Для чего используется группа "shadow"?
В моей системе Ubuntu 9.10 есть shadow
системная группа. Похоже, что нет никакого пользователя, назначенного на эту группу вообще. Единственные файлы, которые я могу найти, принадлежащие к этой группе: /etc/shadow
а также /etc/gshadow
,
Мне известно, что цель этих файлов - хранить пароли отдельно, вне досягаемости от обычных пользователей, которые все еще могут захотеть получить доступ passwd
по другим причинам.
Но какова цель shadow
группа?
Мне интересно это потому, что я думаю о настройке nsswitch.conf
чтобы хранить его в другом месте, и хотел бы знать, если что-то на самом деле пытается получить доступ к shadow
использование базы данных shadow
учетные данные группы.
3 ответа
$ find /usr/bin/ -group shadow | xargs ls -l
-rwxr-sr-x 1 root shadow 45384 2008-12-08 03:13 /usr/bin/chage
-rwxr-sr-x 1 root shadow 21424 2008-12-08 03:13 /usr/bin/expiry
Там не может быть никаких пользователей, но, безусловно, есть программное обеспечение, которое должно быть в состоянии прочитать этот файл. Обратите внимание, что passwd
Сам по себе setuid root, и поэтому не нуждается в этом.
На моей машине с Ubuntu есть несколько команд, которые устанавливают -gid-id для shadow. Это предоставляет им точно и только привилегию чтения двух теневых файлов (которые сгруппированы в тени и доступны только для чтения по группам).
-rwxr-sr-x 1 root shadow 35584 Mar 16 11:45 /sbin/pam_extrausers_chkpwd
-rwxr-sr-x 1 root shadow 35544 Mar 16 11:45 /sbin/unix_chkpwd
-rwxr-sr-x 1 root shadow 59224 Jul 20 2015 /usr/bin/chage
-rwxr-sr-x 1 root shadow 23424 Jul 20 2015 /usr/bin/expiry
-rw-r----- 1 root shadow 1043 Apr 2 00:27 /etc/gshadow
-rw-r----- 1 root shadow 1732 Apr 2 00:27 /etc/shadow
Если у вас есть служба, которой требуется только чтение одного или другого теневого файла, просто установите для него set-group-id для shadow. Это как бы противоположно тому, что было предложено выше - дело не в том, что в корне группы есть много других людей, а в том, что по соглашению (и разрешениям для файлов) эта группа предоставляет вам доступ только к этим двум ресурсам.
Нет, shadow
В группе не должно быть пользователей, но эта группа необходима для работы теневых паролей.
Я предполагаю, что идея заключается в том, чтобы файл был доступен только root и root. У вас могут быть дополнительные пользователи в корневой группе, поэтому была создана отдельная группа пользователей.