$ find /usr/bin/ -group shadow | xargs ls -l
-rwxr-sr-x 1 root shadow 45384 2008-12-08 03:13 /usr/bin/chage
-rwxr-sr-x 1 root shadow 21424 2008-12-08 03:13 /usr/bin/expiry
Möglicherweise gibt es keine Benutzer, aber es gibt sicherlich Software, die in der Lage sein muss, diese Datei zu lesen. Beachten Sie, dass passwd selbst ist setuid root und braucht dies daher nicht.
Nein, shadow Die Gruppe sollte keine Benutzer haben, aber diese Gruppe ist erforderlich, damit Shadow-Passwörter funktionieren.
Ich schätze, die Idee hier ist, die Datei nur für Root und Root zugänglich zu machen. Möglicherweise haben Sie zusätzliche Benutzer in der Root-Gruppe, deshalb wurde die separate Benutzergruppe erstellt.
Auf meinem Ubuntu-Rechner gibt es eine Reihe von Befehlen, die set-group-id auf shadow setzen. Dies gibt ihnen genau und nur das Privileg, die beiden Shadow-Dateien zu lesen (die in Shadow gruppiert und nur für die Gruppe lesbar sind).
-rwxr-sr-x 1 root shadow 35584 Mar 16 11:45 /sbin/pam_extrausers_chkpwd
-rwxr-sr-x 1 root shadow 35544 Mar 16 11:45 /sbin/unix_chkpwd
-rwxr-sr-x 1 root shadow 59224 Jul 20 2015 /usr/bin/chage
-rwxr-sr-x 1 root shadow 23424 Jul 20 2015 /usr/bin/expiry
-rw-r----- 1 root shadow 1043 Apr 2 00:27 /etc/gshadow
-rw-r----- 1 root shadow 1732 Apr 2 00:27 /etc/shadow
Wenn Sie einen Dienst haben, der nur erfordert, um die eine oder andere der Shadow-Dateien lesen zu können, setzen Sie einfach die Gruppen-ID auf shadow. Das ist sozusagen das Gegenteil von dem, was oben vorgeschlagen wurde - es ist nicht so, dass es viele andere Leute gibt, die sich im Gruppenstamm befinden, sondern dass diese Gruppe Ihnen per Konvention (und Dateiberechtigungen) nur Zugriff auf diese beiden Ressourcen gewährt.