Linux: grup vs grup nama pengguna

Apakah ada yang tahu mengapa perintah linux

    groups 

menunjukkan output yang berbeda dari

    groups username 

Pengguna yang masuk sama dengan nama pengguna parameter. Contoh:

    thorsten@ubuntu:~/tmp$ groups
    thorsten adm dialout cdrom plugdev lpadmin admin sambashare
    thorsten@ubuntu:~/tmp$ groups thorsten
    thorsten : thorsten adm dialout cdrom plugdev nogroup lpadmin admin sambashare

Ketika Anda menjalankan , itu mencari ¹ pengguna yang diberikan di dan (meskipun itu bisa LDAP, NIS atau sesuatu yang lain ² ) dan menunjukkan kepada Anda semua grup ditemukan.groups username/etc/passwd/etc/group

Di sisi lain, ketika Anda menjalankan groupsperintah tanpa argumen, itu hanya daftar semua kelompok itu sendiri milik ³ - yang belum tentu sama dengan apa yang terdaftar /etc/group. (Lihat di bawah untuk penjelasan.) Faktanya, satu - satunya pencarian yang dilakukan /etc/groupadalah menerjemahkan GID ke nama grup.

Setiap proses memiliki seperangkat kredensial , yang berisi (antara lain) "ID grup nyata" (GID primer), "ID grup efektif" (EGID), dan daftar ID "grup pelengkap" (GID sekunder). Secara default, suatu proses mewarisi kredensial dari induknya; Namun, proses yang berjalan sebagai root (UID 0) atau memiliki CAP_SETUIDkemampuan diizinkan untuk menetapkan kredensial sewenang-wenang.

Khususnya, ketika Anda masuk ke Linux (baik dalam tty, X11, atau melalui SSH), proses login (/ bin / login, gdm, sshd) mencari nama pengguna Anda untuk menentukan UID, GID primer, dan GID sekunder Anda . Pada mesin pribadi, ini hanya berarti membaca baris passwddan groupfile yang sesuai (atau NIS, LDAP, dll).

Selanjutnya, proses masuk beralih ⁴ ke kredensial tersebut sebelum memulai sesi Anda, dan setiap proses yang Anda luncurkan mulai sekarang akan memiliki UID & GID yang sama persis - sistem tidak memeriksa /etc/grouplagi ⁵ dan tidak akan mengambil modifikasi apa pun yang dibuat.

Dengan cara ini, /usr/bin/groupsproses tersebut akan menjadi milik grup yang sama seperti yang Anda lakukan ketika Anda masuk , bukan apa yang menurut database Anda.

Catatan: Penjelasan di atas juga berlaku untuk hampir semua Unix; keluarga Windows NT (kecuali UID dan Gids semua dipanggil "SIDS", tidak ada "kelompok utama", kepercayaan disebut "proses tanda", dan CAP_SETUIDadalah SeCreateTokenPrivilege atau SeTcbPrivilege ); dan kemungkinan untuk sebagian besar sistem operasi multi-pengguna.

¹ getpwuid () dan getgrouplist () digunakan untuk mencari grup pengguna.

² Di Linux, glibc menggunakan /etc/nsswitch.confuntuk menentukan di mana mencari informasi ini.

³ groups menggunakan getgid (), getegid () dan getgroups () untuk mendapatkan kredensial sendiri.

⁴ setuid (), setgid (), initgroups () dan yang terkait.

⁵ Pengecualian, tentu saja, adalah berbagai alat yang menjalankan ditinggikan ( setuid ) seperti su, sudo, sg, newgrp, pkexec, dan sebagainya. Ini berarti bahwa su $USERakan muncul shell dengan daftar grup yang diperbarui.

groupsdengan sendirinya memberikan keanggotaan grup saat pemilik proses. Ini dapat berbeda dari groups <username>jika groupdb telah berubah sejak proses dimulai atau pemilik proses berubah.

Nyalakan kembali komputer dan grup dan grup pengguna harus memberikan hasil yang sama.

Alasan mereka berbeda adalah karena Anda menambahkan diri Anda ke grup baru yang bukan anggota ketika Anda memulai komputer.

Jalankan updatedb, lihat apakah ada perubahan.

Hal yang sama di mesin OSX saya ketika groupdb tidak berubah:

albert-hotspot:~ sami$ groups sami
staff com.apple.access_screensharing com.apple.sharepoint.group.2 everyone _appstore localaccounts _appserverusr admin _appserveradm _lpadmin _lpoperator _developer
albert-hotspot:~ sami$ groups
staff com.apple.access_screensharing com.apple.sharepoint.group.2 everyone _appstore localaccounts _appserverusr admin _appserveradm _lpadmin _lpoperator _developer
albert-hotspot:~ sami$