Quais são os grupos 'usuários' e 'outro' para?

3

Existe um documento proprietário sobre o padrão de segurança / proteção do sistema, indicando que o grupo users , nogroup , other e alguns outros grupos não devem conter nenhum usuário, exceto os administradores do sistema. Encontrei uma explicação sobre o nogroup group aqui . E os grupos users e other ? Para que servem? Por que usuários regulares (não administradores) não devem ser membros desses grupos?

    
por fikr4n 29.11.2016 / 08:21

1 resposta

2

Pode-se pensar facilmente que users deve ser atribuído a todos os usuários que não são daemon, mas esse não é o caso. Lembre-se de que os grupos são um meio de controlar as permissões ... se esse fosse como o caso de não pertencer a users ser significados? Imagine tentar fazer uso desse grupo: para manter um arquivo que pertença ao grupo users private, você precisaria atribuir os mesmos bits de permissão ao "grupo" como faria com "outros", como todos os usuário faria parte desse grupo. Redundante e inútil, se não for simplesmente irritante.

Na realidade, o grupo users existe apenas para ser atribuído a usuários que não precisam pertencer a nenhum outro grupo , no que diz respeito às permissões. Basicamente existe apenas porque todo usuário deve ser pelo menos parte de um grupo primário (que você pode encontrar em /etc/passwd ) ... pense em users como um "fallback", se nenhum grupo é atribuído a um usuário. (o utilitário useradd , na verdade, o usa como um fallback, se nenhum grupo for fornecido e os grupos de homônimos estiverem desativados)

Por esse mesmo motivo, você descobrirá que o grupo users normalmente não obtém nenhuma permissão específica no sistema de arquivos: nenhum administrador jamais criará um arquivo que pertença ao grupo users (se ele quisesse para permitir que qualquer usuário manipule um arquivo, ele usaria chmod o+rwx ). Então, não importa se você pertence a esse grupo ou não, ele não lhe dará nenhuma permissão especial ... é por isso que, a menos que você não tenha outro grupo para o qual esteja sendo designado, não há absolutamente nenhuma necessidade de designar um grupo. usuário para ele (sua insignificância, em termos de permissão, é muito semelhante à de nogroup ).

Quanto ao grupo other , eu não o vejo nem na minha nova instalação do CentOS 7 nem no meu Ubuntu 14, então estou supondo que o documento que você lê se refere à porção other do Acesso Discricionário Bits de controle (o último dígito octal que você pode editar com chmod ), ou um grupo criado e usado por algum aplicativo ... então, perguntando o motivo de sua existência é como perguntar por que o grupo "www-data", criado por nginx, existe: depende apenas do que o aplicativo que criou o grupo quer fazer com ele.

    
por 29.11.2016 / 12:29