À quoi sert le groupe nommé «utilisateurs»?

13

Sur mon Ubuntu, un groupe "utilisateurs" avec l'id 100 existe. Mais il n'a aucun membre. Mes questions sont:

  • Quel est le but de ce groupe?
  • Chaque utilisateur du système devrait-il devenir membre de ce groupe?
Mathias
la source
Étant donné que mettre tous les utilisateurs dans le même groupe est l' approche traditionnelle , voici pourquoi Red Hat a lancé la tendance des " groupes d'
user1686

Réponses:

17

Ubuntu est basé sur Debian, et les utilisateurs suivent la même philosophie. Je cite donc l' explication Debians des groupes de systèmes :

utilisateurs: alors que les systèmes Debian utilisent le système de groupe d'utilisateurs privés par défaut (chaque utilisateur a son propre groupe), certains préfèrent utiliser un système de groupe plus traditionnel, dans lequel chaque utilisateur est membre de ce groupe.

Il n'est pas utilisé sur Ubuntu (et Debian), mais il y est conservé au cas où les administrateurs du système souhaiteraient l'utiliser. Il garantit effectivement qu'il aura le même GID sur tous les systèmes, ce qui n'est pas le cas s'il est créé localement.

Il n'est pas nécessaire de rendre les utilisateurs membres d' usersune installation Ubuntu standard. Dans certains cas et paramètres, il peut être pratique que tous les utilisateurs appartiennent à un groupe d'utilisateurs commun.

vidarlo
la source
3

Parce que le concept "user id" était à l'origine destiné à la comptabilité, plus qu'à la sécurité, et chaque compte "utilisateur" ne signifie pas quelque chose qui peut potentiellement manger un cheeseburger. Le groupe "utilisateurs" est destiné à désigner des identités d'utilisateurs qui, en fait, correspondent à des personnes réelles. À titre d'exemple simple, sur de nombreux postes de travail graphiques basés sur UNIX, l'écran de connexion n'affichera pas tous les comptes d'utilisateur dans / etc / passwd, mais uniquement ceux du groupe "utilisateurs" (ou peut-être un compartiment encore plus serré).

Considérez le serveur Web Apache. Sur de nombreux systèmes, cela s'exécute en tant qu'utilisateur "httpd". Cependant, nous n'attendons évidemment pas que quelqu'un se connecte en tant qu'utilisateur. Au sens comptable classique, nous ne voulons pas facturer à un utilisateur normal le temps CPU utilisé par le serveur Web du système. Dans le dernier sens de la sécurité, le serveur Web ne devrait pas être en mesure de faire l'ensemble des choses qu'un utilisateur connecté peut faire.

Ces jours-ci, nous avons SELINUX et des listes de contrôle d'accès et un certain nombre d'autres concepts qui nous donnent des moyens plus flexibles de verrouiller les choses. Mais l'idée de base est toujours de créer quelque chose qui ressemble à un utilisateur et qui dispose de moins - ou du moins, d'autorisations différentes - qu'un utilisateur connecté.

Passons maintenant à la partie suivante de votre question: pourquoi le groupe d'utilisateurs est-il vide?

Parce que vous avez votre propre groupe à la place. Si vous ajoutez un compte pour votre ami à cette machine, il aura également son propre groupe. Cependant, ils ne seront pas obtenir des autorisations spéciales que vous avez ajoutés à votre propre groupe. Avec l'approche de groupe "utilisateurs", en supposant qu'ils étaient membres de ce groupe, toutes vos améliorations et restrictions à ce groupe viendraient pour le trajet pour le nouveau compte.

Pour un exemple pratique, si vous installez Oracle VirtualBox, vous devrez probablement ajouter un groupe "vboxusers" qui vous donnera accès aux périphériques spéciaux dans / dev qui permettent à VirtualBox d'accélérer certains périphériques et d'en traverser d'autres. De même pour Wireshark, si vous l'utilisez.

Pour les systèmes qui créent de nouveaux groupes pour chaque utilisateur, un modèle est généralement utilisé pour le nouveau groupe.

point d'arrêt
la source