समूह 0 में होने का क्या मतलब है?

एक प्रणाली में कई उपयोगकर्ता जिन्हें विरासत में मिला है, उनका समूह 0 / etc / passwd में सेट है। इसका क्या मतलब है? क्या वे अनिवार्य रूप से पूर्ण जड़ विशेषाधिकार प्राप्त करते हैं?

सिस्टम CentOS 5 चला रहा है, और उपयोगकर्ताओं को मुख्य रूप से सिस्टम से संबंधित चीजें दिखाई देती हैं, हालांकि एक पूर्व व्यवस्थापक भी उस समूह में है:

$ grep :0: /etc/passwd
root:x:0:0:root:/root:/bin/bash
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
operator:x:11:0:operator:/root:/sbin/nologin
jsmith:x:500:0:Joe Smith:/home/jsmith:/bin/bash
$

उपयोगकर्ता 0 (रूट उपयोगकर्ता) के विपरीत, समूह 0 में कर्नेल स्तर पर कोई विशेष विशेषाधिकार नहीं है।

परंपरागत रूप से, समूह 0 में कई यूनिक्स वेरिएंट पर विशेष विशेषाधिकार थे - या तो suरूट बनने के लिए उपयोग करने का अधिकार (रूट पासवर्ड टाइप करने के बाद), या पासवर्ड टाइप किए बिना रूट बनने का अधिकार। मूल रूप से, समूह 0 में उपयोगकर्ता सिस्टम प्रशासक थे। जब समूह 0 के विशेष विशेषाधिकार होते हैं, तो इसे कहा जाता हैwheel

लिनक्स के तहत, समूह 0 में विशेषाधिकार वृद्धि जैसी विशेषाधिकार का कोई विशेष अर्थ नहीं है sudoऔर su, या तो। देखें कि डिबियन डिफ़ॉल्ट रूप से 'पहिया' समूह क्यों नहीं बना रहा है?

सेंटोस के तहत, जहां तक ​​मुझे पता है, समूह 0 का कोई विशेष महत्व नहीं है। यह डिफ़ॉल्ट sudoersफ़ाइल में संदर्भित नहीं है । उस सिस्टम पर व्यवस्थापकों ने एक यूनिक्स परंपरा का अनुकरण करने और समूह 0 के सदस्यों को कुछ विशेष अनुमतियों को प्रदान करने का निर्णय लिया हो सकता है। PAM कॉन्फ़िगरेशन ( /etc/pam.conf, /etc/pam.d/*) और sudoers फ़ाइल की जांच करें ( /etc/sudoers) ये एकमात्र स्थान नहीं हैं जहां समूह 0 को विशेष विशेषाधिकार दिया गया है, लेकिन सबसे अधिक संभावना है)।

उपयोगकर्ता आईडी 0 के विपरीत, कर्नेल समूह 0. को कोई विशेष अनुमति नहीं देता है। हालाँकि, चूंकि 0 आमतौर पर rootउपयोगकर्ता के लिए डिफ़ॉल्ट समूह है , इसका मतलब है कि ये लोग अक्सर रूट के स्वामित्व वाली फ़ाइलों को एक्सेस करने या संशोधित करने में सक्षम होंगे (उन फ़ाइलों के बाद से अक्सर समूह 0 के स्वामित्व में भी होते हैं)।

इसके अलावा, कुछ प्रोग्राम समूह 0 को विशेष रूप से मान सकते हैं। उदाहरण के लिए, suकुछ बीएसडी सिस्टम पर समूह 0 के सदस्यों को पासवर्ड रहित रूट एक्सेस प्रदान करेगा ।

इसलिए जब तक यह सुपरयूज़र क्लास नहीं है, तब भी मैं सावधान रहूंगा कि कौन सदस्य है।

इसका सीधा सा मतलब है कि उनका प्राथमिक समूह rootकिसी और चीज के बजाय है और इसलिए, उदाहरण के लिए, वे समूह सेटिंग्स का उपयोग तब करते हैं जब समूह सेटिंग्स फ़ाइल होती हैं root।

अधिकांश मानक सिस्टम फ़ाइलों के स्वामित्व में हैं, root.rootलेकिन समूह अनुमतियाँ आमतौर पर विश्व अनुमतियों के समान होती हैं, इसलिए, यह तब तक कोई लाभ नहीं देता है जब तक कि आपके सिस्टम ने मानक फ़ाइलों पर समूह अनुमतियों को बदल दिया हो।

यह पूर्ण रूट विशेषाधिकार प्रदान नहीं करता है।

मुझे पार्टी में थोड़ी देर हो गई है लेकिन आज मैंने खुद से वही सवाल किया और निम्नलिखित निष्कर्ष पर आया:

यह कम से कम विशेषाधिकार के सिद्धांत के खिलाफ है और इसलिए इसे टाला जाना चाहिए।

अधिक विशेष रूप से यह उपयोगकर्ता (रीड, राइट या एग्जीक्यूटिव) को न केवल बहुत सारी नियमित फाइलों और निर्देशिकाओं के लिए अनुमति दे सकता है, बल्कि बहुत सारे विशेष जैसे आपके सिस्टम कर्नेल से बात करता है।

लेकिन क्योंकि यह आपके सिस्टम के लिए अलग-अलग हो सकता है, इसलिए आपको उन सभी को खोजने और निरीक्षण करने के लिए इसे चलाना चाहिए (पहले पढ़ने के लिए, लिखने के लिए दूसरा, eXecute पाठक के लिए एक एक्सर्साइज़ के रूप में बचा है):

find / -group 0 -perm -g+r ! -perm -o+r  -ls | less 
find / -group 0 -perm -g+w ! -perm -o+w  -ls | less

इनमें से कुछ नियमित फाइलें और निर्देशिकाएं हो सकती हैं (जैसे गृह निर्देशिका / रूट) लेकिन अन्य छद्म फाइलें हो सकती हैं जो कर्नेल में अंतर हैं (जैसे / proc और sys में)

उदाहरण के लिए:

find /sys -type f -group 0 -perm -g+w ! -perm -o+w  -name 'remove'
/sys/devices/pci0000:00/0000:00:17.0/0000:13:00.0/remove
/sys/devices/pci0000:00/0000:00:17.0/remove
/sys/devices/pci0000:00/0000:00:16.6/remove
...
etc.

lspci -v |lessयह पता लगाने के लिए उपयोग करें कि वे उपकरण क्या हैं (उदाहरण के लिए: संग्रहण नियंत्रक, USB नियंत्रक, नेटवर्क और वीडियो कार्ड, आदि)