Що означає бути у групі 0?

Кілька користувачів у системі, яку я успадкував, їх групу встановлено на 0 в / etc / passwd. Що це означає? Вони, по суті, отримують повні кореневі привілеї?

У системі працює CentOS 5, і користувачі, здається, передусім пов'язані із системою, хоча колишній адміністратор також є в цій групі:

$ grep :0: /etc/passwd
root:x:0:0:root:/root:/bin/bash
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
operator:x:11:0:operator:/root:/sbin/nologin
jsmith:x:500:0:Joe Smith:/home/jsmith:/bin/bash
$

На відміну від користувача 0 (root користувач), група 0 не має спеціальних привілеїв на рівні ядра.

Традиційно група 0 мала спеціальні привілеї на багатьох варіантах unix - або право користуватися suкорінцем (після введення кореневого пароля), або право отримувати root без введення пароля. В основному, користувачі групи 0 були системними адміністраторами. Коли група 0 має спеціальні привілеї, вона називаєтьсяwheel

Під Linux, група 0 не має особливого значення для привілеїв комунальних послуг , таких , як sudoі su, коли. Дивіться, чому Debian за замовчуванням не створює групу колеса?

У CentOS, наскільки мені відомо, група 0 не має особливого значення. Це не посилання у sudoersфайлі за замовчуванням . Адміністратори в цій системі, можливо, вирішили наслідувати традицію unix і надати членам групи 0 деякі спеціальні дозволи. Перевірте конфігурацію PAM ( /etc/pam.conf, /etc/pam.d/*) та файл sudoers ( /etc/sudoers) (це не єдині місця, де групі 0 могли бути надані спеціальні привілеї, але найбільш вірогідні).

На відміну від ідентифікатора користувача 0, ядро ​​не дає жодних спеціальних дозволів для групи 0. Однак, оскільки 0 зазвичай є типовою групою для rootкористувача, це означає, що ці люди часто зможуть отримувати доступ або змінювати файли, що належать root (оскільки ці файли) часто також належать групі 0).

Крім того, деякі програми можуть спеціально ставитися до групи 0. Наприклад, suна деяких системах BSD надаватимуть безкористувацький кореневий доступ членам групи 0 .

Тож, хоча це не суперпопулярний клас, я все одно буду уважніше, хто є його членом.

Це просто означає, що їх основна група - це, rootа не все інше, і, наприклад, вони використовують налаштування групи під час доступу до файлів, де є налаштування групи root.

Більшість стандартних системних файлів належать, root.rootале групові дозволи зазвичай такі ж, як і світові, тому це не дає жодних переваг, якщо ваша система не змінила групові дозволи на стандартні файли.

Він не дає повних привілеїв root.

Я трохи спізнився на вечірку, але задав собі те саме питання сьогодні і дійшов наступного висновку:

Це суперечить принципу найменшої пільги, і тому його слід уникати.

Більш конкретно, це може дати користувачеві (читати, записувати або виконувати) дозволи не лише на багато регулярних файлів і каталогів, але і на багато спеціальних, таких як спілкування з вашим ядром системи.

Але оскільки це може бути різним для вашої системи, вам слід запустити це, щоб знайти та перевірити їх усіх (перший для читання, другий для запису, eXecute залишається як вправа для читача):

find / -group 0 -perm -g+r ! -perm -o+r  -ls | less 
find / -group 0 -perm -g+w ! -perm -o+w  -ls | less

Деякі з них можуть бути звичайними файлами та каталогами (наприклад, домашній каталог / root), але інші можуть бути псевдофайлами, які є інтерфейсами в ядро ​​(наприклад, в / proc і / sys)

наприклад:

find /sys -type f -group 0 -perm -g+w ! -perm -o+w  -name 'remove'
/sys/devices/pci0000:00/0000:00:17.0/0000:13:00.0/remove
/sys/devices/pci0000:00/0000:00:17.0/remove
/sys/devices/pci0000:00/0000:00:16.6/remove
...
etc.

Використовуйте, lspci -v |lessщоб дізнатися, що це за пристрої (наприклад: контролер пам'яті, USB-контролер, мережеві та відеокарти тощо)