У моєму Ubuntu існує група "користувачів" з id 100. Але у нього взагалі немає членів. Мої запитання:
- Яка мета цієї групи?
- Чи повинен кожен користувач системи стати членом цієї групи?
У моєму Ubuntu існує група "користувачів" з id 100. Але у нього взагалі немає членів. Мої запитання:
Відповіді:
Ubuntu заснований на Debian, і користувачі дотримуються тієї ж філософії. Я для цього цитую пояснення Debians про системні групи :
користувачі: Хоча системи Debian за замовчуванням використовують систему приватних груп користувачів (у кожного користувача своя група), деякі вважають за краще використовувати більш традиційну групову систему, в якій кожен користувач є членом цієї групи.
Він не використовується в Ubuntu (і Debian), але він зберігається там, якщо адміністратори системи хочуть ним користуватися. Це ефективно забезпечує те, що він буде мати однаковий GID у всіх системах, що не відбувається, якщо він створюється локально.
Не потрібно робити користувачів учасниками users
стандартної установки Ubuntu. У деяких випадках та налаштуваннях може бути зручним, щоб усі користувачі належали до загальної групи користувачів.
Оскільки концепція "ідентифікатор користувача" спочатку була призначена для обліку, більше, ніж безпека, і не кожен обліковий запис "користувача" означає щось, що потенційно може з'їсти чизбургер. Група "користувачі" призначена для позначення ідентичності користувачів, яка насправді відображає реальних людей. Як простий приклад, на багатьох графічних робочих станціях на базі UNIX на екрані входу не відображатимуться всі облікові записи користувачів у / etc / passwd, а натомість лише ті, хто в групі "користувачів" (або, можливо, деякі навіть більш жорсткі відділення).
Розглянемо веб-сервер Apache. У багатьох системах це працює як "користувач" httpd. Однак, очевидно, ми не очікуємо, що хтось увійде як цей користувач. У класичному сенсі бухгалтерського обліку ми не хочемо виставляти рахунки жодному звичайному користувачеві за час процесора, який використовується веб-сервером системи. У пізньому сенсі безпеки веб-сервер не повинен бути в змозі виконувати повний набір речей, на які може увійти користувач.
В наші дні у нас є списки SELINUX і контролі доступу та будь-яка кількість інших концепцій, які дають нам більш гнучкі способи блокувати речі. Але основна ідея все ще полягає в тому, щоб зробити щось на зразок користувача, яке має менше - або, принаймні, інших - дозволів, ніж користувач, який увійшов у систему.
Тепер перейдемо до наступної частини вашого питання: чому група користувачів порожня?
Тому що натомість у вас є своя група. Якщо ви додасте обліковий запис для свого друга до цієї машини, вони також отримають свою власну групу. Однак вони не отримають спеціальних дозволів, які ви додали до власної групи. При груповому підході "користувачів", якщо припустити, що вони є членом цієї групи, усі ваші вдосконалення та обмеження для цієї групи прийдуть на новий рахунок.
На практичному прикладі, якщо ви встановите Oracle VirtualBox, вам, мабуть, доведеться додати групу "vboxusers", яка надасть вам доступ до спеціальних пристроїв в / dev, які дозволяють VirtualBox пришвидшувати певні пристрої та проходити через інші. Так само і для Wireshark, якщо ви використовуєте це.
Для систем, які створюють нові групи для кожного користувача, зазвичай існує шаблон, який використовується для нової групи.