مدیریت گروه‌های کاربری در لینوکس

مقدمه

در درس قبل یاد گرفتیم که چگونه حساب‌های کاربری را به صورت انفرادی مدیریت کنیم. اما فرض کنید در یک پروژه، تیمی متشکل از ۱۰ توسعه‌دهنده داریم و همه‌ی آن‌ها باید به مجموعه‌ای از فایل‌های پروژه دسترسی خواندن و نوشتن داشته باشند. آیا باید برای هر ۱۰ نفر به صورت جداگانه مجوزها را تنظیم کنیم؟ این روش نه تنها زمان‌بر است، بلکه مدیریت آن نیز بسیار دشوار خواهد بود.

راهکار لینوکس برای این مشکل، استفاده از گروه‌های کاربری (User Groups) است. یک گروه، مجموعه‌ای از کاربران است. با استفاده از گروه‌ها، ما می‌توانیم به جای تخصیص مجوز به کاربران متعدد، مجوزها را به یک گروه واحد اختصاص دهیم. سپس، با اضافه کردن یا حذف کردن کاربران از آن گروه، می‌توانیم به سادگی و به صورت متمرکز، سطح دسترسی آن‌ها را کنترل کنیم. این مفهوم، اساس مدیریت دسترسی در سیستم‌های چند کاربره است.

گروه اصلی و گروه‌های ثانویه

در لینوکس، هر کاربر حداقل به یک گروه تعلق دارد که به آن گروه اصلی (Primary Group) گفته می‌شود. به طور پیش‌فرض، وقتی شما یک کاربر جدید ایجاد می‌کنید (مثلاً useradd ali)، لینوکس یک گروه جدید نیز با همان نام (ali) ایجاد کرده و آن را به عنوان گروه اصلی آن کاربر تعیین می‌کند. هر فایلی که این کاربر از این پس ایجاد کند، به صورت پیش‌فرض به این گروه اصلی تعلق خواهد داشت.

علاوه بر یک گروه اصلی، هر کاربر می‌تواند عضو تعداد زیادی گروه ثانویه (Secondary Groups) نیز باشد. این گروه‌های ثانویه هستند که برای اعطای دسترسی‌های مشترک به منابع مختلف (مانند دایرکتوری‌های پروژه، دسترسی به سخت‌افزارهای خاص و غیره) به کار می‌روند.

برای مشاهده‌ی گروه‌هایی که یک کاربر عضو آن‌هاست، از دستور id استفاده می‌کنیم:

$ id me
uid=1000(me) gid=1000(me) groups=1000(me),27(sudo),100(users),108(developers)

در این خروجی، gid نشان‌دهنده‌ی گروه اصلی کاربر me است (که در اینجا گروه me با GID 1000 است) و بخش groups لیست تمام گروه‌هایی (اصلی و ثانویه) را که این کاربر عضو آن‌هاست، نمایش می‌دهد.

دستورات مدیریت گروه‌ها

مجموعه دستورات مدیریت گروه‌ها، شباهت زیادی به دستورات مدیریت کاربران دارد و اجرای همه‌ی آن‌ها نیازمند دسترسی ریشه (sudo) است.

۱. ایجاد گروه جدید با groupadd

برای ساختن یک گروه جدید، از دستور groupadd به سادگی استفاده می‌کنیم:

$ sudo groupadd developers

۲. ویرایش گروه با groupmod

این دستور کمتر استفاده می‌شود، اما برای کارهایی مثل تغییر نام یک گروه کاربرد دارد. برای مثال، برای تغییر نام گروه developers به engineers:

$ sudo groupmod -n engineers developers

۳. حذف گروه با groupdel

برای حذف یک گروه، از دستور groupdel استفاده می‌شود:

$ sudo groupdel engineers

توجه داشته باشید که نمی‌توانید گروهی را حذف کنید که گروه اصلی یک کاربر موجود است. برای این کار، ابتدا باید گروه اصلی آن کاربر را با دستور usermod تغییر دهید.

مدیریت عضویت کاربران در گروه‌ها

رایج‌ترین کار در مدیریت گروه‌ها، افزودن کاربران به گروه‌ها یا حذف آن‌ها از گروه‌ها است.

افزودن کاربر به گروه‌ها

برای اضافه کردن یک کاربر به یک یا چند گروه ثانویه، از دستور usermod که در درس قبل با آن آشنا شدیم، به همراه گزینه‌های -a و -G استفاده می‌کنیم.

$ sudo usermod -aG developers me

در این دستور، -G لیست گروه‌های ثانویه را مشخص می‌کند و -a (مخفف append) به معنای «الحاق کردن» است. یعنی گروه developers را به لیست گروه‌های فعلی کاربر اضافه کن.

⚠️ هشدار بسیار مهم در مورد گزینه‌ی -a

فراموش کردن گزینه‌ی -a هنگام استفاده از -G یکی از رایج‌ترین اشتباهات کاربران تازه‌کار است. اگر دستور را به صورت sudo usermod -G developers me (بدون -a) اجرا کنید، کاربر me از تمام گروه‌های ثانویه دیگر حذف شده و فقط عضو گروه developers خواهد شد. این کار می‌تواند دسترسی‌های مهم کاربر (مانند دسترسی sudo) را از بین ببرد. همیشه از -aG با هم استفاده کنید.

حذف کاربر از یک گروه

برای حذف یک کاربر از یک گروه، راه استاندارد استفاده از دستور gpasswd با گزینه‌ی -d (مخفف delete) است.

$ sudo gpasswd -d me developers
Removing user me from group developers

مشاهده اطلاعات گروه‌ها

تمام اطلاعات مربوط به گروه‌های تعریف‌شده در سیستم، در فایل متنی /etc/group ذخیره می‌شود. هر خط از این فایل مربوط به یک گروه است و ساختاری به شکل زیر دارد:

group_name:password_placeholder:GID:user_list

برای مشاهده‌ی اطلاعات یک گروه خاص، می‌توانیم از grep استفاده کنیم:

$ grep "sudo" /etc/group
sudo:x:27:me

درس قبل درس بعد