Après avoir lu la liste de tous les utilisateurs humains, j'ai remarqué qu'il existe un compte d'utilisateur nommé "personne" dans mon système Ubuntu.
De plus, j'ai remarqué que je peux me connecter à ce compte à partir d'un terminal en utilisant la commande suivante et mon mot de passe:
sudo su nobody
Cela ne me dérange pas du tout, mais je veux savoir quel est le but de cet utilisateur? Est-il créé par défaut sur une nouvelle installation d'Ubuntu ou est-il créé en installant un paquet particulier?
users
username
switch-user
Radu Rădeanu
la source
la source
sudo su nobody
return Ce compte n'est pas disponible pour le moment. car le shell de l'utilisateurnobody
est défini sur/usr/sbin/nologin
(getent passwd nobody
).root_squash
lui, la carte sera mappée de la racine sur personne sur les systèmes distants. C’est plus ou moins exactement le contraire de ce que dit cette réponseRéponses:
Il est là pour exécuter des tâches qui ne nécessitent aucune autorisation spéciale. Il est généralement réservé aux services vulnérables (httpd, etc.) afin que, s’ils sont piratés, ils causent des dommages minimes sur le reste du système.
Si vous optez pour quelque chose qui fonctionne réellement (les serveurs Web sont parfois exploités pour exécuter du code arbitraire), il s’exécuterait en tant que tel et aurait accès à tout ce qu’il possédait. Dans la plupart des cas, cela est aussi grave que d’être root.
Vous pouvez en savoir plus sur l'utilisateur nobody sur le wiki d'Ubuntu:
Pour répondre à vos suivis:
Pourquoi je ne peux pas accéder à ce compte avec
su nobody
?sudo grep nobody /etc/shadow
vous montrera que personne n'a pas de mot de passe et que vous ne pouvez passu
sans mot de passe de compte. Le moyen le plus propre est de lesudo su nobody
remplacer. Cela vous laissera dans une joliesh
coquille désolée .Pouvez-vous donner un exemple particulier quand est indiqué d'utiliser ce compte?
Lorsque les autorisations ne sont pas requises pour les opérations d'un programme. Ceci est d'autant plus remarquable qu'il n'y aura jamais d'activité disque.
Un monde réel exemple de ceci est
memcached
(une valeur de clé cache en mémoire / base de données / chose), assis sur mon ordinateur et mon serveur en cours d' exécution sous le compte personne. Pourquoi? Car il ne nécessite aucune autorisation et lui donner un compte disposant d'un accès en écriture aux fichiers constituerait un risque inutile.la source
su nobody
et 2) pouvez-vous donner un exemple particulier quand il est indiqué d'utiliser ce compte?su
tant qu'utilisateur ordinaire, vous devez donner le mot de passe de l'utilisateur cible. Essayezsudo -i
ensuitesu nobody
depuis le shell root (qui ne nécessitera pas de mot de passe).Network File System
les cartesroot
versnobody
une racine si locale ne peuvent pas accéder à tout comme la racine distante.nobody
que NFS était principalement / principalement utilisé en tant qu'états linuxstandardbase .Informations tirées de http://en.wikipedia.org/wiki/Nobody_(nom d'utilisateur) .
la source
nobody
est strictement pour NFS et ne devrait pas être utilisé par d'autres services et certainement pas par les administrateurs système. Merci.L'utilisateur nobody est réservé à NFS uniquement.
Les réponses ci-dessus sont plutôt fausses, car elles supposent qu'il
nobody
s'agit d'un identifiant d'utilisateur "générique" de style anonyme / invité.Dans le modèle de contrôle d'accès UNIX / Linux, les ID utilisateur de style anonyme / invité n'existent pas et il s'agit de mauvaises suggestions:
nobody
, en particulier les serveurs, afin de limiter les dégâts qui pourrait être fait par un utilisateur malveillant qui a gagné le contrôle. » En raison de la qui suit: « Toutefois, l'utilité de cette technique est réduite si plus un démon est exécuté comme ceci, car alors prendre le contrôle d’un démon leur donnerait le contrôle de tous ".memcached
(cache / base de données / chose dans la mémoire clé), assis sur mon ordinateur et mon serveur fonctionnant sous lenobody
compte. Pourquoi? Parce qu'il n'a simplement pas besoin d'autorisations et le donne un compte disposant d'un accès en écriture aux fichiers ne serait qu'un risque inutile. "Le
nobody
nom d'utilisateur portant l'ID utilisateur 65534 a été créé et réservé à des fins spécifiques. Il ne doit être utilisé qu'à cette fin: en tant qu'espace réservé pour les utilisateurs "non mappés" et les ID utilisateur dans les exportations d'arborescence NFS.Autrement dit, à moins que le mappage utilisateur / identifiant ne soit configuré pour les exportations d'arborescence NFS, tous les fichiers de l'exportation apparaîtront comme appartenant à
nobody
. Ceci a pour but d'empêcher tous les utilisateurs du système importateur d'accéder à ces fichiers (à moins qu'ils ne disposent d'autorisations "autres"), car aucun d'eux (à l'exception deroot
) ne peut être / devenirnobody
.C'est donc une très mauvaise idée de l'utiliser
nobody
à d' autres fins, car son but est d'être un nom d'utilisateur / ID utilisateur pour les fichiers qui ne doivent être accessibles à personne.L'entrée du wiki est très fausse aussi.
La pratique UNIX / Linux consiste à créer un nouveau compte pour chaque "application" ou domaine d'application nécessitant un domaine de contrôle d'accès distinct et à ne jamais le réutiliser en
nobody
dehors de NFS .la source
root_squash
sur,root
est mappé sur l'utilisateurnobody
, de sorte que les fichiers dont le propriétairenobody
n'a aucun sens n'auraient aucun sens. De plus, il est peu logique d'affirmer que les fichiers appartenant à personne ne sont inaccessibles à personne, car les droits d'accès aux fichiers sont distincts de la propriété dans UNIX. Je ne dis pas que tout dans la réponse est faux, mais quenobody
. Cela vous dit quenobody
c'est à NFS d'utiliser pour mapper les autorisations, et c'est le point le plus important pour moi. Comment NFS utilisenobody
est moins intéressant que le fait qu'il n'utilise . Merci.nobody
man exports
peut être très confus.L'
nobody
utilisateur est créé par défaut lors d'une nouvelle installation (vérifié dans Ubuntu Desktop 13.04).la source
personne n'est un utilisateur spécial et un compte de groupe. Comme il s'agit d'un nom d'utilisateur réel (et d'un nom de groupe) pouvant être utilisé par les processus et même par les utilisateurs, il ne s'agit littéralement de personne . Par exemple, certaines configurations Apache n'ont personne en tant qu'utilisateur / groupe propriétaire des fichiers et répertoires du site Web. Le problème survient lorsque plusieurs processus peuvent utiliser l'utilisateur nobody, tels que les répertoires NFS et le serveur Web.
la source
Correction mineure à ' L'utilisateur nobody est réservé à NFS uniquement. ' répondre. L'
nobody
utilisateur est également utilisé pour les conteneurs non privilégiés avec des montages liés à ce stade.Cela provient de systemd-nspawn, plus précisément de l'option de montage --bind:
systemd-nspawn
la source