Что значит быть в группе 0?


11

У нескольких пользователей в системе, которую я унаследовал, их группа установлена ​​в 0 в / etc / passwd. Что это обозначает? Получают ли они полные права суперпользователя?

Система работает под управлением CentOS 5, и пользователи, по-видимому, в основном связаны с системой, хотя в эту группу входит и бывший администратор:

$ grep :0: /etc/passwd
root:x:0:0:root:/root:/bin/bash
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
operator:x:11:0:operator:/root:/sbin/nologin
jsmith:x:500:0:Joe Smith:/home/jsmith:/bin/bash
$

Ответы:


12

В отличие от пользователя 0 (пользователь root), группа 0 не имеет особых привилегий на уровне ядра.

Традиционно группа 0 имела особые привилегии во многих вариантах Unix - либо право использовать suдля получения прав root (после ввода пароля root), либо право для получения прав root без ввода пароля. В основном, пользователи в группе 0 были системными администраторами. Когда группа 0 имеет особые привилегии, она называетсяwheel

В Linux группа 0 не имеет специального значения для служебных программ повышения привилегий, таких как sudoи su, либо. См. Почему Debian по умолчанию не создает группу 'wheel'?

При CentOS, насколько я знаю, группа 0 не имеет особого значения. На него нет ссылки в sudoersфайле по умолчанию . Администраторы этой системы, возможно, решили эмулировать традицию Unix и предоставить членам группы 0 некоторые специальные разрешения. Проверьте конфигурацию PAM ( /etc/pam.conf, /etc/pam.d/*) и файл sudoers ( /etc/sudoers) (это не единственные места, где группе 0 могли быть предоставлены специальные привилегии, но, скорее всего).


3

В отличие от идентификатора пользователя 0 ядро ​​не предоставляет никаких специальных разрешений группе 0. Однако, поскольку 0 обычно является группой по умолчанию для rootпользователя, это означает, что эти люди часто смогут получить доступ или изменить файлы, принадлежащие пользователю root (поскольку эти файлы часто также принадлежат группе 0).

Кроме того, некоторые программы могут относиться к группе 0 специально. Например, suв некоторых системах BSD членам группы 0 предоставляется пароль без пароля .

Так что, хотя это не класс суперпользователя, я все равно буду осторожен с тем, кто является его членом.


2

Это просто означает, что их основная группа, rootа не что-либо еще, и поэтому, например, они используют настройки группы при доступе к файлам, где находятся настройки группы root.

Большинство стандартных системных файлов принадлежат, root.rootно групповые разрешения обычно совпадают с мировыми разрешениями, поэтому само по себе это не дает никаких преимуществ, если ваша система не изменила групповые разрешения для стандартных файлов.

Он не предоставляет полных привилегий root.


0

Я немного опоздал на вечеринку, но задал себе тот же вопрос сегодня и пришел к следующему выводу:

Это противоречит принципу наименьших привилегий и поэтому его следует избегать.

Более конкретно, это может дать пользователю (чтение, запись или exec) права доступа не только ко многим обычным файлам и каталогам, но и ко многим специальным, подобным тем, которые взаимодействуют с ядром вашей системы.

Но поскольку это может отличаться для вашей системы, вы должны запустить это, чтобы найти и осмотреть их все (сначала для чтения, затем для записи, eXecute оставлен в качестве упражнения для читателя):

find / -group 0 -perm -g+r ! -perm -o+r  -ls | less 
find / -group 0 -perm -g+w ! -perm -o+w  -ls | less

Некоторые из них могут быть обычными файлами и каталогами (например, домашний каталог / root), но другие могут быть псевдо-файлами, которые являются интерфейсами в ядре (например, в / proc и / sys)

например:

find /sys -type f -group 0 -perm -g+w ! -perm -o+w  -name 'remove'
/sys/devices/pci0000:00/0000:00:17.0/0000:13:00.0/remove
/sys/devices/pci0000:00/0000:00:17.0/remove
/sys/devices/pci0000:00/0000:00:16.6/remove
...
etc.

Используйте, lspci -v |lessчтобы узнать, что это за устройства (например: контроллер хранилища, контроллер USB, сетевые и видеокарты и т. Д.)


На странице Википедии, на которую вы ссылаетесь, написано: «Принцип подразумевает предоставление учетной записи пользователя или обработку только тех привилегий, которые необходимы для выполнения его предполагаемой функции». Но вы не утверждали, что этим учетным записям не нужен доступ, который они получают, находясь в группе 0.
Скотт,
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.