Какова цель группы, названной “пользователями”?
На моей Ubuntu существует группа "пользователи" с идентификатором 100. Но это не имеет никаких участников вообще. Мои вопросы:
- Какова цель этой группы?
- Должен каждый пользователь системы становиться членом этой группы?
2 ответа
Ubuntu основана на Debian, и пользователи следуют за той же философией. Я для этого заключаю объяснение Debians в кавычки System Groups:
пользователи: В то время как системы Debian используют систему группы частного пользователя по умолчанию (у каждого пользователя есть их собственная группа), некоторые предпочитают использовать более традиционную систему группы, в которой каждый пользователь является членом этой группы.
Это не используется на Ubuntu (и Debian), но это сохранено там в случае, если администраторы системы хотят использовать его. Это эффективно гарантирует, что будет иметь тот же GID во всех системах, который не имеет место, если это создается локально.
Не необходимо сделать пользовательского члена users на стандартной установке Ubuntu. В некоторых случаях и настройки, может быть удобно иметь всех пользователей, принадлежат общей группе пользователей.
Поскольку понятие "идентификатора пользователя" было первоначально предназначено для учета, больше, чем безопасность и не каждая "пользовательская" учетная запись означает что-то, что может потенциально съесть чизбургер. Группа "пользователи" предназначается для обозначения пользовательских идентификационных данных, которые действительно, на самом деле, отображаются на настоящих людей. Как простой пример, на многих основанных на UNIX графических рабочих станциях, экран входа в систему не покажет каждую учетную запись пользователя в/etc/passwd, но вместо этого только рабочие станции в "пользовательской" группе (или возможно некоторый еще более трудный отсек).
Рассмотрите веб-сервер Apache. Во многих системах это работает как "пользователь" 'httpd'. Однако, очевидно, мы не ожидаем, что любой войдет в систему как этот пользователь. В классическом бухгалтерском смысле мы не хотим тарифицировать любого обычного пользователя в течение процессорного времени, используемого системным веб-сервером. В более позднем смысле безопасности веб-сервер не должен мочь сделать полный набор вещей, что зарегистрированный пользователь может.
В эти дни у нас есть SELINUX и списки управления доступом и любое количество других понятий, которые дают нам более гибкие способы заблокировать вещи вниз. Но основная идея состоит в том, чтобы все еще сделать что-то подобным пользователю, который имеет меньше - или по крайней мере, отличающийся - полномочия, чем зарегистрированный пользователь.
Теперь, на следующей части Вашего вопроса: почему пробел группы пользователей?
Поскольку у Вас есть своя очень собственная группа вместо этого. Если Вы добавите счет на Вашего друга для той машины, то они получат свою собственную группу, также. Однако они не получат специальных полномочий, которые Вы добавили к своей собственной группе. С "пользовательским" подходом группы принимая они были членом той группы, все Ваши улучшения и ограничения на ту группу придут для поездки для новой учетной записи.
Для практического примера при установке Oracle VirtualBox необходимо будет, вероятно, добавить группу "vboxusers", который предоставит Вам доступ к специальным устройствам в/dev, которые позволяют VirtualBox ускорить определенные устройства и пройти через других. Аналогично для Wireshark, если Вы используете это.
Для систем, которые создают новые группы для каждого пользователя, обычно существует шаблон, который используется для новой группы.