的生成由PAM完成,并受PAM配置的约束。 建议将此变量与PAM配置保持一致。

相关文件

/etc/group
组帐号信息。

/etc/gshadow
安全组帐号信息。

相关手册

newgrp(1), groupadd(8), groupdel(8), groupmod(8), grpck(8), group(5), gshadow(5).

参考文献

  • man 1 gpasswd, Version shadow-utils 4.4

更新日志

  • 07/16/2018 创建文章