Por que os usuários comuns não podem criar e gerenciar grupos de usuários?

2

Estive imaginando se há uma boa razão para um usuário comum não criar seu próprio grupo. Faz sentido que o proprietário do arquivo possa configurar um grupo e gerenciar permissões de arquivo. Por exemplo, um usuário pode permitir que apenas seus amigos próximos no sistema leiam sua pasta pessoal, de modo que eles configurem seu próprio grupo para gerenciar permissões de arquivo para arquivos dos quais têm propriedade.

Existe uma preocupação de segurança que não estou vendo aqui? Eu não vejo porque o sysadm tem que manter todos os grupos no sistema.

    
por Robin Hobil Bardakcioglu 16.03.2018 / 00:59

2 respostas

1

Grupos são um recurso de todo o sistema que são armazenados em um único arquivo de propriedade de root . O formato group atual não faz distinção entre grupos "usuário" e "sistema" diferentes do intervalo de GID e, mesmo que tenha, não tem como conceder acesso a partes do arquivo a pessoas diferentes. Por causa disso, você teria que criar um novo sistema para permitir que não administradores adicionem e removam grupos sem dar acesso total via sudo e equivalentes. Aparentemente, não houve demanda suficiente para esse recurso (provavelmente porque as instalações do Unix eram originalmente institucionais), mas havia demanda suficiente para implementar um recurso relacionado.

Você pode delegar um usuário para poder modificar o grupo associação usando gpasswd . Se você der a um usuário controle administrativo sobre um grupo, ele poderá adicionar ou remover membros sem ter root de acesso (por padrão, não há administrador de grupo, portanto, somente root pode fazer alterações). como root ):

# groupadd newgroup
# gpasswd -A owner -M member1,member2 newgroup

O usuário owner agora pode modificar o grupo newgroup sem precisar obter outras permissões:

$ gpasswd -a member3 newgroup
Adding user member3 to group newgroup

(Você notará que o administrador do grupo não precisa ser um membro.)

    
por 16.03.2018 / 03:25
0

Imagine a loucura que aconteceria se qualquer um e todos os usuários pudessem criar qualquer grupo que quisessem. Para adicionar, você permitiria que os usuários adicionassem quem eles quisessem aos grupos? Isso seria uma dor real para um administrador do sistema responder. É chamado o principal do menor privilégio. Não há motivos para usuários comuns que não possam e provavelmente não tenham a compreensão adequada de como as coisas funcionam para poder criar e adicionar outros a grupos, o que é especialmente verdadeiro no nível empresarial para qualquer sistema operacional.

É o mesmo motivo pelo qual usuários finais comuns não podem alterar as configurações do sistema nem instalar software.

    
por 16.03.2018 / 02:08