Qual é o propósito do grupo chamado “usuários”?

11

No meu Ubuntu existe um grupo "users" com id 100. Mas não tem membros. Minhas perguntas são:

  • Qual é o objetivo deste grupo?
  • Cada usuário do sistema deve se tornar um membro desse grupo?
por Mathias 01.01.2018 / 19:24

2 respostas

14

O Ubuntu é baseado no Debian e os usuários seguem a mesma filosofia. Eu gostaria de citar Debians explicação dos Grupos do Sistema :

  

usuários: Enquanto os sistemas Debian usam o sistema de grupos de usuários privados por padrão (cada usuário tem seu próprio grupo), alguns preferem usar um sistema de grupo mais tradicional, no qual cada usuário é um membro deste grupo.

Não é usado no Ubuntu (e no Debian), mas é mantido lá, caso os administradores do sistema desejem usá-lo. Ele efetivamente garante que ele terá o mesmo GID em todos os sistemas, o que não é o caso se for criado localmente.

Não é necessário tornar os usuários membros de users em uma instalação padrão do Ubuntu. Em alguns casos e configurações, pode ser conveniente que todos os usuários pertençam a um grupo de usuários comum.

    
por vidarlo 01.01.2018 / 19:29
2

Como o conceito de "id do usuário" era originalmente destinado à contabilidade, mais do que segurança, e nem toda conta de "usuário" significa algo que possa potencialmente consumir um cheeseburger. O grupo "usuários" destina-se a designar identidades de usuários que, de fato, são mapeadas para pessoas reais. Como um exemplo simples, em muitas estações de trabalho gráficas baseadas em UNIX, a tela de login não mostrará todas as contas de usuário em / etc / passwd, mas somente aquelas no grupo "usuários" (ou talvez em alguns compartimentos mais apertados).

Considere o servidor da Web Apache. Em muitos sistemas, isso é executado como o "usuário" 'httpd'. No entanto, obviamente, não esperamos que alguém faça login como esse usuário. No sentido clássico de contabilidade, não queremos cobrar nenhum usuário normal pelo tempo de CPU usado pelo servidor da web do sistema. No sentido de segurança posterior, o servidor da Web não deve conseguir fazer o conjunto completo de coisas que um usuário conectado pode fazer.

Hoje em dia, temos o SELINUX, listas de controle de acesso e vários outros conceitos que nos oferecem formas mais flexíveis de bloquear as coisas. Mas a idéia básica ainda é fazer algo semelhante a um usuário que tenha menos - ou pelo menos, diferentes - permissões do que um usuário logado.

Agora, para a próxima parte da sua pergunta: por que o grupo de usuários está em branco?

Porque você tem seu próprio grupo em seu lugar. Se você adicionar uma conta para seu amigo nessa máquina, ela também receberá seu próprio grupo. No entanto, eles não receberão nenhuma permissão especial que você tenha adicionado ao seu próprio grupo. Com a abordagem do grupo "Usuários", supondo que eles fossem membros desse grupo, todos os seus aprimoramentos e restrições para esse grupo seriam fornecidos para a nova conta.

Para um exemplo prático, se você instalar o Oracle VirtualBox, você provavelmente terá que adicionar um grupo "vboxusers" que lhe dará acesso aos dispositivos especiais em / dev que permitem que o VirtualBox acelere certos dispositivos e passe por outros. Da mesma forma para o Wireshark, se você usar isso.

Para sistemas que criam novos grupos para cada usuário, geralmente há um modelo usado para o novo grupo.

    
por breakpoint 02.01.2018 / 11:02