Cosa significa essere nel gruppo 0?

11

Diversi utenti in un sistema che ho ereditato hanno il gruppo impostato su 0 in / etc / passwd. Cosa significa? In sostanza ottengono i privilegi di root completi?

Il sistema esegue CentOS 5 e gli utenti sembrano essere principalmente relativi al sistema, sebbene un ex amministratore faccia parte di quel gruppo:

$ grep :0: /etc/passwd
root:x:0:0:root:/root:/bin/bash
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
operator:x:11:0:operator:/root:/sbin/nologin
jsmith:x:500:0:Joe Smith:/home/jsmith:/bin/bash
$
centos  root  group 
Gilles 'SO- smetti di essere malvagio'
fonte

Risposte:

12

A differenza dell'utente 0 (l'utente root), il gruppo 0 non ha alcun privilegio speciale a livello di kernel.

Tradizionalmente, il gruppo 0 aveva privilegi speciali su molte varianti unix - il diritto di usare super diventare root (dopo aver digitato la password di root), o il diritto di diventare root senza digitare una password. Fondamentalmente, gli utenti del gruppo 0 erano gli amministratori di sistema. Quando il gruppo 0 ha privilegi speciali, viene chiamatowheel

Sotto Linux, il gruppo 0 non ha alcun significato speciale per privilegiare le utility di escalation come sudoe su, neanche. Vedi Perché Debian non sta creando il gruppo 'wheel' di default?

Sotto CentOS, per quanto ne so, il gruppo 0 non ha alcun significato speciale. Non è indicato nel sudoersfile predefinito . Gli amministratori di quel sistema potrebbero aver deciso di emulare una tradizione unix e conferire ai membri del gruppo 0 alcune autorizzazioni speciali. Controllare la configurazione PAM ( /etc/pam.conf, /etc/pam.d/*) e il file sudoers ( /etc/sudoers) (questi non sono gli unici posti in cui al gruppo 0 potrebbero essere stati conferiti privilegi speciali, ma il più probabile).

Gilles 'SO- smetti di essere malvagio'
fonte
3

A differenza dell'ID utente 0, il kernel non concede autorizzazioni speciali per il gruppo 0. Tuttavia, poiché 0 è in genere il gruppo predefinito per l' rootutente, significa che queste persone saranno spesso in grado di accedere o modificare i file di proprietà di root (poiché tali file spesso appartengono anche al gruppo 0).

Inoltre, alcuni programmi possono trattare in particolare il gruppo 0. Ad esempio, susu alcuni sistemi BSD garantirà l'accesso root senza password ai membri del gruppo 0 .

Quindi, sebbene non sia una classe di superutente, starei comunque attento a chi è un membro.

Jander
fonte
2

Significa semplicemente che il loro gruppo principale è rootpiuttosto che qualsiasi altra cosa e quindi, ad esempio, usano le impostazioni del gruppo quando accedono ai file in cui si trovano le impostazioni del gruppo root.

La maggior parte dei file di sistema standard sono di proprietà, root.rootma le autorizzazioni di gruppo sono generalmente le stesse delle autorizzazioni mondiali, quindi, di per sé, ciò non comporta alcun vantaggio a meno che il sistema non abbia modificato le autorizzazioni di gruppo su file standard.

Non garantisce i privilegi di root completi.

StarNamer
fonte
0

Sono un po 'in ritardo alla festa, ma oggi mi sono posto la stessa domanda e sono giunto alla seguente conclusione:

Ciò è contrario al principio del privilegio minimo e dovrebbe pertanto essere evitato.

Più specificamente, ciò potrebbe dare all'utente (leggi, scrivere o eseguire) le autorizzazioni non solo per molti file e directory regolari, ma anche per molti di quelli speciali che parlano al kernel del sistema.

Ma poiché questo potrebbe essere diverso per il tuo sistema, dovresti eseguirlo per trovarli e controllarli tutti (prima per leggere, seconda per scrivere, eXecute viene lasciato come esercizio per il lettore): 

find / -group 0 -perm -g+r ! -perm -o+r  -ls | less 
find / -group 0 -perm -g+w ! -perm -o+w  -ls | less

Alcuni di questi possono essere file e directory regolari (come la home directory / root) ma altri possono essere pseudo file che sono interfacce nel kernel (come in / proc e / sys)

per esempio:

find /sys -type f -group 0 -perm -g+w ! -perm -o+w  -name 'remove'
/sys/devices/pci0000:00/0000:00:17.0/0000:13:00.0/remove
/sys/devices/pci0000:00/0000:00:17.0/remove
/sys/devices/pci0000:00/0000:00:16.6/remove
...
etc.

Utilizzare lspci -v |lessper scoprire quali sono tali dispositivi (ad esempio: controller di archiviazione, controller USB, schede di rete e video, ecc.)

JohannesB
fonte
La pagina Wikipedia a cui ti colleghi dice "Il principio significa dare un account utente o elaborare solo quei privilegi che sono essenziali per svolgere la sua funzione prevista." Ma non hai sostenuto che questi account non necessitano dell'accesso che ottengono dal gruppo 0.
Scott
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.