Для чего используется группа "shadow"?

В моей системе Ubuntu 9.10 есть shadow системная группа. Похоже, что нет никакого пользователя, назначенного на эту группу вообще. Единственные файлы, которые я могу найти, принадлежащие к этой группе: /etc/shadow а также /etc/gshadow,

Мне известно, что цель этих файлов - хранить пароли отдельно, вне досягаемости от обычных пользователей, которые все еще могут захотеть получить доступ passwd по другим причинам.

Но какова цель shadow группа?

Мне интересно это потому, что я думаю о настройке nsswitch.conf чтобы хранить его в другом месте, и хотел бы знать, если что-то на самом деле пытается получить доступ к shadow использование базы данных shadow учетные данные группы.

3 ответа

Решение
$ find /usr/bin/ -group shadow | xargs ls -l
-rwxr-sr-x 1 root shadow 45384 2008-12-08 03:13 /usr/bin/chage
-rwxr-sr-x 1 root shadow 21424 2008-12-08 03:13 /usr/bin/expiry

Там не может быть никаких пользователей, но, безусловно, есть программное обеспечение, которое должно быть в состоянии прочитать этот файл. Обратите внимание, что passwd Сам по себе setuid root, и поэтому не нуждается в этом.

На моей машине с Ubuntu есть несколько команд, которые устанавливают -gid-id для shadow. Это предоставляет им точно и только привилегию чтения двух теневых файлов (которые сгруппированы в тени и доступны только для чтения по группам).

-rwxr-sr-x 1 root shadow 35584 Mar 16 11:45 /sbin/pam_extrausers_chkpwd
-rwxr-sr-x 1 root shadow 35544 Mar 16 11:45 /sbin/unix_chkpwd
-rwxr-sr-x 1 root shadow 59224 Jul 20  2015 /usr/bin/chage
-rwxr-sr-x 1 root shadow 23424 Jul 20  2015 /usr/bin/expiry


-rw-r----- 1 root shadow 1043 Apr  2 00:27 /etc/gshadow
-rw-r----- 1 root shadow 1732 Apr  2 00:27 /etc/shadow

Если у вас есть служба, которой требуется только чтение одного или другого теневого файла, просто установите для него set-group-id для shadow. Это как бы противоположно тому, что было предложено выше - дело не в том, что в корне группы есть много других людей, а в том, что по соглашению (и разрешениям для файлов) эта группа предоставляет вам доступ только к этим двум ресурсам.

Нет, shadow В группе не должно быть пользователей, но эта группа необходима для работы теневых паролей.

Я предполагаю, что идея заключается в том, чтобы файл был доступен только root и root. У вас могут быть дополнительные пользователи в корневой группе, поэтому была создана отдельная группа пользователей.

Другие вопросы по тегам