Hor*_*gix 15 users group accounts
看看一些常用 Linux 发行版(分别是 ArchLinux 和 Debian)上的默认用户和组管理,我想知道关于它的两件事以及修改默认设置和配置的后果。
USERGROUPS_ENABin的默认值/etc/login.defs好像是“yes”,这体现在man中可以找到的“默认情况下,也会为新用户创建一个组”useradd,所以每次创建新用户时,都会出现一个组是用相同的名称创建的,只有这个新用户。有什么用吗,或者这只是一个占位符?
我觉得这样做我们正在失去作为用户/组/其他人的一部分权限管理。拥有一个组“用户”或“常客”或任何您想称其为每个用户的默认组而不是拥有自己的组会不会很糟糕?
我的问题的第二部分仍然基于我在 Arch 和 Debian 上看到的内容:默认情况下创建了很多用户(FTP、HTTP 等)。它们有什么用吗,还是只是因为历史原因而存在?
我正在考虑删除它们,但不想破坏任何可以使用它的东西,但我从未见过这样做的任何东西,也不知道可以做什么。对于我从未见过任何用户所属的默认组(tty、mem 等)也是如此。
小智 13
我也没有在每个用户组中看到很多实用程序。主要用例是如果用户想要允许“朋友”访问他们的文件,他们可以将朋友用户添加到他们的组中。我遇到的很少有系统以这种方式使用它。
当USERGROUPS_ENABin/etc/login.defs设置为“no”时,useradd将所有创建的用户添加到/etc/default/useradd该GROUP字段定义的组中。在大多数发行版中,这被设置为100通常对应于users组的 GID 。这确实允许您对用户进行更通用的管理。然后,如果您需要更精细的控制,您可以手动添加这些组并向其中添加有意义的用户。
它们中的大多数来自历史原因,但许多今天仍然有效:
其他组由后台脚本使用。例如,man在运行时生成临时文件等;它的进程使用 man 组来处理其中一些文件,并且通常会自行清理。
但是,根据Linux 标准基本核心规范,只有 root、bin 和 daemon 3 个用户是绝对必须的。该原理的其他群体的背后是:
指定可选用户和组的目的是减少应用程序和发行版之间名称冲突的可能性。
因此,最好将这些组保留在原位。这是theorically可能不发生断裂将其删除,但对于一些“神秘”的事情可能会开始不工作的权利(例如,有些人不网页,如果你杀了那个组等渲染)。将它们留在那里没有任何害处,并且通常假设所有 Linux 系统都会拥有它们。
你好,我是ecyoung,你是horgix。我们每天上班,和程序员一样登录到同一个 Linux 服务器。不久前的一天,我们的系统管理员决定让自己更轻松地创建和维护用户,因此他关闭了该USERGROUPS_ENAB选项并将所有现有用户放入新users组。
这确实使用户创建更容易,但不是您看到的维护,因为所有用户都可以访问所有其他用户文件。在公司环境中,由于诸如萨班斯奥克斯利法案和职责分离之类的事情,这是一个很大的禁忌。如果我创建文件A,组位设置为用户组,这意味着所有用户至少可以读取文件A。如果系统管理员懒惰,那么在某些情况下所有用户都可以RW文件A。这击败了Sarbanes Oxley和 SoD,因为单独的部门不应该能够阅读更不用说写任何其他人的文件。
启用用户/组后,如果我将文档创建为 ecyoung,那么只有我拥有它的 rwx 权限。由于我的小组中没有其他人,当他们打开我的文档时,他们会看到一个带有警告的空白页。这会强制执行 Sarbanes-Oxley 和 SoD。如果我邀请其他用户,这些用户将被允许 rw 访问,通过这样做,我知道他们看到的东西不会回来咬我或他们。正如其他人所说,如果在家里,这种分离对您来说可能并不重要。如果您确定,那么您可以安全地关闭该选项,所有用户都将被添加到usersGID 为 100的组中。请参阅下面的问题 2。
假设:
你在 IT 部门工作,Louis 在薪资部门工作。Louis 将税务和工资单保存在她的主目录中,但你们都在用户组中,因此您打开她的主目录,因为它为用户标记了 +r 并找到她的电子表格。您会发现您的薪水以及 Joe 和 Fred 的薪水都列出来了。你认为乔和弗雷德会希望你知道他们的薪水吗??
组 ID 和相反的用户 ID 0 - 500 保留用于系统帐户和设备访问。有关标准帐户列表,请参阅预配置系统组表。请不要手动删除这些帐户。例如,如果您想删除用户 ftp,请使用您的包管理系统删除 ftp 守护进程。这样做也会删除系统帐户。系统服务包括但不限于:
还有其他的,所以如果其他读者想从上面的服务列表中添加或删除,请这样做。