Có nghĩa là gì trong nhóm 0?

Một số người dùng trong hệ thống tôi được thừa kế có nhóm của họ được đặt thành 0 in / etc / passwd. Điều đó nghĩa là gì? Họ về cơ bản có được quyền root đầy đủ?

Hệ thống đang chạy CentOS 5 và người dùng dường như chủ yếu liên quan đến hệ thống, mặc dù một quản trị viên cũ cũng nằm trong nhóm đó:

$ grep :0: /etc/passwd
root:x:0:0:root:/root:/bin/bash
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
operator:x:11:0:operator:/root:/sbin/nologin
jsmith:x:500:0:Joe Smith:/home/jsmith:/bin/bash
$

Không giống như người dùng 0 (người dùng root), nhóm 0 không có bất kỳ đặc quyền đặc biệt nào ở cấp hạt nhân.

Theo truyền thống, nhóm 0 có các đặc quyền đặc biệt đối với nhiều biến thể unix - có quyền sử dụng suđể trở thành root (sau khi nhập mật khẩu gốc) hoặc quyền trở thành root mà không cần nhập mật khẩu. Về cơ bản, người dùng trong nhóm 0 là quản trị viên hệ thống. Khi nhóm 0 có các đặc quyền đặc biệt, nó được gọi làwheel

Trong Linux, nhóm 0 không có bất kỳ ý nghĩa đặc biệt nào đối với các tiện ích leo thang đặc quyền như sudo, và su, hoặc. Xem tại sao Debian không tạo nhóm 'bánh xe' theo mặc định?

Theo CentOS, theo như tôi biết, nhóm 0 không có ý nghĩa đặc biệt. Nó không được tham chiếu trong sudoerstập tin mặc định . Các quản trị viên trên hệ thống đó có thể đã quyết định mô phỏng truyền thống unix và trao cho các thành viên của nhóm 0 một số quyền đặc biệt. Kiểm tra cấu hình PAM ( /etc/pam.conf, /etc/pam.d/*) và tệp sudoers ( /etc/sudoers) (đây không phải là nơi duy nhất mà nhóm 0 có thể được trao các đặc quyền đặc biệt, nhưng rất có thể).

Không giống như ID người dùng 0, kernel không cung cấp bất kỳ quyền đặc biệt nào cho nhóm 0. Tuy nhiên, vì 0 thường là nhóm mặc định cho rootngười dùng, điều đó có nghĩa là những người này thường sẽ có thể truy cập hoặc sửa đổi các tệp do root sở hữu (vì các tệp đó thường cũng thuộc sở hữu của nhóm 0).

Ngoài ra, một số chương trình có thể đối xử đặc biệt với nhóm 0. Chẳng hạn, sutrên một số hệ thống BSD sẽ cấp quyền truy cập root không mật khẩu cho các thành viên của nhóm 0 .

Vì vậy, mặc dù nó không phải là một lớp siêu người dùng, tôi vẫn cẩn thận xem ai là thành viên.

Điều đó chỉ có nghĩa là nhóm chính của họ rootchứ không phải là bất cứ điều gì khác và do đó, ví dụ, họ sử dụng cài đặt nhóm khi truy cập các tệp có cài đặt nhóm root.

Hầu hết các tệp hệ thống tiêu chuẩn được sở hữu bởi root.rootnhưng quyền của nhóm thường giống với quyền thế giới, do đó, điều này không mang lại bất kỳ lợi thế nào trừ khi hệ thống của bạn đã thay đổi quyền nhóm trên các tệp tiêu chuẩn.

Nó không cấp đặc quyền gốc đầy đủ.

Hôm nay tôi đến bữa tiệc hơi muộn nhưng đã tự hỏi mình câu hỏi tương tự và đi đến kết luận sau:

Điều này là trái với nguyên tắc đặc quyền tối thiểu và do đó nên tránh.

Cụ thể hơn, điều này có thể cung cấp cho người dùng (đọc, viết hoặc thực thi) quyền không chỉ đối với nhiều tệp và thư mục thông thường mà còn rất nhiều tệp đặc biệt như thế nói với nhân hệ thống của bạn.

Nhưng vì điều này có thể khác với hệ thống của bạn, bạn nên chạy nó để tìm và kiểm tra tất cả chúng (đầu tiên là đọc, thứ hai để viết, eXecute được để lại như một bài tập cho người đọc):

find / -group 0 -perm -g+r ! -perm -o+r  -ls | less 
find / -group 0 -perm -g+w ! -perm -o+w  -ls | less

Một số trong số này có thể là các tệp và thư mục thông thường (như thư mục gốc / root) nhưng một số khác có thể là các tệp giả có giao diện vào kernel (như trong / Proc và / sys)

ví dụ:

find /sys -type f -group 0 -perm -g+w ! -perm -o+w  -name 'remove'
/sys/devices/pci0000:00/0000:00:17.0/0000:13:00.0/remove
/sys/devices/pci0000:00/0000:00:17.0/remove
/sys/devices/pci0000:00/0000:00:16.6/remove
...
etc.

Sử dụng lspci -v |lessđể tìm hiểu những thiết bị đó là gì (ví dụ: Bộ điều khiển lưu trữ, Bộ điều khiển USB, Mạng và thẻ video, v.v.)