Menu

quarta-feira, 9 de maio de 2018

Grupos de sistemas base Debian

Nessa matéria iremos conhecer um pouco dos grupos do sistema, confira !!











OBS: Essa matéria é uma tradução da documentação Debian, com o proposito de facilitar o seu entendimento a um maior numero de pessoas.


Grupos de sistemas



Grupos de sistemas são grupos de propósitos especiais usados ​​para operação do sistema, como backup, manutenção ou para conceder acesso ao hardware. Eles são o baixo gid do banco de dados do grupo de sistemas.






Implicações de segurança


O grupo disk pode ser muito perigoso, pois os discos rígidos em /dev/sd * e /dev/hd * podem ser lidos e escritos ignorando qualquer sistema de arquivos e qualquer partição, permitindo que um usuário normal divulgue, altere e destrua as partições e os dados de tais unidades sem privilégios de root. Os usuários nunca devem pertencer a esse grupo.

Para gerenciar unidades removíveis sem privilégios de root, você precisa usar os grupos cdrom para unidades ópticas. Unidades ópticas podem geralmente ser montadas de acordo com as regras em /etc/fstab, mas para outras unidades removíveis o grupo plugdev pode ser mais prático. Começando com o Debian 8 (Jessie) você precisa de privilégios de root para formatar memórias USB e flash, porque seus dispositivos em /dev/ não pertencem mais ao grupo floppy.

O grupo kmem é capaz de ler o conteúdo da memória do sistema, potencialmente divulgando dados pertencentes a outros processos.

Os usuários do grupo shadow podem ler o conteúdo de /etc/shadow e /etc/gshadow, contendo os hashes das senhas de outros usuários e grupos.

Somente admins devem pertencer ao grupo sudo, pois eles podem executar qualquer comando com sudo / pkexec e sua própria senha. Regras customizadas podem ser escritas em /etc/sudoers (através do visudo) para qualquer grupo e qualquer usuário, a fim de permitir que apenas um conjunto mais restrito de comandos seja executado com privilégios de root. E o polkit também pode ser personalizado.

Os usuários do grupo staff podem instalar executáveis ​​em /usr/local/bin e /usr/local/sbin sem privilégios de root. Por padrão /usr/local/bin está na variável PATH de cada usuário, de modo que os binários em /usr/local/bin possam ser executados sem ter que escrever seus caminhos. Além disso, se um executável for criado em /usr/local/bin com o mesmo nome de um em /usr/bin (ou /bin), o primeiro será executado toda vez que seu caminho não for especificado.


Grupos sem um usuário associado


Os seguintes grupos concedem privilégios aos seus membros.


lp (LP): os membros deste grupo podem ativar e usar impressoras. (O usuário lp não é mais usado.)


lpadmin (LPADMIN): Permite que os membros gerenciem impressoras e trabalhos pendentes enviados por outros usuários.


scanner: os membros deste grupo podem ativar e usar scanners.


adm: O grupo adm é usado para tarefas de monitoramento do sistema. Os membros desse grupo podem ler muitos arquivos de log em /var/log e podem usar o xconsole. Historicamente, /var/log era /usr/adm (e mais tarde /var/adm), portanto, o nome do grupo.


systemd-journal: Desde o Debian 8 (Jessie), os membros deste grupo podem usar o comando journalctl e ler arquivos de log do systemd (em /var/log/journal).


plugdev: Permite que os membros montem (apenas com as opções nodev e nosuid, por razões de segurança) e desmontem os dispositivos removíveis através do pmount.


netdev: Os membros deste grupo podem gerenciar interfaces de rede através do gerenciador de rede e do wicd.


cdrom: Esse grupo pode ser usado localmente para fornecer a um conjunto de usuários acesso a uma unidade de CD-ROM e a outras unidades ópticas.


floppy: este grupo pode ser usado localmente para fornecer a um conjunto de usuários acesso a uma unidade de disquete e a outras unidades removíveis (não ópticas) (como unidades flash USB). Começando com o Debian 8 (Jessie), ele não é mais usado para memórias USB e flash.


tape: esse grupo pode ser usado localmente para fornecer a um conjunto de usuários acesso a uma unidade de fita.


audio: este grupo pode ser usado localmente para permitir que um conjunto de usuários acesse um dispositivo de áudio (a placa de som ou um microfone).


video: Este grupo pode ser usado localmente para dar a um conjunto de usuários acesso a um dispositivo de vídeo (como o framebuffer, o videocard ou uma webcam).


sudo: Os membros deste grupo podem executar qualquer comando com sudo ou pkexec. (Veja a configuração padrão em /etc/sudoers)


tty: os dispositivos TTY são de propriedade desse grupo. Isso é usado por write e wall para permitir que eles escrevam em TTYs de outras pessoas, mas não se destina a ser usado diretamente.


staff: Permite que usuários adicionem modificações locais ao sistema (/usr/local) sem precisar de privilégios de root (note que executáveis ​​em /usr/local/bin estão na variável PATH de qualquer usuário, e eles podem "substituir" os executáveis ​​em /bin e /usr/bin com o mesmo nome). Compare com o grupo "adm", que está mais relacionado ao monitoramento / segurança.


shadow: /etc/shadow é legível por este grupo. Alguns programas que precisam acessar o arquivo são SETGID shadow.


utmp: Este grupo pode gravar em /var/run/utmp e arquivos similares. Programas que precisam ser capazes de gravar nele são SETGID utmp.


disks: Acesso bruto aos discos. Principalmente equivalente ao acesso root.


kmem: /dev/mem e /dev/port são legíveis por este grupo. Isso é principalmente uma relíquia BSD, mas qualquer programa que precise de acesso de leitura direta à memória do sistema pode ser feito com o SETGID kmem. /dev/kmem, que deu o nome a esse grupo, também pode ser lido por esse grupo, mas está desabilitado por padrão por motivos de segurança.


dialout: acesso total e direto às portas seriais. Os membros deste grupo podem reconfigurar o modem, discar para qualquer lugar etc.


dip: o nome do grupo significa "IP de discagem", e a associação ao dip permite que você use ferramentas como ppp, dip, wvdial, etc. para discar uma conexão. Os usuários desse grupo não podem configurar o modem, mas podem executar os programas que fazem uso dele.


fax: Permite que os membros utilizem o software de fax para enviar / receber faxes.


voice: correio de voz, útil para sistemas que usam modems como secretárias eletrônicas.


users: Enquanto os sistemas Debian usam o sistema de grupos de usuários privados por padrão (cada usuário tem seu próprio grupo), alguns preferem usar um sistema de grupo mais tradicional, no qual cada usuário é um membro deste grupo.


wheel: Este grupo pode ser criado para alterar a funcionalidade do módulo pam_wheel em /etc/pam.d/su para restringir a execução do su. Se este grupo não existir, somente os membros da raiz (geralmente a própria raiz) serão afetados. Por padrão, esse grupo não existe e todas as configurações com pam_wheel são comentadas em /etc/pam.d/su. Veja a página sobre o módulo wheel_pam para mais informações.


src: Este grupo foi usado para gerenciar o código-fonte do sistema, incluindo arquivos em /usr/src. Não é mais usado.


Grupos com um usuário associado


Os seguintes grupos não são destinados a serem usados ​​diretamente por outros usuários.


root: Root é (normalmente) o superusuário.


daemon: Alguns daemons não privilegiados que precisam gravar em arquivos no disco são executados como daemon.daemon (por exemplo, portmap, atd, provavelmente outros). Daemons que não precisam possuir nenhum arquivo podem ser executados como nobody.nogroup, e daemons mais complexos ou conscientes da segurança são executados como usuários dedicados. O usuário do daemon também é útil para daemons instalados localmente.


games: muitos jogos são SETGID para jogos para que eles possam escrever seus arquivos de alta pontuação. Isso é explicado na política.


man: O programa man (às vezes) é executado como user man, então ele pode escrever cat pages em /var/cache/man.


mail: As caixas de correio em /var/mail são de propriedade do grupo mail, conforme explicado na política. O usuário e o grupo são usados ​​para outros propósitos por vários MTAs também.


news: Vários servidores de notícias e outros programas associados (como chupar) usam notícias de usuários e grupos de várias maneiras. Os arquivos no spool de notícias são geralmente de propriedade de notícias de usuários e grupos. Programas como inews que podem ser usados ​​para postar notícias são tipicamente notícias da SETGID.


proxy: assim como o daemon, esse usuário e grupo são usados ​​por alguns daemons (especificamente, daemons de proxy) que não possuem ids de usuários dedicados e que precisam possuir arquivos. Por exemplo, o proxy de grupo é usado pelo pdnsd e o squid é executado como proxy do usuário.


postgres: Os bancos de dados Postgresql são de propriedade desse usuário e grupo. Todos os arquivos em / var / lib / postgresql são de propriedade desse usuário para impor a segurança adequada.


www-data: alguns servidores da web são executados como www-data. O conteúdo da Web não deve ser de propriedade desse usuário, ou um servidor da Web comprometido poderá reescrever um site. Os dados gravados por servidores da web, incluindo arquivos de log, serão de propriedade da www-data.


backup: Assim, as responsabilidades de backup / restauração podem ser delegadas localmente a alguém sem permissões de root completas.


list: Os arquivos e dados da lista de discussão são de propriedade deste usuário e grupo. Alguns programas de lista de discussão podem ser executados como este usuário também.


irc: Usado por daemons irc. Um usuário alocado estaticamente é necessário apenas por causa de um bug no ircd, que é o próprio SETUID () para um determinado UID na inicialização.


sync: O shell de sincronização do usuário é / bin / sync. Assim, se a senha for definida como algo fácil de adivinhar (como ""), qualquer pessoa poderá sincronizar o sistema no console mesmo que não tenha uma conta.


uucp: O usuário e grupo uucp é usado pelo subsistema UUCP. Possui arquivos de spool e configuração. Usuários no grupo uucp podem executar o uucico.


operator: Operador era (historicamente) a única conta de 'usuário' que podia acessar remotamente.


bin: mantido por razões históricas.


sys: o mesmo que com bin.


nogroup (usuário: nobody): Daemons que não precisam possuir nenhum arquivo são executados como usuário nobody e group nogroup. Portanto, nenhum arquivo em um sistema deve pertencer a esse usuário ou grupo.


Adicionar usuário a um grupo



Para adicionar um usuario a um determinado grupo use a sintaxe de comando abaixo.

adduser user group
Exemplo:



user = O nome do usuário

group = O nome do grupo


Essas alterações só tem efeito na próxima inicialização do sistema.

Para ver os grupos que seu usuario pertence use o comando abaico.

groups
Exemplo:





Leia a documentação da sua distribuição, o conhecimento está nela.



Donate - Contribua para a melhoria do nosso trabalho!!















Nenhum comentário:

Postar um comentário