Почему пользователь автоматически не добавляется в группы, прописанные в /etc/login.defs

Для новичков как вообще в Linux, так и в конкретной теме, к которой относится вопрос.

Модератор: Bizdelnick

Ответить
Аватара пользователя
жучара
Сообщения: 937
ОС: астралинукс

Почему пользователь автоматически не добавляется в группы, прописанные в /etc/login.defs

Сообщение жучара »

Друзья!

Shell

cat /etc/login.defs
...
# List of groups to add to the user's supplementary group set
# when logging in on the console (as determined by the CONSOLE
# setting). Default is none.
#
# Use with caution - it is possible for users to gain permanent
# access to these groups, even when not logged in on the console.
# How to do it is left as an exercise for the reader...
#
# This variable is used by login and su.
#
CONSOLE_GROUPS floppy:audio:cdrom:bar
Всё понятно же вроде. Кроме одного- кто должен логиниться в консоли? Тот кто добавляет пользователя или сам пользователь? Хотя не суть, тут вся работа в консоли будет. Итак, вновь добавленый пользователь должен будет объявиться в этих группах. Они есть, bar создана мной.

Shell

user@debian:~$ cat /etc/group | egrep "floppy|audio|cdrom|bar"
cdrom:x:24:user
floppy:x:25:user
audio:x:29:pulse,user
bar:x:1007:
user@debian:~$
Добавляю пользователя foo, устанавливаю ему пароль и перезагружаюсь.

Shell

user@debian:~$ sudo useradd foo
user@debian:~$ sudo passwd foo
Введите новый пароль UNIX:
Повторите ввод нового пароля UNIX:
passwd: пароль успешно обновлён
user@debian:~$ sudo reboot
Смотрим группы, в которые входит пользователь foo

Shell

user@debian:~$ cat /etc/passwd | grep foo
foo:x:1006:1006::/home/foo:/bin/sh
user@debian:~$

Может, так?

Shell

user@debian:~$ cat /etc/group | egrep "floppy|audio|cdrom|bar"
cdrom:x:24:user
floppy:x:25:user
audio:x:29:pulse,user
bar:x:1007:
user@debian:~$


Выше (в cat /etc/login.defs) говорено было про какое login и su:
This variable is used by login and su

Shell

user@debian:~$ su foo
Пароль:
$ groups
foo
$ exit
user@debian:~$


Грустно это всё. Если входить в виртуальную консоль (tty1), тот же самый результат.

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Может, косвенно как-нибудь проверить?

Создадим файл содержания cafebabe

Shell

user@debian:~$ echo cafebabe > /tmp/file
user@debian:~$


Изменим группу файла

Shell

user@debian:~$ sudo chown :bar /tmp/file
user@debian:~$


Права сделаем

Shell

user@debian:~$ chmod 640 /tmp/file
user@debian:~$


Смотрим на файл /tmp/file. Этот файл может прочесть либо владелец (user), либо член группы bar

Shell

user@debian:~$ sudo ls -l /tmp/file
-rw-r----- 1 user bar 9 Дек 20 23:45 /tmp/file
Пробуем прочесть файл /tmp/file, будучи foo

Shell

user@debian:~$ su foo
Пароль:
$ cat /tmp/file
cat: /tmp/file: Отказано в доступе
$


Нет, не является пользовтель foo членом группы bar. Грустно это всё. ЧЯДНТ? Спасибо, кто откликнется. Debian 7
Я просто читаю маны.
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: Почему пользователь автоматически не добавляется в группы, прописанные в /etc/login.defs

Сообщение Hephaestus »

Я глубоко не вникал, первое, что бросается в глаза:
жучара писал(а):
21.12.2019 22:09
# List of groups to add to the user's supplementary group set
# when logging in on the console (as determined by the CONSOLE
# setting). Default is none.
Мой вольный перевод: Список групп, которые добавляются к набору дополнительных групп пользователя
при логине с консоли (определяется переменной CONSOLE). По умолчанию не указана.

То есть, это должен быть логин не с любой консоли, а с той, которая указана в переменной CONSOLE.
Согласно man-странице, изначально эта переменная не задана. На моей системе так же.
А на Вашей?
Что показывает echo $CONSOLE?
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Почему пользователь автоматически не добавляется в группы, прописанные в /etc/login.defs

Сообщение serzh-z »

жучара
Вам снова врут. На этот раз на самом деле: ни login, ни su не используют CONSOLE_GROUPS. Так бывает. Видимо, когда-то использовалось, а теперь просто осталось в конфиге и документации пакета shadow: shadow (login.defs) и util-linux (login и su) - это два разных пакета.

Более того, в новых дистрибутивах с systemd, где вместо login используется systemd-logind, некоторые значения из /etc/login.defs читаются лишь на сборочной машине при сборке systemd.

А /etc/login.defs используется лишь некоторыми модулями PAM - такими как pam_faildelay, pam_lastlog, pam_umask, pam_unix, ну и некоторыми утилитами из shadow.
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Почему пользователь автоматически не добавляется в группы, прописанные в /etc/login.defs

Сообщение serzh-z »

Впрочем, в Debian может быть иначе: в shadow есть свои login и su, которые поддерживают CONSOLE_GROUPS, но только если собраны без поддержки PAM. Ну то есть, login и su из util-linux работают только с PAM, а их альтернативные версии из shadow могут быть собраны с PAM и в этом случае игнорируют CONSOLE_GROUPS.
Спасибо сказали:
Аватара пользователя
жучара
Сообщения: 937
ОС: астралинукс

Re: Почему пользователь автоматически не добавляется в группы, прописанные в /etc/login.defs

Сообщение жучара »

Указанная задача решается настройками в файле /etc/adduser.conf
# Set this if you want the --add_extra_groups option to adduser to add
# new users to other groups.
# This is the list of groups that new non-system users will be added to
# Default:
EXTRA_GROUPS="dialout cdrom floppy audio video plugdev users mygr"

# If ADD_EXTRA_GROUPS is set to something non-zero, the EXTRA_GROUPS
# option above will be default behavior for adding new, non-system users
ADD_EXTRA_GROUPS=1
Причём три варианта развития событий:
++++++++++++++++++++++++++++++++++++++++++++
#EXTRA_GROUPS="dialout cdrom floppy audio video plugdev users mygr"
#ADD_EXTRA_GROUPS=1
EXTRA_GROUPS="dialout cdrom floppy audio video plugdev users mygr"
#ADD_EXTRA_GROUPS=1
пользователь при создании не включается ни в одну из групп
++++++++++++++++++++++++++++++++++++++++++++
#EXTRA_GROUPS="dialout cdrom floppy audio video plugdev users mygr"
ADD_EXTRA_GROUPS=1
пользователь при создании включается в группы: dialout cdrom floppy audio video plugdev users
++++++++++++++++++++++++++++++++++++++++++++
EXTRA_GROUPS="dialout cdrom floppy audio video plugdev users mygr"
ADD_EXTRA_GROUPS=1
пользователь при создании включается в группы, перечисленные в EXTRA_GROUPS, в данном случае: dialout cdrom floppy audio video plugdev users mygr

Плюс на включение/невключение влияет опция --add_extra_groups
Плюс неработающие настройки из файла /etc/login.defs
Пытаюсь придумать как именно такое вот нагромождение настроек может мне помочь (допустим, я администратор) и ничего не могу придумать. Строчки с перечислением групп в файле настроек хватило бы за глаза.
Я просто читаю маны.
Спасибо сказали:
Аватара пользователя
жучара
Сообщения: 937
ОС: астралинукс

Re: Почему пользователь автоматически не добавляется в группы, прописанные в /etc/login.defs

Сообщение жучара »

serzh-z писал:
23.12.2019 20:38
жучараКакая задача?
, сказал бы, что автоматическое добавление пользователя в какие-либо группы при регистрации. Именно эта задача описана в первом сообщении. Решалась настройками в файле /etc/login.defs, безуспешно.
Но я скажу, что я не знаю, какая задача.
Я просто читаю маны.
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: Почему пользователь автоматически не добавляется в группы, прописанные в /etc/login.defs

Сообщение serzh-z »

жучара писал(а):
23.12.2019 23:45
Именно эта задача описана в первом сообщении.
Там что только не описано, кроме задачи.
Спасибо сказали:
Аватара пользователя
жучара
Сообщения: 937
ОС: астралинукс

Re: Почему пользователь автоматически не добавляется в группы, прописанные в /etc/login.defs

Сообщение жучара »

serzh-z писал:
24.12.2019 00:24
Там что только не описано, кроме задачи.
да нормально там всё.
Я просто читаю маны.
Спасибо сказали:
Ответить