Significado dos grupos atribuídos ao usuário pelo instalador do Debian (somente)?

1

Desejo remover meu usuário padrão do grupo sudo . IOW Eu quero mudá-lo para uma conta sem privilégios. No entanto, ele também parece ser um membro de dez outros grupos de sistemas.

  1. Qual é a implicação geral de segurança disso? Algum desses grupos também é equivalente à raiz (como se você conceda a um usuário acesso ao Docker)?

  2. Qual a importância desses grupos? Se eu remover meu usuário deles, estou me preparando para dez sessões de solução de problemas diferentes mais tarde? (Provavelmente ter que apenas reativá-los, ou seja, isso seria apenas impor sofrimento a mim mesmo).

Lista de grupos para o usuário criado pelo instalador, retirado de uma instalação quase intocada do Debian 8 (teste VM):

cdrom floppy sudo audio dip video plugdev netdev lpadmin scanner bluetooth

Contexto: estou tentando implementar a separação de privilégios. Eu gostaria de ter um usuário sysop que possa executar tarefas somente raiz e tenha acesso ssh a uma conta de servidor similar. A ideia é fornecer melhor contenção para entretenimento online, sem abrir mão da administração remota completamente.

Por exemplo ransomeware procurando corromper os backups no meu servidor exigiria escalonamento de privilégios. Ele não seria capaz de reconfigurar meu usuário normal para capturar sudo senhas ou acesso ssh à conta sysop no servidor.

    
por sourcejedi 27.04.2016 / 17:46

1 resposta

1

A criação de novos usuários com adduser , que afirma ser um frontend amigável, não oferece nenhum desses grupos.

Eu verifiquei um sistema multi-usuário, rodando a área de trabalho GNOME do Debian. Usuários além do primeiro não eram membros desses grupos. O sistema foi executado por um tempo sem perceber um problema com isso. (A lpadmin é a única com quem tenho qualquer preocupação. A impressão está sofrendo).

O Fedora Linux (23) não adiciona usuários a grupos como este, nem no instalador nem quando criados usando a ferramenta Usuários do GNOME.

Muitos dos grupos, pelo menos, são obsoletos para uso em desktops. O gerenciador de sessões systemd-logind concederá acesso aos nós de dispositivos usando ACLs. (Infelizmente, a documentação não diz como a política é determinada para isso). Os grupos netdev e plugdev podem ser considerados obsoletos pelo NetworkManager e pelos udisks (que usam o polkit para determinar a política).

Então, não acho que remover esses grupos cause dez vezes mais agonia. É possível que o Debian (sendo mais antigo) tenha falta de alguns recursos do Fedora, mas pessoalmente eu posso gerenciar isso.

Eu acredito que houve uma preocupação no passado, que o grupo floppy permitia acesso bruto a dispositivos de armazenamento USB, que poderiam conter sistemas de arquivos do sistema. Isso foi resolvido no Debian 8. Você pode tomar isso como um ponto de qualquer maneira. Para pessoas que estão menos confiantes sobre resolução de problemas, pelo menos mostra que o Debian ainda está monitorando e gerenciando as implicações de segurança desses grupos.

    
por 27.04.2016 / 17:46

Tags