In manchen modernen Unixen hat auch die Gruppenverwaltung ihre Passwörter in einer separaten Datei, eben /etc/gshadow. Die Felder sind wie üblich durch Dopelpunkte voneinander getrennt:

Gruppenname: Passwort: Gruppenverwalter: Mitgliedsliste

Die einzelnen Felder haben folgende Bedeutung:

Gruppenname

Der Username, wie in /etc/passwd

Passwort

Das verschlüsselte Passwort. Fals hier nur ein * oder ein ! steht, bedeutet das, dass diese Gruppe kein Passwort hat.

Gruppenverwalter

Jede Gruppe kann einen Verwalter haben, der das Recht hat, andere Mitglieder aufzunehmen, Mitgliedschaften zu löschen oder das Passwort zu verändern. Deser Verwalter muß NICHT der Systemverwalter sein.

Mitgliedsliste

Eine durch Kommas getrennte Liste von Usernamen wie in /etc/group

Der Hauptvorteil dieser neuen Architektur ist die Tatsache, dass jede Gruppe ihren eigenen Verwalter haben kann und so eine gewisse Eigenständigkeit aufweisen kann, ohne immer den Systemverwalter zu brauchen um eine kleine Veränderung vorzunehmen. Das Programm gpasswd ermöglicht es dem Gruppenverwalter, diese Änderungen durchzuführen.

Die Gruppenpasswörter werden oft missverstanden. Wenn ein User in der Mitgliedsliste der Gruppe steht, muß er dieses Passwort weder wissen, noch braucht er es, um auf Dateien zuzugreifen, die dieser Gruppe angehören – er ist automatisch in der Gruppe.

Nur wenn ein User, der nicht als Gruppenmitglied eingetragen ist, dessen Username also nicht in der Datei /etc/group und /etc/gshadow in der Mitgliedsliste der Gruppe auftaucht, auf Dateien zugreifen will, die nur für Gruppenmitglieder dieser Gruppe lesbar sind, dann muß er sich mit dem Befehl newgrp kurzzeitig in ein Gruppenmitglied verwandeln. Dazu braucht er das Passwort, sonst könnte das ja jeder und die Sicherheit wäre dahin.

Wenn eine Gruppe in /etc/gshadow ein ! oder * im Passwortfeld aufweist, statt eines Passworts, dann gibt es für diese Gruppe kein Passwort. Das heißt aber eben NICHT, dass jeder User sich mit newgrp dort als Mitglied einschleichen kann, sondern dass KEIN User das kann, dass es nicht möglich ist.

Schreibe einen Kommentar