Sul mio Ubuntu esiste un gruppo "utenti" con ID 100. Ma non ha membri. Le mie domande sono:
- Qual è lo scopo di questo gruppo?
- Ogni utente del sistema dovrebbe diventare un membro di questo gruppo?
Sul mio Ubuntu esiste un gruppo "utenti" con ID 100. Ma non ha membri. Le mie domande sono:
Risposte:
Ubuntu si basa su Debian e gli utenti seguono la stessa filosofia. Cito quindi la spiegazione di Debians dei gruppi di sistemi :
utenti: Mentre i sistemi Debian usano il sistema di gruppi di utenti privati di default (ogni utente ha il proprio gruppo), alcuni preferiscono usare un sistema di gruppo più tradizionale, in cui ogni utente è membro di questo gruppo.
Non è usato su Ubuntu (e Debian), ma è tenuto lì nel caso in cui gli amministratori del sistema lo desiderino. Assicura in modo efficace che abbia lo stesso GID su tutti i sistemi, il che non accade se viene creato localmente.
Non è necessario rendere gli utenti membri di users
un'installazione Ubuntu standard. In alcuni casi e impostazioni può essere conveniente che tutti gli utenti appartengano a un gruppo utenti comune.
Poiché il concetto di "ID utente" era originariamente destinato alla contabilità, più che alla sicurezza, e non tutti gli account "utente" significano qualcosa che può potenzialmente mangiare un cheeseburger. Il gruppo "utenti" ha lo scopo di designare le identità degli utenti che, di fatto, si associano a persone reali. Come semplice esempio, su molte workstation grafiche basate su UNIX, la schermata di accesso non mostrerà tutti gli account utente in / etc / passwd, ma solo quelli nel gruppo "utenti" (o forse alcuni compartimenti ancora più stretti).
Considerare il server Web Apache. Su molti sistemi, funziona come "utente" "httpd". Tuttavia, ovviamente, non ci aspettiamo che nessuno acceda come questo utente. Nel senso classico della contabilità, non vogliamo fatturare a nessun utente normale il tempo di CPU utilizzato dal server Web di sistema. In un secondo senso di sicurezza, il server Web non dovrebbe essere in grado di fare il set completo di cose che un utente connesso può fare.
In questi giorni, abbiamo SELINUX e liste di controllo degli accessi e qualsiasi numero di altri concetti che ci danno modi più flessibili per bloccare le cose. Ma l'idea di base è ancora quella di creare qualcosa di simile all'utente che abbia meno permessi - o almeno diversi - rispetto a un utente che ha effettuato l'accesso.
Ora, alla prossima parte della tua domanda: perché il gruppo di utenti è vuoto?
Perché invece hai il tuo gruppo personale. Se aggiungi un account per il tuo amico a quella macchina, anche loro avranno il loro gruppo. Tuttavia, non otterranno autorizzazioni speciali aggiunte al tuo gruppo. Con l'approccio di gruppo "utenti", supponendo che fossero membri di quel gruppo, tutti i miglioramenti e le restrizioni a quel gruppo sarebbero arrivati per la corsa per il nuovo account.
Per un esempio pratico, se installi Oracle VirtualBox, probabilmente dovrai aggiungere un gruppo "vboxusers" che ti darà accesso ai dispositivi speciali in / dev che consentono a VirtualBox di accelerare determinati dispositivi e passarne altri. Allo stesso modo per Wireshark, se lo usi.
Per i sistemi che creano nuovi gruppi per ciascun utente, in genere esiste un modello utilizzato per il nuovo gruppo.