No meu sistema Ubuntu 9.10, existe um grupo de sistemas shadow . Não parece haver nenhum usuário atribuído a esse grupo. Os únicos arquivos que eu posso encontrar pertencentes a este grupo são /etc/shadow e /etc/gshadow .
Estou ciente de que o objetivo desses arquivos é armazenar as senhas separadamente, fora do alcance de usuários comuns que ainda possam querer acessar passwd por outros motivos.
Mas qual é o objetivo do grupo shadow ?
A razão pela qual estou curioso sobre isso, é porque estou pensando em configurar nsswitch.conf para armazená-lo em outro lugar, e gostaria de saber se alguma coisa está realmente tentando acessar o banco de dados shadow usando shadow group credenciais.
$ find /usr/bin/ -group shadow | xargs ls -l
-rwxr-sr-x 1 root shadow 45384 2008-12-08 03:13 /usr/bin/chage
-rwxr-sr-x 1 root shadow 21424 2008-12-08 03:13 /usr/bin/expiry
Pode não haver usuários, mas certamente há software que precisa ler esse arquivo. Note que passwd em si é setuid root e, portanto, não precisa disso.
Na minha máquina Ubuntu existem vários comandos que são set-group-id para shadow. Isso fornece a eles exatamente e somente o privilégio de ler os dois arquivos shadow (que são agrupados em shadow e somente legíveis por grupo).
-rwxr-sr-x 1 root shadow 35584 Mar 16 11:45 /sbin/pam_extrausers_chkpwd
-rwxr-sr-x 1 root shadow 35544 Mar 16 11:45 /sbin/unix_chkpwd
-rwxr-sr-x 1 root shadow 59224 Jul 20 2015 /usr/bin/chage
-rwxr-sr-x 1 root shadow 23424 Jul 20 2015 /usr/bin/expiry
-rw-r----- 1 root shadow 1043 Apr 2 00:27 /etc/gshadow
-rw-r----- 1 root shadow 1732 Apr 2 00:27 /etc/shadow
Se você tiver um serviço que apenas requeira poder ler um ou outro dos arquivos shadow, apenas configure set-group-id para shadow. Isso é o oposto do que foi sugerido acima - não é que haja muitas outras pessoas que estão no grupo root, é por convenção (e permissões de arquivo) que esse grupo concede acesso apenas a esses dois recursos.
Não, shadow group não deve ter usuários, mas esse grupo é necessário para que as senhas shadow funcionem.
Eu acho que a idéia aqui é ter o arquivo acessível apenas pelo root e pelo root. Você pode ter usuários extras no grupo raiz, é por isso que o grupo de usuários separado foi criado.