ユーザーをグループに追加しましたが、ファイルに対するグループ権限がまだ影響しません

_user2_はログアウトしてから再度ログインする必要があります。グループの権限は次のように機能します。

• ログインすると、プロセスは、_/etc/passwd_で言及されているメイングループのメンバーシップに加えて、_/etc/group_でユーザーが言及されているすべてのグループを取得します。 （より正確には、 getpw(your_uid) の _pw_gid_ フィールドに加えて、 すべてのグループユーザーが明示的なメンバーである _/etc/passwd_および_/etc/group_を超えて、情報は他のNISやLDAPなどの種類のユーザーデータベース。）メイングループはプロセスの 実効グループID になり、他のグループはその 補足グループID 。
• ファイルへのアクセスなど、特定のグループのメンバーシップを必要とする操作をプロセスが実行する場合 、そのグループは、有効なグループIDであるか、または処理する。

ご覧のとおり、ユーザーのグループメンバーシップへの変更は、ユーザーがログインしたときにのみ有効になります。実行中のプロセスの場合は、手遅れです。そのため、ユーザーはログアウトしてから再度ログインする必要があります。それが問題が多すぎる場合、ユーザーは別のセッションにログインできます（たとえば、別のコンソールで、または_ssh localhost_を使用して）。

内部的には、プロセスはlose特権（ユーザーID、グループID、機能）しか失うことができません。カーネルは、ルートとして実行されているinitプロセス（起動後の最初のプロセス）を開始し、すべてのプロセスは最終的にそのプロセスから派生します。 loginプロセス（またはsshd、またはログインするデスクトップマネージャーの一部）は引き続きrootとして実行されています。その仕事の一部は、ルート権限を削除し、適切なユーザーとグループに切り替えることです。

1つの例外があります。 setuidまたはsetgid プログラムの実行です。そのプログラムは追加のアクセス許可を受け取ります。これは、親プロセスのメンバーシップのさまざまなサブセットと、setxid実行可能ファイルを所有するユーザーまたはグループの追加メンバーシップの下で動作することを選択できます。特に、setuidルートプログラムにはルート権限があるため、すべてを実行できます²。これがsuやSudoのようなプログラムがどのように機能するかです。

¹ _{Init（initrd、udev）から派生していないプロセスが時々ありますが、原則は同じです。ルートとして開始すると、時間の経過とともに特権が失われます。}
² _{SELinuxなどのマルチレベルセキュリティフレームワークを除外する。}