Bir grup şifresi için tipik kullanım durumu


35

Unix deneyimine değen yarım asırdan fazla bir süreyi kontrol ettim ve ne iş arkadaşlarım ne de kendim bir grup ( sgve gpasswd) üzerine bir şifre belirledim . Bir grup şifresi için tipik bir kullanım durumu ne olurdu veya sadece tarihi nedenlerden ötürü hemen hemen var mı?


4
Belki de Ken'e bir e-posta göndermeliyim , tasarım aşamasında
düşünmesini rica ediyorum

Yanıtlar:


26

Ben de bu özelliği hiç kullanmamıştım, bir seferinde bile. Çoğu SA bu tesisin varlığından haberdar bile değil. Adam sayfasına bakarken gpasswd, bu not vardı:

Grup şifreleri hakkında notlar

  Group passwords are an inherent security problem since more than one 
  person is permitted to know the password. However, groups are a useful 
  tool for permitting co-operation between different users.

Neden varlar

Kullanıcıların şifreleri olan modellerini taklit etmenin doğal bir fikir olduğunu düşünüyorum. Fakat pratikte onlar gerçekten hiçbir şey için faydalı değildir.

Grup şifresi ile fikir, belirli bir gruba (üye olarak listelenmemiş bir gruba) erişmeniz gerekiyorsa, newgrpkomutu kullanarak bunu yapabilmeniz ve erişim elde etmek için bir şifre ile sorgulanabilmenizdir. bu alternatif gruplara.

Onlarla ilgili en büyük sorun, her grup için yalnızca tek bir parola bulunması, bu yüzden birden fazla kişinin belirli bir gruba erişmesi gerektiğinde, insanları bu tek parolayı paylaşmaya zorlamasıdır.

Gruplar

Karşılaştığım çoğu ortam tipik olarak insanları ikincil gruplara yerleştirdi ve daha sonra bu gruplara dosya sistemindeki dosyalara erişim izni verdi ve bu, gerçekleşmesi gereken tüm kullanımları büyük ölçüde tatmin etti.

sudo

sudoEk izinlerin ortaya çıkması ile birlikte, grup şifrelerinin sağladığı her türlü kullanım durumunu daha da baltalamak suretiyle, gruplara ihtiyaç duyulduğu şekilde verilebilir. Kullanıcıların daha fazla izne izin vermesi gerekiyorsa, rol oluşturmak çok daha kolaydı sudove sonra orada bulunan kullanıcı adının veya grubun girmesine izin ver , izinleri yükseltmek için izinler belirli bir görevi yerine getirebildi.

ACL

Sonunda Erişim Kontrol Listeleri (ACL'ler) oluşturma yeteneği, Kullanıcı / Grup / Diğer izinler modelinin tek başına sağlayamayacağı ve grup şifrelerinin gizliliğe karşı muhtemel herhangi bir ihtiyacını ortadan kaldıran son esnekliği verdi.


Zaten sudove ACL'lerden bahsediyorsun Sanırım udevbenzer bir hikaye ile geliyor, elbette cihazlara odaklanarak. İlginç okuma
jippie

11

İşte günlükler hesabımın kaba bir şekilde zorlandığını (veya bir sözlük saldırısı olabileceğini) belirtti.
İş istasyonumdan ve ev bilgisayarımdan kullanılmak üzere anahtar çiftleri üretmek için ssh-keygenve puttygensaygıyla kullandım. Evden kullandığım anahtar şifre gerektiriyor. Her iki ortak anahtarı da ekledim .ssh/authorized_keys, marionetteşifreli ve üyesi olmayan bir grup oluşturdum . Kök visudoolarak aşağıdaki satırları eklemek için kullanılır .

Cmnd_Alias      SUDOING = /bin/bash, /usr/bin/sudo -i
%marionette     ALL=NOPASSWD:SUDOING

Hesabımın şifresini devre dışı bıraktım, siz hiç kimse bu şekilde giriş yapamazsınız. Şimdi sadece anahtarlarımla giriş yapıyorum ve şifre korumalı gruba girerek newgrp marionetteroot kullanmamı sağlıyor sudo -i.
Bu NOPASSWD:seçenek olmadan kullanıcı hesabınızın şifresini gerektirir . Eğer devre dışı bırakılmışsa ve bu grup yoksa NOPASSWD, yapamazsınız sudo -i. Komut listeniz yoksa veya kökünüzün varsayılan olarak kullandığı herhangi bir kabuk varsa , kullanıcı hesabı şifrenizi de gerektirir /bin/bash.

Bu, birkaç adım daha uzun süre sudo yapmak için yol açsa da, iyi bir güvenlik katmanı sağlar. Tüm hesaplarınızı böyle yapmayı tercih ederseniz, şifre ve sudo ayrıcalıklarına sahip bir yerel hesap oluşturun, ancak /etc/ssh/sshd_configşunun gibi bir şey ekleyerek ssh girişini reddedin :

DenyUsers root caan
DenyGroups root daleks

Erişim anahtarlarınızı yedekleyip unutmayı unutmanız durumunda yerel erişim için bu gereklidir.


sudoPOSIX newgrpkomutunu kullandıysanız, bunu daha iyi yapabilirsiniz . Yine de mükemmel cevap.
mikeserv

Tam olarak bir sorunun cevabı değil, "old" ( newgrp) ve "new" ( sudo) 'in kullanımı ve net bir katma değer ile birleştirilmesi için mükemmel bir teklif . Bu, bazı övgüler hak ediyor.
Dirk

1

Ben de bu şifre için bir kullanım çantası görmedim. Ve bu yaklaşık 20 yıllık * nix deneyimidir.

Aklıma gelen tek kullanım durumu, onu "!" Olarak ayarlamak. - kilitli, bu yüzden kimse, o gruba üye olmamak newgrpkomutuyla değişebilir .

SLES'te / etc / group ya da RedHat tabanlı sistemlerde / etc / gshadow'a bakarsam, bu "tipik" kullanım durumu gibi görünüyor. SLES, bu parola için bir gölge mekanizması oluşturmak için bile uğraşmadı.


Ne demek istediğinden emin değilim. Örneğin. newgrp ntpZaten yapamam , !kilitleme bunu nasıl değiştirir?
jippie

@jippie - sisteminizde ntp'nin şifre alanı nedir? Parolayı tahmin etmek biraz kolay olsaydı, sizin newgrp ntp'yi yapabildiniz. İle ! yapamazsın.
Nils,

Bu sadece bir örnek, 'x' işareti var ve ntp kullanıcısının kendisi dışında bir grup üyesi yok. Sadece şifre alanını ayarlayarak çözdüğün sorunu !
anlamıyorum

2
Kimden man newgrp: Grup şifresi boşsa ve kullanıcı üye olarak listelenmemişse, kullanıcının erişimi reddedilir.
user2387 6:15

0

Bir kullanım davası önereyim.

Öncelikle, "kullanıcı" terimine bu kadar alışkın olduğumuzu söyleyeyim, bunun hakkında bile düşünmedik. Ancak "kullanıcı" gerçekten bir kullanıcı değildir . Örneğin, evde üç bilgisayarımız var - karımın laptopu, laptopum ve ortak masaüstü bilgisayarım. Karımın dizüstü bilgisayarını kullanırken, onun kullanıcı hesabıyla giriş yapıyorum. Dizüstü bilgisayarımı kullanırken kullanıcı hesabımla oturum açıyor. Birisi masaüstüne ihtiyaç duyuyorsa, ortak bir hesabı kullanır. Burada, bilgisayar sisteminin "kullanıcı" olarak adlandırdığı şeyin gerçekten bir kullanıcı değil bir iş akışı - bir dizi etkinlik olduğunu görüyoruz .

Soru şu: Neden sahip olduğum her iş için bir tane olmak üzere birden fazla faaliyet yapamıyorum? Yapabilirim. İş bilgisayarımda (deneysel olarak) birçok farklı kullanıcı yarattım, böylece şu anki göreve odaklanabilirim. Tüm bu kullanıcıları aynı gruba koydum, böylece şu anda kullandığım kullanıcıyı seçmeden dosyalarıma erişebiliyorum.

Peki gpasswd bu konuda nereye uyuyor?

Ubuntu'nun varsayılan davranışı, her kullanıcı için özel bir grup oluşturmaktır.

Bu birincil grupları kullanıcı olarak düşünmeye ve sistem kullanıcıları hakkında iş akışı olarak düşünmeye karar verirsek ne olur ?

Bu yeni kullanıcıların giriş yapmak için şifreye ihtiyacı olacak, değil mi? Burası gpasswd'nin yeri. Hala grupla nasıl giriş yapabileceğimi bulmam gerekiyor (bu noktaya kadar bildiğim şey, daha önce giriş yaptıysanız gpasswd grubunu değiştirebileceğinizdir).


grup parolası, henüz sormadığınız, bu sorunun amacı.
Jeff Schaller

BT'de çok yaygın olan güvenlik ve hesap verebilirlik bakış açısından başkasının kullanıcı hesabını kullanmak kabul edilemez. Eviniz için uygun olsa da, kurumsal ortamlar için kötü bir uygulamadır.
jippie
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.