7 votes

A quoi sert le groupe `shadow` ?

Sur mon système Ubuntu 9.10, il y a une shadow groupe de systèmes. Il ne semble pas y avoir d'utilisateur affecté à ce groupe. Les seuls fichiers que je trouve appartenant à ce groupe sont les suivants /etc/shadow y /etc/gshadow .

Je suis conscient que le but de ces fichiers est de stocker les mots de passe séparément, hors de portée des utilisateurs habituels qui pourraient quand même vouloir accéder aux données de la base de données. passwd pour d'autres raisons.

Mais quel est le but de la shadow groupe ?

La raison de ma curiosité à ce sujet est que je pense à configurer nsswitch.conf pour le stocker ailleurs, et j'aimerais savoir si quelque chose essaie réellement d'accéder à la shadow base de données en utilisant shadow les informations d'identification du groupe.

5voto

victoriah Points 8462
$ find /usr/bin/ -group shadow | xargs ls -l
-rwxr-sr-x 1 root shadow 45384 2008-12-08 03:13 /usr/bin/chage
-rwxr-sr-x 1 root shadow 21424 2008-12-08 03:13 /usr/bin/expiry

Il n'y a peut-être pas d'utilisateurs, mais il y a certainement un logiciel qui doit être capable de lire ce fichier. Notez que passwd est lui-même setuid root, et n'en a donc pas besoin.

2voto

solefald Points 2305

Non, shadow ne devrait pas avoir d'utilisateurs, mais ce groupe est nécessaire pour que les mots de passe fantômes fonctionnent.

Je suppose que l'idée ici est de faire en sorte que le fichier soit accessible par l'utilisateur root et uniquement par lui. Vous pouvez avoir des utilisateurs supplémentaires dans le groupe root, c'est pourquoi le groupe d'utilisateurs séparé a été créé.

2voto

Alan Robertson Points 31

Sur ma machine Ubuntu, il y a un certain nombre de commandes qui sont set-group-id to shadow. Cela leur donne exactement et uniquement le privilège de lire les deux fichiers shadow (qui sont groupés à shadow, et uniquement lisibles par le groupe).

-rwxr-sr-x 1 root shadow 35584 Mar 16 11:45 /sbin/pam_extrausers_chkpwd
-rwxr-sr-x 1 root shadow 35544 Mar 16 11:45 /sbin/unix_chkpwd
-rwxr-sr-x 1 root shadow 59224 Jul 20  2015 /usr/bin/chage
-rwxr-sr-x 1 root shadow 23424 Jul 20  2015 /usr/bin/expiry

-rw-r----- 1 root shadow 1043 Apr  2 00:27 /etc/gshadow
-rw-r----- 1 root shadow 1732 Apr  2 00:27 /etc/shadow

Si vous avez un service qui uniquement a besoin de pouvoir lire l'un ou l'autre des fichiers shadow, il suffit de lui faire mettre set-group-id à shadow. C'est en quelque sorte l'opposé de ce qui est suggéré ci-dessus - ce n'est pas qu'il y a beaucoup d'autres personnes qui sont dans le groupe root, c'est que par convention (et permissions de fichiers) ce groupe vous donne accès seulement à ces deux ressources.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X