Grup 0'da olmak ne anlama geliyor?

Devraldığım bir sistemdeki birçok kullanıcının kendi grubu / etc / passwd olarak 0 olarak ayarlanmıştır. Bu ne anlama geliyor? Temelde tam kök ayrıcalıkları alıyorlar mı?

Sistem CentOS 5 çalıştırıyor ve kullanıcılar eski bir yönetici de bu grupta olsa da, kullanıcılar öncelikle sistemle ilgili şeyler gibi görünüyor:

$ grep :0: /etc/passwd
root:x:0:0:root:/root:/bin/bash
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
operator:x:11:0:operator:/root:/sbin/nologin
jsmith:x:500:0:Joe Smith:/home/jsmith:/bin/bash
$

Kullanıcı 0'dan (kök kullanıcı) farklı olarak, grup 0'ın çekirdek düzeyinde özel bir ayrıcalığı yoktur.

Geleneksel olarak, grup 0'ın pek çok unix varyantı üzerinde özel ayrıcalıkları vardı - ya suroot olmak için (kök parolayı yazdıktan sonra) kullanma hakkı ya da parola yazmadan root olma hakkı. Temel olarak, grup 0'daki kullanıcılar sistem yöneticileriydi. Grup 0 özel ayrıcalıklara sahip olduğunda,wheel

Linux altında, grup 0'ın sudove gibi tırmanma araçlarını ayrıcalıklı kılmak için özel bir anlamı yoktur su. Bkz Neden Debian varsayılan olarak 'tekerlek' grubu oluşturarak değil?

CentOS altında, bildiğim kadarıyla, grup 0'ın özel bir önemi yoktur. Varsayılan sudoersdosyada başvurulmamıştır . Bu sistemdeki yöneticiler bir unix geleneğini taklit etmeye ve grup 0 üyelerine bazı özel izinler vermeye karar vermiş olabilirler. PAM yapılandırmasını ( /etc/pam.conf, /etc/pam.d/*) ve sudoers dosyasını ( /etc/sudoers) kontrol edin (bunlar, grup 0'ın özel ayrıcalıklar sağladığı tek yer değil, büyük olasılıkla).

0 kullanıcı kimliğinden farklı olarak, çekirdek 0 grubuna herhangi bir özel izin vermez. Ancak, 0 tipik olarak rootkullanıcı için varsayılan grup olduğundan , bu kişilerin genellikle root'a ait dosyalara erişebileceği veya değiştirilebileceği anlamına gelir (bu dosyalar genellikle grup 0'a aittir).

Ayrıca, bazı programlar grup 0'a özel davranabilir. Örneğin, subazı BSD sistemlerinde grup 0 üyelerine şifresiz kök erişimi verilir .

Bu süper kullanıcı sınıfı olmasa da, kimin üyesi olduğuna hala dikkat ederim.

Basitçe, birincil gruplarının roother şeyden çok olduğu anlamına gelir ve bu nedenle, örneğin, grup ayarlarının olduğu dosyalara erişirken grup ayarlarını kullanırlar root.

Standart sistem dosyalarının çoğu aittir root.rootancak grup izinleri genellikle dünya izinleriyle aynıdır;

Tam kök ayrıcalıkları vermez.

Partiye biraz geç kaldım ama bugün kendime aynı soruyu sordum ve şu sonuca vardım:

Bu, en az ayrıcalık ilkesine aykırıdır ve bundan kaçınılmalıdır.

Daha spesifik olarak bu, kullanıcıya çok sayıda normal dosya ve dizin için değil, aynı zamanda sistem çekirdeğinizle konuşmak gibi birçok özel kullanıcıya da (okuma, yazma veya yürütme) izinler verebilir .

Ancak bu, sisteminiz için farklı olabileceğinden, hepsini bulmak ve incelemek için bunu çalıştırmalısınız (önce okuma, ikinci yazma, eXecute okuyucu için bir alıştırma olarak bırakılır):

find / -group 0 -perm -g+r ! -perm -o+r  -ls | less 
find / -group 0 -perm -g+w ! -perm -o+w  -ls | less

Bunlardan bazıları normal dosyalar ve dizinler (giriş dizini / kök gibi) olabilir, ancak bazıları çekirdeğin arabirimi olan sahte dosyalar olabilir (/ proc ve / sys gibi)

Örneğin:

find /sys -type f -group 0 -perm -g+w ! -perm -o+w  -name 'remove'
/sys/devices/pci0000:00/0000:00:17.0/0000:13:00.0/remove
/sys/devices/pci0000:00/0000:00:17.0/remove
/sys/devices/pci0000:00/0000:00:16.6/remove
...
etc.

lspci -v |lessBu cihazların ne olduğunu bulmak için kullanın (örneğin: Depolama denetleyicisi, USB denetleyicisi, Ağ ve video kartları vb.)