Was ist niemand Benutzer und Gruppe?

37

Auf meinem Server (Synology DS212) haben einige Dateien und Ordner nobody nobodyBenutzer und Gruppen. Was sind die Merkmale dieses Benutzers und dieser Gruppe? Wer kann diese Datei lesen oder schreiben?

Wie kann ich das ändern? Für welchen Benutzer und welche Gruppe?

Guuk
quelle

Antworten:

41

Der nobody-Benutzer ist in vielen Unix- und Linux-Distributionen ein Pseudo-Benutzer. Gemäß der Linux Standard Base sind nobody-Benutzer und ihre Gruppe optionale Mnemonic-Benutzer und -Gruppen. Dieser Benutzer soll den Benutzer mit den geringsten Berechtigungen auf dem System darstellen. Im besten Fall sind dieser Benutzer und seine Gruppe keiner Datei oder keinem Verzeichnis (als Eigentümer) zugeordnet. Dieser Benutzer gehört zu seiner entsprechenden Gruppe, die laut LSB auch "nobody" genannt wird, und zu keiner anderen Gruppe.

In früheren Unix- und Linux-Distributionen wurde der Daemon (zum Beispiel ein Webserver) unter dem Benutzer nobody aufgerufen. Wenn ein böswilliger Benutzer die Kontrolle über einen solchen Dämon erlangt, ist der Schaden, den er anrichten kann, auf das beschränkt, was der Dämon anrichten kann. Das Problem ist jedoch, dass, wenn mehrere Daemons mit dem Benutzer nobody ausgeführt werden, dies keinen Sinn mehr hat. Deshalb haben solche Daemons heute einen eigenen Benutzer.

Dem Benutzer nobody sollte keine Shell zugewiesen sein. Verschiedene Distributionen behandeln dies auf unterschiedliche Weise: Einige verweisen darauf, /sbin/nologindass eine Nachricht gedruckt wird. einige verweisen darauf, /bin/falsedass einfach mit 1 (falsch) beendet wird; oder einige deaktivieren einfach den Benutzer in /etc/shadow.

Laut Linux Standard Base wird der Benutzer nobody von NFS verwendet. Tatsächlich ist der NFS-Daemon einer der wenigen, der den Benutzer nobody noch benötigt. Wenn der Besitzer einer Datei oder eines Verzeichnisses in einer bereitgestellten NFS-Freigabe auf dem lokalen System nicht vorhanden ist, wird diese durch den Benutzer nobody und seine Gruppe ersetzt.

Sie können die Berechtigung einer Datei, die dem Benutzer nobody gehört, einfach mit dem Benutzer root und ändern chown. Auf dem Rechner, auf dem sich die NFS-Freigabe befindet, ist dieser Benutzer möglicherweise vorhanden. Seien Sie also vorsichtig.

Ich benutze auch ein Synology System. Sie betreiben den Apache-Webserver unter dem Benutzer nobody.

Chaos
quelle
"Wenn mehrere Daemons mit dem Benutzer nobody ausgeführt werden, hat dies keinen Sinn mehr." - Woher? Ein kompromittierter Daemon kann sich dann auf andere Daemons auswirken?
flow2k
5

Der Benutzer, der sich anmelden nobodykann, kann diese Dateien ändern, aber normalerweise ist das System so eingerichtet, dass dies nicht möglich ist. Auf meinem Debian-basierten System /etc/passwordlautet der Eintrag in der Datei:

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin

und /usr/sbin/nologingibt:

This account is currently not available.

Sie können dies nur als Benutzer root ändern, da normalerweise niemand anderes Mitglied der Gruppe ist nobody. Ich bezweifle jedoch, dass Sie dies tun sollten. Normalerweise erhalten diese Dateien diesen Besitz absichtlich.

jemand
quelle
In meinem Fall habe /etc/passwdich nobody:x:99:99::/:/bin/false. /bin/falsegibt nichts zurück.
Guuk
/bin/falseverhindert auch jemand von der Anmeldung, auch wenn es ein passord Satz für wäre nobodyin /etc/shadownicht da ist, die in der Regel.
Jedermann
Wenn Sie sich aus irgendeinem Grund bei nobody anmelden möchten, können Sie die Shell wie sudo su nobody -s /bin/sh folgt überschreiben (dies überschreibt die "Standard-Shell" / usr / bin / nologin mit / bin / sh)
hanshenrik