Na moim Ubuntu istnieje grupa „użytkowników” o id 100. Ale w ogóle nie ma członków. Moje pytania to:
- Jaki jest cel tej grupy?
- Czy każdy użytkownik systemu powinien zostać członkiem tej grupy?
Na moim Ubuntu istnieje grupa „użytkowników” o id 100. Ale w ogóle nie ma członków. Moje pytania to:
Odpowiedzi:
Ubuntu opiera się na Debianie, a użytkownicy kierują się tą samą filozofią. Dlatego cytuję wyjaśnienia Debian dotyczące grup systemowych :
użytkownicy: Podczas gdy systemy Debian domyślnie używają systemu prywatnej grupy użytkowników (każdy użytkownik ma własną grupę), niektórzy wolą używać bardziej tradycyjnego systemu grup, w którym każdy użytkownik jest członkiem tej grupy.
Nie jest używany w Ubuntu (i Debianie), ale jest przechowywany na wypadek, gdyby administratorzy systemu chcieli go użyć. Skutecznie zapewnia, że będzie miał ten sam identyfikator GID na wszystkich systemach, co nie jest prawdą, jeśli zostanie utworzony lokalnie.
Nie jest konieczne, aby użytkownicy byli członkami users
standardowej instalacji Ubuntu. W niektórych przypadkach i ustawieniach może być wygodne, aby wszyscy użytkownicy należeli do wspólnej grupy użytkowników.
Ponieważ koncepcja „ID użytkownika” pierwotnie była przeznaczona do księgowości, więcej niż bezpieczeństwa, i nie każde konto „użytkownika” oznacza coś, co potencjalnie może zjeść cheeseburgera. Grupa „użytkownicy” ma na celu wyznaczenie tożsamości użytkowników, które w rzeczywistości odwzorowują rzeczywistych ludzi. Jako prosty przykład, na wielu graficznych stacjach roboczych opartych na UNIX, ekran logowania nie pokaże każdego konta użytkownika w / etc / passwd, ale tylko konta z grupy „users” (a może nawet bardziej ciasnego przedziału).
Rozważ serwer WWW Apache. W wielu systemach działa to jako „użytkownik” „httpd”. Oczywiście nie oczekujemy, że ktoś zaloguje się jako ten użytkownik. W klasycznym sensie księgowym nie chcemy obciążać żadnego normalnego użytkownika za czas procesora wykorzystywany przez systemowy serwer WWW. W późniejszym sensie bezpieczeństwa serwer sieciowy nie powinien być w stanie wykonać pełnego zestawu rzeczy, które może zrobić zalogowany użytkownik.
Obecnie mamy listy SELINUX i kontroli dostępu oraz wiele innych koncepcji, które dają nam bardziej elastyczne sposoby blokowania. Ale podstawową ideą nadal jest stworzenie czegoś podobnego do użytkownika, który ma mniej - a przynajmniej inaczej - uprawnienia niż zalogowany użytkownik.
Teraz przejdźmy do następnej części pytania: dlaczego grupa użytkowników jest pusta?
Ponieważ zamiast tego masz swoją własną grupę. Jeśli dodasz konto swojego znajomego do tego komputera, otrzyma on także własną grupę. Nie uzyskają jednak żadnych specjalnych uprawnień dodanych do własnej grupy. Dzięki podejściu grupowemu „użytkownicy”, zakładając, że byli oni członkami tej grupy, wszystkie ulepszenia i ograniczenia dotyczące tej grupy pojawiałyby się podczas jazdy na nowym koncie.
Dla praktycznego przykładu, jeśli zainstalujesz Oracle VirtualBox, prawdopodobnie będziesz musiał dodać grupę „vboxusers”, która da ci dostęp do specjalnych urządzeń w / dev, które pozwalają VirtualBoxowi przyspieszać niektóre urządzenia i przechodzić przez inne. Podobnie, jeśli używasz Wireshark.
W systemach, które tworzą nowe grupy dla każdego użytkownika, zwykle istnieje szablon, który jest używany dla nowej grupy.