¿Qué significa estar en el grupo 0?

11

Varios usuarios en un sistema que heredé tienen su grupo establecido en 0 en / etc / passwd. Qué significa eso? ¿Obtienen esencialmente privilegios de root completos?

El sistema ejecuta CentOS 5, y los usuarios parecen estar relacionados principalmente con el sistema, aunque un antiguo administrador también está en ese grupo:

$ grep :0: /etc/passwd
root:x:0:0:root:/root:/bin/bash
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
operator:x:11:0:operator:/root:/sbin/nologin
jsmith:x:500:0:Joe Smith:/home/jsmith:/bin/bash
$
centos  root  group 
Gilles 'SO- deja de ser malvado'
fuente

Respuestas:

12

A diferencia del usuario 0 (el usuario raíz), el grupo 0 no tiene ningún privilegio especial en el nivel del núcleo.

Tradicionalmente, el grupo 0 tenía privilegios especiales en muchas variantes de Unix: el derecho de usar supara convertirse en root (después de escribir la contraseña de root) o el derecho de convertirse en root sin escribir una contraseña. Básicamente, los usuarios en el grupo 0 eran los administradores del sistema. Cuando el grupo 0 tiene privilegios especiales, se llamawheel

En Linux, el grupo 0 no tiene ningún significado especial para privilegiar las utilidades de escalado como sudoy su, tampoco. Vea ¿Por qué Debian no está creando el grupo 'rueda' por defecto?

Bajo CentOS, que yo sepa, el grupo 0 no tiene un significado especial. No se hace referencia en el sudoersarchivo predeterminado . Los administradores de ese sistema pueden haber decidido emular una tradición de Unix y otorgar a los miembros del grupo 0 algunos permisos especiales. Verifique la configuración de PAM ( /etc/pam.conf, /etc/pam.d/*) y el archivo sudoers ( /etc/sudoers) (estos no son los únicos lugares donde el grupo 0 podría tener privilegios especiales, sino el más probable).

Gilles 'SO- deja de ser malvado'
fuente
3

A diferencia del ID de usuario 0, el kernel no otorga ningún permiso especial al grupo 0. Sin embargo, dado que 0 suele ser el grupo predeterminado para el rootusuario, significa que estas personas a menudo podrán acceder o modificar archivos propiedad de root (ya que esos archivos a menudo también son propiedad del grupo 0).

Además, algunos programas pueden tratar al grupo 0 especialmente. Por ejemplo, suen algunos sistemas BSD otorgará acceso raíz sin contraseña a los miembros del grupo 0 .

Entonces, aunque no es una clase de superusuario, aún tendría cuidado de quién es un miembro.

Jander
fuente
2

Simplemente significa que su grupo principal es rootmás que cualquier otra cosa y, por lo tanto, usan la configuración del grupo al acceder a los archivos donde está la configuración del grupo root.

La mayoría de los archivos del sistema estándar son propiedad de, root.rootpero los permisos de grupo suelen ser los mismos que los permisos mundiales, por lo que, por sí solo, esto no ofrece ninguna ventaja a menos que su sistema haya cambiado los permisos de grupo en los archivos estándar.

No otorga privilegios completos de root.

StarNamer
fuente
0

Llegué un poco tarde a la fiesta, pero hoy me hice la misma pregunta y llegué a la siguiente conclusión:

Esto va en contra del principio del menor privilegio y, por lo tanto, debe evitarse.

Más específicamente, esto podría dar al usuario (lectura, escritura o ejecución) permisos no solo para muchos archivos y directorios regulares, sino también muchos especiales como ese que hablan con el núcleo de su sistema.

Pero debido a que esto puede ser diferente para su sistema, debe ejecutar esto para buscarlos e inspeccionarlos a todos (primero para leer, segundo para escribir, eXecute se deja como ejercicio para el lector): 

find / -group 0 -perm -g+r ! -perm -o+r  -ls | less 
find / -group 0 -perm -g+w ! -perm -o+w  -ls | less

Algunos de estos pueden ser archivos y directorios regulares (como el directorio de inicio / raíz) pero otros pueden ser pseudo archivos que son interfaces en el núcleo (como en / proc y / sys)

p.ej:

find /sys -type f -group 0 -perm -g+w ! -perm -o+w  -name 'remove'
/sys/devices/pci0000:00/0000:00:17.0/0000:13:00.0/remove
/sys/devices/pci0000:00/0000:00:17.0/remove
/sys/devices/pci0000:00/0000:00:16.6/remove
...
etc.

Úselo lspci -v |lesspara averiguar cuáles son esos dispositivos (por ejemplo: controlador de almacenamiento, controlador USB, tarjetas de red y video, etc.)

JohannesB
fuente
La página de Wikipedia a la que enlaza dice: "El principio significa dar a una cuenta de usuario o procesar solo los privilegios que son esenciales para realizar su función prevista". Pero no ha argumentado que estas cuentas no necesitan el acceso que obtienen al estar en el grupo 0.
Scott
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.