Apa tujuan dari grup bernama "pengguna"?

13

Di Ubuntu saya ada grup "pengguna" dengan id 100. Tetapi tidak memiliki anggota sama sekali. Pertanyaan saya adalah:

  • Apa tujuan dari grup ini?
  • Haruskah setiap pengguna sistem menjadi anggota grup ini?
Mathias
sumber
Karena menempatkan semua pengguna di grup yang sama adalah pendekatan tradisional , inilah mengapa Red Hat memulai tren "grup pengguna": web.cs.elte.hu/pub/linux/RedHat/RH-4.0-Manual-HTML/node288.html
user1686

Jawaban:

17

Ubuntu didasarkan pada Debian, dan pengguna mengikuti filosofi yang sama. Saya mengutip penjelasan Debian dari Grup Sistem :

pengguna: Sementara sistem Debian menggunakan sistem grup pengguna pribadi secara default (setiap pengguna memiliki grup sendiri), beberapa lebih suka menggunakan sistem grup yang lebih tradisional, di mana setiap pengguna adalah anggota grup ini.

Ini tidak digunakan di Ubuntu (dan Debian), tetapi disimpan di sana jika administrator sistem ingin menggunakannya. Ini secara efektif memastikan bahwa ia akan memiliki GID yang sama pada semua sistem, yang tidak terjadi jika dibuat secara lokal.

Pengguna tidak perlu menjadi anggota userspada instalasi standar Ubuntu. Dalam beberapa kasus dan pengaturan, mungkin nyaman untuk memiliki semua pengguna milik grup pengguna umum.

vidarlo
sumber
3

Karena konsep "id pengguna" pada awalnya dimaksudkan untuk akuntansi, lebih dari keamanan, dan tidak setiap akun "pengguna" berarti sesuatu yang berpotensi memakan burger keju. Grup "pengguna" dimaksudkan untuk menunjuk identitas pengguna yang, sebenarnya, dipetakan ke orang-orang nyata. Sebagai contoh sederhana, pada banyak workstation berbasis grafis UNIX, layar login tidak akan menampilkan setiap akun pengguna di / etc / passwd, tetapi hanya yang ada di grup "pengguna" (atau bahkan beberapa kompartemen yang lebih ketat).

Pertimbangkan Apache Web Server. Pada banyak sistem, ini berjalan sebagai "pengguna" 'httpd'. Namun, jelas, kami tidak mengharapkan siapa pun untuk masuk sebagai pengguna ini. Dalam pengertian akuntansi klasik, kami tidak ingin menagih pengguna normal untuk waktu CPU yang digunakan oleh server web sistem. Dalam pengertian keamanan nanti, server web seharusnya tidak dapat melakukan set lengkap hal-hal yang dapat dilakukan oleh pengguna yang login.

Saat ini, kami memiliki SELINUX dan daftar kontrol akses serta sejumlah konsep lain yang memberi kami cara yang lebih fleksibel untuk mengunci berbagai hal. Tetapi ide dasarnya adalah untuk membuat sesuatu yang seperti pengguna yang memiliki lebih sedikit - atau setidaknya, berbeda - izin daripada pengguna yang login.

Sekarang, ke bagian selanjutnya dari pertanyaan Anda: mengapa grup pengguna kosong?

Karena Anda memiliki grup sendiri. Jika Anda menambahkan akun untuk teman Anda ke mesin itu, mereka juga akan mendapatkan grup mereka sendiri. Namun, mereka tidak akan mendapatkan izin khusus apa pun yang Anda tambahkan ke grup Anda sendiri. Dengan pendekatan grup "pengguna", dengan anggapan mereka adalah anggota grup itu, semua peningkatan dan pembatasan Anda untuk grup itu akan ikut serta dalam perjalanan untuk akun baru.

Sebagai contoh praktis, jika Anda menginstal Oracle VirtualBox, Anda mungkin harus menambahkan grup "vboxusers" yang akan memberi Anda akses ke perangkat khusus di / dev yang memungkinkan VirtualBox mempercepat perangkat tertentu dan melewati yang lain. Demikian juga untuk Wireshark, jika Anda menggunakannya.

Untuk sistem yang membuat grup baru untuk setiap pengguna, biasanya ada templat yang digunakan untuk grup baru.

breakpoint
sumber