Kök neden tekerlekte ve operatörde? Grupta kök olmak hiç fark yaratabilir mi?

FreeBSD makinemde kökün tekerlek ve operatörde olduğunu fark ettim. UID 0'ın bir grupta olmanın ... şey ... herhangi bir şey üzerinde herhangi bir etkisi olacağı bir durum düşünmeye çalışıyorum ve boş görüyorum. Bu nedenle, root'un / etc / passwd içinde birincil giriş grubuna bile ihtiyacı var mı? Yoksa kullanıcı boş bir birincil grup alanına sahipse login (3) boğulur ve ölür mü?

(Açıklığa kavuşturmak için: "Grup" grubunun varlığının amacını anlıyorum, çünkü dosyalar bir grup sahibine ihtiyaç duyuyor. Kullanıcı kökünün / toor / o grup üyeliğine sahip olanın ne kadar önemli olduğunu anlamıyorum.)

Bu onlarca yıl öncesine dayanıyor mu yoksa bunun gerçek bir nedeni var mı?

Kısacası: hayır. Kök wheelve operatorgruba sahip olmak hiçbir şeyi değiştirmez.

Ama aynı zamanda diğer 2 şeyi de sorguluyorsunuz:

• Kök grup kimliği (varsayılan olarak), boş bir değere en yakın şey olan 0 olarak ayarlanmıştır.

  $ head -4 /etc/passwd
  # $FreeBSD: releng/9.2/etc/master.passwd 243947 2012-12-06 11:52:31Z rwatson $
  #
  root:*:0:0:Charlie &:/root:/bin/csh
  toor:*:0:0:Bourne-again Superuser:/root:
  

  Söylendiği gibi, her kullanıcının bir grubu olması gerekir, bu nedenle kök grup kimliğini (veya herhangi bir kullanıcı giderini) geçersiz veya boş bir değere ayarlayamazsınız . Bir kullanıcı giderini boş olarak ayarlamaya çalışırsanız, aşağıdakiler konusunda uyarılırsınız pwd_mkdb:

  pwd_mkdb: no gid for user root
  pwd_mkdb: at line #3
  pwd_mkdb: /etc/pw.Rlb2U3: Inappropriate file type or format
  re-edit the password file?
  

  Aslında Yani kök tanımlanır daha düzgün yerine sadece aptal sayıda adlandırılmış sahip olmakla ilgilidir. Kök giderini anlamsız bir sayı ile değiştirebilirsiniz (gid içinde değil /etc/group). Kişisel kök kullanıcı Yine de giriş mümkün olacaktır, suya da herhangi başka kök yapabilirsiniz. Sonunda böyle bir şey olacak:

  $ id
  uid=0(root) gid=10000 groups=10000,5(operator)
  

• bazı kullanıcılar içindedir neden tekerlek olarak, tamamen farklı bir hikaye grubuna FreeBSD gibi OpenBSD veya NetBSD , kullanıcıların bir parçası olmak zorunda wheeliçin su root .

  FreeBSD belgelerinden ( bölüm 9.4 ):

  To SU için root (veya superuser hakları ile diğer hesaplar), sen olmalıdır tekerlek grubuna. Bu özellik olmasaydı, sistemde hesabı olan ve root şifresini de bulan herkes sisteme süper kullanıcı düzeyinde erişim kazanabilirdi. Bu özellik ile bu kesinlikle doğru değildir; su (1), tekerleğe girmedikleri takdirde şifreyi girmeye çalışmasını bile engelleyecektir .

  Ama haklısın, kök kullanıcıyı tekerlekten çıkarmak işleri değiştirmeyecekti. Olduğu kadar bu tamamen resmi olan toor kullanıcı olduğunu ne de bir parçası tekerleği veya kökünün bir parçası olan operatör grubuna.

• Bununla birlikte, operatör grubu, kendi içinde özel bir anlamı olmayan, tamamen biçimseldir.

Richard Stallman'ın tekerlek grubu hakkında ne düşündüğü de ( gnu su kılavuzundan ):

GNU "su" neden `` tekerlek '' grubunu desteklemiyor ==================================== ==========

(Bu bölüm Richard Stallman tarafından yazılmıştır.)

Bazen birkaç kullanıcı geri kalanını toplam gücü elinde tutmaya çalışır. Örneğin, 1984'te, MIT AI laboratuvarındaki birkaç kullanıcı, Twenex sistemindeki operatör şifresini değiştirerek ve diğer herkesten gizli tutarak gücü ele geçirmeye karar verdi. (Bu darbeyi engelleyebildim ve çekirdeği yamalayarak kullanıcılara güç verebildim, ancak Unix'te bunu nasıl yapacağımı bilemezdim.)

Ancak, bazen yöneticiler birine söyler. Her zamanki "su" mekanizması altında, birisi sıradan kullanıcılara sempati duyan kök parolayı öğrendikten sonra, geri kalanını söyleyebilir. "Tekerlek grubu" özelliği bunu imkansız hale getirecek ve böylece yöneticilerin gücünü güçlendirecektir.

Ben kitlelerin yanındayım, yöneticilerin değil. Patronları ve sistem yöneticilerini ne yaparlarsa desteklemeye alışkınsanız, bu fikri ilk başta garip bulabilirsiniz.

giriş (3) ve diğerleri birincil grup bekler. Utmp / wtmp dosyalarında geçerli alanları ayarlayabilmeleri için buna ihtiyaçları vardır. Ve (dosya biçimini değiştirmediler) bile, login (1) veya sshd (8) veya diğer programlar kullanıcı oturumunu ayarlamaya çalışırken daha temel bir sorunla karşılaşırsınız - utmp / wtmp ne olursa olsun her ikisini de doldurmaları gerekir UID ve GID çekirdek işlem özellikleri (oturum açmış kullanıcı tarafından oluşturulan dosyaların fark ettiğiniz gibi UID ve GID doldurulmuş olması gerekir).

Tüm güçlü köklerin neden birincil gruptan daha fazlasına ihtiyacı olduğu konusuna gelince, izin kontrolleri için değildir (UID 0 için atlandıkları için), ancak diğer bazı kullanımlar için de geçerlidir.

"tekerlek" grubu özellikle pam_wheel gibi birkaç ek kimlik doğrulama kontrolü için kullanılır

"Operatör" gibi diğer gruplar güvenlik özellikleri için kullanılabilecek (örneğin, root tarafından işletilen bazı süreç olabileceğini setuid hala "operatörü") gibi onun GRUBU üyelikleri (korurken, "kimse") gibi imtiyazsız KULLANICI (kadar) (2. Bu işlemin, tam UID 0 erişimiyle çalışmanın güvenlik sorunlarını önemli ölçüde azaltırken, grubun sahip olduğu dosyalara erişmeye devam etmesine izin verir.

Sisteminizde bu özelliği kullanan programların olup olmadığından emin değilim (veya varsayılan FreeBSD CURRENT)

Fark yaratabilir - herhangi bir program grup üyeliğini kontrol eder etmez ve sonuca bağlı olarak farklı davranır. Tabii ki, kök kullanıcının zorlayabileceği ayrıcalıklar arasında bir fark yoktur .

Hiç kimse grup tekerleğinin üyesi değilse, o zaman tekerlek basitçe göz ardı edilir ve tüm kullanıcılar su çalıştırabilir ... ve potansiyel olarak parolayı tahmin edebilir. En az bir kullanıcı kimliğinin bir grup tekerleğinin (yani kullanıcı kimliği kökü) bir üyesi olmasıyla, tekerlek kontrolleri kontrol edilir ve sadece grup tekerleğinin diğer üyeleri su çalıştırmayı deneyebilir.