7 votes

Lee Richardson avatar

A quoi sert le groupe `shadow` ?

Demandé el 16 de Avril, 2010
Quand la question a-t-elle été
18677 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Sur mon système Ubuntu 9.10, il y a une shadow groupe de systèmes. Il ne semble pas y avoir d'utilisateur affecté à ce groupe. Les seuls fichiers que je trouve appartenant à ce groupe sont les suivants /etc/shadow y /etc/gshadow .

Je suis conscient que le but de ces fichiers est de stocker les mots de passe séparément, hors de portée des utilisateurs habituels qui pourraient quand même vouloir accéder aux données de la base de données. passwd pour d'autres raisons.

Mais quel est le but de la shadow groupe ?

La raison de ma curiosité à ce sujet est que je pense à configurer nsswitch.conf pour le stocker ailleurs, et j'aimerais savoir si quelque chose essaie réellement d'accéder à la shadow base de données en utilisant shadow les informations d'identification du groupe.

Demandé el 16 de Avril, 2010 par Lee Richardson

Réponses

Trop de publicités?

5voto

victoriah avatar
victoriah Points 8462 
$ find /usr/bin/ -group shadow | xargs ls -l
-rwxr-sr-x 1 root shadow 45384 2008-12-08 03:13 /usr/bin/chage
-rwxr-sr-x 1 root shadow 21424 2008-12-08 03:13 /usr/bin/expiry

Il n'y a peut-être pas d'utilisateurs, mais il y a certainement un logiciel qui doit être capable de lire ce fichier. Notez que passwd est lui-même setuid root, et n'en a donc pas besoin.

Répondu el 17 de Avril, 2010 par victoriah (8462 Points )

2voto

solefald avatar
solefald Points 2305

Non, shadow ne devrait pas avoir d'utilisateurs, mais ce groupe est nécessaire pour que les mots de passe fantômes fonctionnent.

Je suppose que l'idée ici est de faire en sorte que le fichier soit accessible par l'utilisateur root et uniquement par lui. Vous pouvez avoir des utilisateurs supplémentaires dans le groupe root, c'est pourquoi le groupe d'utilisateurs séparé a été créé.

Répondu el 16 de Avril, 2010 par solefald (2305 Points )

2voto

Alan Robertson avatar
Alan Robertson Points 31

Sur ma machine Ubuntu, il y a un certain nombre de commandes qui sont set-group-id to shadow. Cela leur donne exactement et uniquement le privilège de lire les deux fichiers shadow (qui sont groupés à shadow, et uniquement lisibles par le groupe).

-rwxr-sr-x 1 root shadow 35584 Mar 16 11:45 /sbin/pam_extrausers_chkpwd
-rwxr-sr-x 1 root shadow 35544 Mar 16 11:45 /sbin/unix_chkpwd
-rwxr-sr-x 1 root shadow 59224 Jul 20  2015 /usr/bin/chage
-rwxr-sr-x 1 root shadow 23424 Jul 20  2015 /usr/bin/expiry

-rw-r----- 1 root shadow 1043 Apr  2 00:27 /etc/gshadow
-rw-r----- 1 root shadow 1732 Apr  2 00:27 /etc/shadow

Si vous avez un service qui uniquement a besoin de pouvoir lire l'un ou l'autre des fichiers shadow, il suffit de lui faire mettre set-group-id à shadow. C'est en quelque sorte l'opposé de ce qui est suggéré ci-dessus - ce n'est pas qu'il y a beaucoup d'autres personnes qui sont dans le groupe root, c'est que par convention (et permissions de fichiers) ce groupe vous donne accès seulement à ces deux ressources.

Répondu el 15 de Avril, 2016 par Alan Robertson (31 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X