Какова цель группы под названием «пользователи»?


13

На моем Ubuntu существует группа «пользователи» с идентификатором 100. Но у него нет участников вообще. Мои вопросы:

  • Какова цель этой группы?
  • Должен ли каждый пользователь системы стать участником этой группы?

Поскольку традиционным подходом является объединение всех пользователей в одну группу , вот почему Red Hat запустила тенденцию «групп пользователей»: web.cs.elte.hu/pub/linux/RedHat/RH-4.0-Manual-HTML/node288.html
user1686

Ответы:


17

Ubuntu основана на Debian, и пользователи придерживаются той же философии. Поэтому я привожу пояснения Debian к системным группам :

пользователи: хотя системы Debian по умолчанию используют систему частных групп пользователей (каждый пользователь имеет свою собственную группу), некоторые предпочитают использовать более традиционную систему групп, в которой каждый пользователь является членом этой группы.

Он не используется в Ubuntu (и Debian), но хранится там на случай, если администраторы системы захотят его использовать. Это эффективно гарантирует, что он будет иметь одинаковый GID во всех системах, что не имеет место, если он создается локально.

Нет необходимости делать пользователей членами usersстандартной установки Ubuntu. В некоторых случаях и настройках может быть удобно, чтобы все пользователи принадлежали к общей группе пользователей.


3

Поскольку концепция «идентификатор пользователя» изначально была предназначена для учета, а не для обеспечения безопасности, и не каждая учетная запись «пользователя» означает то, что потенциально может съесть чизбургер. Группа «пользователи» предназначена для обозначения идентификаторов пользователей, которые фактически соответствуют реальным людям. В качестве простого примера, на многих графических рабочих станциях на основе UNIX на экране входа в систему отображаются не все учетные записи пользователей в / etc / passwd, а только учетные записи в группе «пользователи» (или, возможно, в некоторых более узких отделениях).

Рассмотрим веб-сервер Apache. На многих системах это работает как «пользователь» «httpd». Однако, очевидно, мы не ожидаем, что кто-либо войдет в систему под этим пользователем. В классическом смысле учета мы не хотим выставлять счет обычному пользователю за процессорное время, используемое системным веб-сервером. В более позднем смысле безопасности веб-сервер не должен быть в состоянии выполнить весь набор действий, которые может выполнить вошедший в систему пользователь.

В наши дни у нас есть SELINUX и списки контроля доступа, а также целый ряд других концепций, которые дают нам более гибкие способы блокировки. Но основная идея по-прежнему состоит в том, чтобы сделать что-то подобное пользователю, которое имеет меньше или, по крайней мере, другие права доступа, чем зарегистрированный пользователь.

Теперь перейдем к следующей части вашего вопроса: почему группа пользователей пуста?

Потому что вместо этого у вас есть своя собственная группа. Если вы добавите учетную запись для своего друга на эту машину, они также получат свою собственную группу. Однако они не получат никаких специальных разрешений, которые вы добавили в свою группу. При использовании группового подхода «пользователи», при условии, что они являются членами этой группы, все ваши улучшения и ограничения для этой группы будут применяться для получения новой учетной записи.

Для практического примера, если вы устанавливаете Oracle VirtualBox, вам, вероятно, придется добавить группу «vboxusers», которая предоставит вам доступ к специальным устройствам в / dev, которые позволяют VirtualBox ускорять определенные устройства и проходить через другие. Аналогично для Wireshark, если вы используете это.

Для систем, которые создают новые группы для каждого пользователя, обычно существует шаблон, который используется для новой группы.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.