Bir grup şifresi için tipik kullanım durumu

Unix deneyimine değen yarım asırdan fazla bir süreyi kontrol ettim ve ne iş arkadaşlarım ne de kendim bir grup ( sgve gpasswd) üzerine bir şifre belirledim . Bir grup şifresi için tipik bir kullanım durumu ne olurdu veya sadece tarihi nedenlerden ötürü hemen hemen var mı?

Ben de bu özelliği hiç kullanmamıştım, bir seferinde bile. Çoğu SA bu tesisin varlığından haberdar bile değil. Adam sayfasına bakarken gpasswd, bu not vardı:

Grup şifreleri hakkında notlar

  Group passwords are an inherent security problem since more than one 
  person is permitted to know the password. However, groups are a useful 
  tool for permitting co-operation between different users.

Neden varlar

Kullanıcıların şifreleri olan modellerini taklit etmenin doğal bir fikir olduğunu düşünüyorum. Fakat pratikte onlar gerçekten hiçbir şey için faydalı değildir.

Grup şifresi ile fikir, belirli bir gruba (üye olarak listelenmemiş bir gruba) erişmeniz gerekiyorsa, newgrpkomutu kullanarak bunu yapabilmeniz ve erişim elde etmek için bir şifre ile sorgulanabilmenizdir. bu alternatif gruplara.

Onlarla ilgili en büyük sorun, her grup için yalnızca tek bir parola bulunması, bu yüzden birden fazla kişinin belirli bir gruba erişmesi gerektiğinde, insanları bu tek parolayı paylaşmaya zorlamasıdır.

Gruplar

Karşılaştığım çoğu ortam tipik olarak insanları ikincil gruplara yerleştirdi ve daha sonra bu gruplara dosya sistemindeki dosyalara erişim izni verdi ve bu, gerçekleşmesi gereken tüm kullanımları büyük ölçüde tatmin etti.

sudo

sudoEk izinlerin ortaya çıkması ile birlikte, grup şifrelerinin sağladığı her türlü kullanım durumunu daha da baltalamak suretiyle, gruplara ihtiyaç duyulduğu şekilde verilebilir. Kullanıcıların daha fazla izne izin vermesi gerekiyorsa, rol oluşturmak çok daha kolaydı sudove sonra orada bulunan kullanıcı adının veya grubun girmesine izin ver , izinleri yükseltmek için izinler belirli bir görevi yerine getirebildi.

ACL

Sonunda Erişim Kontrol Listeleri (ACL'ler) oluşturma yeteneği, Kullanıcı / Grup / Diğer izinler modelinin tek başına sağlayamayacağı ve grup şifrelerinin gizliliğe karşı muhtemel herhangi bir ihtiyacını ortadan kaldıran son esnekliği verdi.

İşte günlükler hesabımın kaba bir şekilde zorlandığını (veya bir sözlük saldırısı olabileceğini) belirtti.
İş istasyonumdan ve ev bilgisayarımdan kullanılmak üzere anahtar çiftleri üretmek için ssh-keygenve puttygensaygıyla kullandım. Evden kullandığım anahtar şifre gerektiriyor. Her iki ortak anahtarı da ekledim .ssh/authorized_keys, marionetteşifreli ve üyesi olmayan bir grup oluşturdum . Kök visudoolarak aşağıdaki satırları eklemek için kullanılır .

Cmnd_Alias      SUDOING = /bin/bash, /usr/bin/sudo -i
%marionette     ALL=NOPASSWD:SUDOING

Hesabımın şifresini devre dışı bıraktım, siz hiç kimse bu şekilde giriş yapamazsınız. Şimdi sadece anahtarlarımla giriş yapıyorum ve şifre korumalı gruba girerek newgrp marionetteroot kullanmamı sağlıyor sudo -i.
Bu NOPASSWD:seçenek olmadan kullanıcı hesabınızın şifresini gerektirir . Eğer devre dışı bırakılmışsa ve bu grup yoksa NOPASSWD, yapamazsınız sudo -i. Komut listeniz yoksa veya kökünüzün varsayılan olarak kullandığı herhangi bir kabuk varsa , kullanıcı hesabı şifrenizi de gerektirir /bin/bash.

Bu, birkaç adım daha uzun süre sudo yapmak için yol açsa da, iyi bir güvenlik katmanı sağlar. Tüm hesaplarınızı böyle yapmayı tercih ederseniz, şifre ve sudo ayrıcalıklarına sahip bir yerel hesap oluşturun, ancak /etc/ssh/sshd_configşunun gibi bir şey ekleyerek ssh girişini reddedin :

DenyUsers root caan
DenyGroups root daleks

Erişim anahtarlarınızı yedekleyip unutmayı unutmanız durumunda yerel erişim için bu gereklidir.

Ben de bu şifre için bir kullanım çantası görmedim. Ve bu yaklaşık 20 yıllık * nix deneyimidir.

Aklıma gelen tek kullanım durumu, onu "!" Olarak ayarlamak. - kilitli, bu yüzden kimse, o gruba üye olmamak newgrpkomutuyla değişebilir .

SLES'te / etc / group ya da RedHat tabanlı sistemlerde / etc / gshadow'a bakarsam, bu "tipik" kullanım durumu gibi görünüyor. SLES, bu parola için bir gölge mekanizması oluşturmak için bile uğraşmadı.

Bir kullanım davası önereyim.

Öncelikle, "kullanıcı" terimine bu kadar alışkın olduğumuzu söyleyeyim, bunun hakkında bile düşünmedik. Ancak "kullanıcı" gerçekten bir kullanıcı değildir . Örneğin, evde üç bilgisayarımız var - karımın laptopu, laptopum ve ortak masaüstü bilgisayarım. Karımın dizüstü bilgisayarını kullanırken, onun kullanıcı hesabıyla giriş yapıyorum. Dizüstü bilgisayarımı kullanırken kullanıcı hesabımla oturum açıyor. Birisi masaüstüne ihtiyaç duyuyorsa, ortak bir hesabı kullanır. Burada, bilgisayar sisteminin "kullanıcı" olarak adlandırdığı şeyin gerçekten bir kullanıcı değil bir iş akışı - bir dizi etkinlik olduğunu görüyoruz .

Soru şu: Neden sahip olduğum her iş için bir tane olmak üzere birden fazla faaliyet yapamıyorum? Yapabilirim. İş bilgisayarımda (deneysel olarak) birçok farklı kullanıcı yarattım, böylece şu anki göreve odaklanabilirim. Tüm bu kullanıcıları aynı gruba koydum, böylece şu anda kullandığım kullanıcıyı seçmeden dosyalarıma erişebiliyorum.

Peki gpasswd bu konuda nereye uyuyor?

Ubuntu'nun varsayılan davranışı, her kullanıcı için özel bir grup oluşturmaktır.

Bu birincil grupları kullanıcı olarak düşünmeye ve sistem kullanıcıları hakkında iş akışı olarak düşünmeye karar verirsek ne olur ?

Bu yeni kullanıcıların giriş yapmak için şifreye ihtiyacı olacak, değil mi? Burası gpasswd'nin yeri. Hala grupla nasıl giriş yapabileceğimi bulmam gerekiyor (bu noktaya kadar bildiğim şey, daha önce giriş yaptıysanız gpasswd grubunu değiştirebileceğinizdir).