Linux: nome de usuário de grupos x grupos

Alguém sabe por que o comando linux

    groups 

mostra uma saída diferente da

    groups username 

O usuário conectado é o mesmo que o nome de usuário do parâmetro. Exemplo:

    thorsten@ubuntu:~/tmp$ groups
    thorsten adm dialout cdrom plugdev lpadmin admin sambashare
    thorsten@ubuntu:~/tmp$ groups thorsten
    thorsten : thorsten adm dialout cdrom plugdev nogroup lpadmin admin sambashare

Quando você executa , ele pesquisa ¹ usuário especificado e (embora possa ser LDAP, NIS ou algo mais ² ) e mostra todos os grupos encontrados.groups username/etc/passwd/etc/group

Por outro lado, quando você executa o groupscomando sem argumentos, ele simplesmente lista todos os grupos aos quais pertence ³ - o que não é necessariamente o mesmo que o listado /etc/group. (Veja abaixo uma explicação.) De fato, as únicas pesquisas feitas /etc/groupsão para traduzir GIDs em nomes de grupos.

Cada processo possui um conjunto de credenciais , que contém (entre outras coisas) um "ID de grupo real" (GID primário), um "ID de grupo efetivo" (EGID) e uma lista de IDs de "grupo suplementar" (GIDs secundários). Por padrão, um processo herda suas credenciais de seu pai; no entanto, processos em execução como raiz (UID 0) ou com a CAP_SETUIDcapacidade têm permissão para definir credenciais arbitrárias.

Em particular, quando você faz logon no Linux (seja em um tty, X11 ou SSH), o processo de login (/ bin / login, gdm, sshd) consulta seu nome de usuário para determinar seu UID, GID principal e GID secundário . Em uma máquina pessoal, isso significa apenas ler as linhas passwde grouparquivos apropriados (ou NIS, LDAP, etc.).

Em seguida, o processo de login alterna ⁴ para essas credenciais antes de iniciar sua sessão, e todo processo iniciado a partir de agora terá exatamente os mesmos UID e GIDs - o sistema não verifica /etc/groupmais ⁵ e não realiza nenhuma modificação.

Dessa forma, o /usr/bin/groupsprocesso pertencerá aos mesmos grupos que você fazia quando você efetuou login , não ao que o banco de dados diz que você está.

Nota: A explicação acima também se aplica a quase todos os Unixes; à família Windows NT (exceto UIDs e GIDs são todos chamados "SID", não há "grupo principal", as credenciais são chamados de o "processo de token", e CAP_SETUIDé SeCreateTokenPrivilege ou SeTcbPrivilege ); e provavelmente para a maioria dos outros sistemas operacionais multiusuário.

¹ getpwuid () e getgrouplist () são usados ​​para procurar grupos de usuários.

² No Linux, a glibc usa /etc/nsswitch.confpara determinar onde procurar essas informações.

³ groups usa getgid (), getegid () e getgroups () para obter suas próprias credenciais.

⁴ setuid (), setgid (), initgroups () e relacionados.

⁵ Uma excepção, é claro, é as várias ferramentas que executam elevadas ( setuid ), tais como su, sudo, sg, newgrp, pkexec, e assim por diante. Isso significa que su $USERirá gerar um shell com a lista de grupos atualizada.

groupspor si só fornece a associação atual do grupo do proprietário do processo. Isso pode diferir groups <username>se o groupdb mudou desde o início do processo ou se o proprietário do processo foi alterado.

Basta reiniciar o computador e os grupos e grupos de usuários devem fornecer os mesmos resultados.

A razão pela qual eles eram diferentes foi porque você se adicionou a um novo grupo do qual não era membro quando iniciou o computador.

Execute updatedb, veja se há alguma alteração.

O mesmo na minha máquina OSX quando o groupdb não mudou:

albert-hotspot:~ sami$ groups sami
staff com.apple.access_screensharing com.apple.sharepoint.group.2 everyone _appstore localaccounts _appserverusr admin _appserveradm _lpadmin _lpoperator _developer
albert-hotspot:~ sami$ groups
staff com.apple.access_screensharing com.apple.sharepoint.group.2 everyone _appstore localaccounts _appserverusr admin _appserveradm _lpadmin _lpoperator _developer
albert-hotspot:~ sami$