Was ist der Zweck der Gruppe "Benutzer"?

13

Auf meinem Ubuntu existiert eine Gruppe "Benutzer" mit der ID 100. Aber es hat überhaupt keine Mitglieder. Meine Fragen sind:

  • Was ist der Zweck dieser Gruppe?
  • Sollte jeder Benutzer des Systems Mitglied dieser Gruppe werden?
Mathias
quelle
Da es der traditionelle Ansatz ist, alle Benutzer in dieselbe Gruppe zu bringen , hat Red Hat aus diesem Grund den Trend "Benutzergruppen" gestartet: web.cs.elte.hu/pub/linux/RedHat/RH-4.0-Manual-HTML/node288.html
user1686

Antworten:

17

Ubuntu basiert auf Debian und die Benutzer folgen der gleichen Philosophie. Ich zitiere daher Debians Erklärung der Systemgruppen :

Benutzer: Während Debian-Systeme standardmäßig das private Benutzergruppensystem verwenden (jeder Benutzer hat seine eigene Gruppe), bevorzugen einige die Verwendung eines traditionelleren Gruppensystems, in dem jeder Benutzer Mitglied dieser Gruppe ist.

Es wird nicht unter Ubuntu (und Debian) verwendet, aber es wird dort aufbewahrt, falls Administratoren des Systems es verwenden möchten. Es stellt effektiv sicher, dass es auf allen Systemen dieselbe GID hat, was nicht der Fall ist, wenn es lokal erstellt wird.

Es ist nicht erforderlich, Benutzer userszu einer Standard-Ubuntu-Installation zu machen. In einigen Fällen und Einstellungen kann es zweckmäßig sein, alle Benutzer einer gemeinsamen Benutzergruppe anzugehören.

vidarlo
quelle
3

Da das "Benutzer-ID" -Konzept ursprünglich mehr für die Buchhaltung als für die Sicherheit gedacht war und nicht jedes "Benutzer" -Konto etwas bedeutet, das möglicherweise einen Cheeseburger essen kann. Die Gruppe "Benutzer" soll Benutzeridentitäten bezeichnen, die tatsächlich realen Personen zugeordnet werden. Als einfaches Beispiel wird auf vielen UNIX-basierten grafischen Workstations auf dem Anmeldebildschirm nicht jedes Benutzerkonto in / etc / passwd angezeigt, sondern nur das in der Gruppe "Benutzer" (oder möglicherweise in einem noch engeren Bereich).

Betrachten Sie den Apache-Webserver. Auf vielen Systemen wird dies als "Benutzer" 'httpd' ausgeführt. Wir erwarten jedoch natürlich nicht, dass sich jemand als dieser Benutzer anmeldet. Im klassischen Sinne der Buchhaltung möchten wir keinem normalen Benutzer die vom Systemwebserver verwendete CPU-Zeit in Rechnung stellen. Im späteren Sinne der Sicherheit sollte der Webserver nicht in der Lage sein, alle Funktionen eines angemeldeten Benutzers auszuführen.

Heutzutage haben wir SELINUX- und Zugriffssteuerungslisten sowie eine Reihe anderer Konzepte, die uns flexiblere Möglichkeiten bieten, Dinge zu sperren. Die Grundidee besteht jedoch immer noch darin, etwas Benutzerähnliches zu erstellen, das weniger oder zumindest andere Berechtigungen hat als ein angemeldeter Benutzer.

Nun zum nächsten Teil Ihrer Frage: Warum ist die Benutzergruppe leer?

Weil Sie stattdessen Ihre eigene Gruppe haben. Wenn Sie diesem Computer ein Konto für Ihren Freund hinzufügen, erhält dieser auch eine eigene Gruppe. Aber sie werden nicht alle speziellen Berechtigungen erhalten Sie zu Ihrer eigenen Gruppe hinzugefügt haben. Wenn Sie beim Gruppenansatz "Benutzer" davon ausgehen, dass Sie Mitglied dieser Gruppe sind, werden alle Ihre Verbesserungen und Einschränkungen für diese Gruppe für die Fahrt für das neue Konto berücksichtigt.

Als praktisches Beispiel müssen Sie bei der Installation von Oracle VirtualBox wahrscheinlich eine Gruppe "vboxusers" hinzufügen, mit der Sie auf die speziellen Geräte in / dev zugreifen können, mit denen VirtualBox bestimmte Geräte beschleunigen und andere passieren kann. Ebenso für Wireshark, wenn Sie das verwenden.

Für Systeme, die für jeden Benutzer neue Gruppen erstellen, gibt es normalerweise eine Vorlage, die für die neue Gruppe verwendet wird.

Haltepunkt
quelle