Para que o grupo 'shadow' é usado?

4

No meu sistema Ubuntu 9.10, existe um grupo de sistemas shadow . Não parece haver nenhum usuário atribuído a esse grupo. Os únicos arquivos que eu posso encontrar pertencentes a este grupo são /etc/shadow e /etc/gshadow .

Estou ciente de que o objetivo desses arquivos é armazenar as senhas separadamente, fora do alcance de usuários comuns que ainda possam querer acessar passwd por outros motivos.

Mas qual é o objetivo do grupo shadow ?

A razão pela qual estou curioso sobre isso, é porque estou pensando em configurar nsswitch.conf para armazená-lo em outro lugar, e gostaria de saber se alguma coisa está realmente tentando acessar o banco de dados shadow usando shadow group credenciais.

    
por Shtééf 16.04.2010 / 22:36

3 respostas

4
$ find /usr/bin/ -group shadow | xargs ls -l
-rwxr-sr-x 1 root shadow 45384 2008-12-08 03:13 /usr/bin/chage
-rwxr-sr-x 1 root shadow 21424 2008-12-08 03:13 /usr/bin/expiry

Pode não haver usuários, mas certamente há software que precisa ler esse arquivo. Note que passwd em si é setuid root e, portanto, não precisa disso.

    
por 17.04.2010 / 00:49
2

Na minha máquina Ubuntu existem vários comandos que são set-group-id para shadow. Isso fornece a eles exatamente e somente o privilégio de ler os dois arquivos shadow (que são agrupados em shadow e somente legíveis por grupo).

-rwxr-sr-x 1 root shadow 35584 Mar 16 11:45 /sbin/pam_extrausers_chkpwd
-rwxr-sr-x 1 root shadow 35544 Mar 16 11:45 /sbin/unix_chkpwd
-rwxr-sr-x 1 root shadow 59224 Jul 20  2015 /usr/bin/chage
-rwxr-sr-x 1 root shadow 23424 Jul 20  2015 /usr/bin/expiry


-rw-r----- 1 root shadow 1043 Apr  2 00:27 /etc/gshadow
-rw-r----- 1 root shadow 1732 Apr  2 00:27 /etc/shadow

Se você tiver um serviço que apenas requeira poder ler um ou outro dos arquivos shadow, apenas configure set-group-id para shadow. Isso é o oposto do que foi sugerido acima - não é que haja muitas outras pessoas que estão no grupo root, é por convenção (e permissões de arquivo) que esse grupo concede acesso apenas a esses dois recursos.

    
por 15.04.2016 / 05:05
1

Não, shadow group não deve ter usuários, mas esse grupo é necessário para que as senhas shadow funcionem.

Eu acho que a idéia aqui é ter o arquivo acessível apenas pelo root e pelo root. Você pode ter usuários extras no grupo raiz, é por isso que o grupo de usuários separado foi criado.

    
por 16.04.2010 / 22:59