একাধিক * এনআইএক্স অ্যাকাউন্ট আইডেন্টিকাল ইউআইডি সহ

লিনাক্স / ইউনিক্সে একই ইউআইডি রয়েছে এমন একাধিক অ্যাকাউন্ট তৈরি করার সময় কোনও আদর্শ প্রত্যাশিত আচরণ আছে কিনা এবং এটি খারাপ অভ্যাস হিসাবে বিবেচিত হবে কিনা তা নিয়ে আমি আগ্রহী। আমি এটি দিয়ে আরএইচইল 5-তে কিছু পরীক্ষা করেছি এবং এটি আমার প্রত্যাশা অনুযায়ী আচরণ করেছে, তবে আমি জানি না আমি এই কৌশলটি ব্যবহার করে ভাগ্যকে প্রলুব্ধ করছি কিনা।

উদাহরণ হিসাবে, ধরা যাক একই আইডি সহ আমার দুটি অ্যাকাউন্ট রয়েছে:

a1:$1$4zIl1:5000:5000::/home/a1:/bin/bash
a2:$1$bmh92:5000:5000::/home/a2:/bin/bash

এর অর্থ কী:

• আমি প্রতিটি অ্যাকাউন্টে তার নিজের পাসওয়ার্ড ব্যবহার করে লগ ইন করতে পারি।
• আমার নির্মিত ফাইলগুলির একই ইউআইডি থাকবে।
• "Ls -l" এর মতো সরঞ্জামগুলি ইউআইডিকে ফাইলের প্রথম এন্ট্রি হিসাবে তালিকাবদ্ধ করবে (এই ক্ষেত্রে এ 1)।
• আমি দুটি অ্যাকাউন্টের মধ্যে কোনও অনুমতি বা মালিকানার সমস্যা এড়াচ্ছি কারণ তারা সত্যই একই ব্যবহারকারী।
• আমি প্রতিটি অ্যাকাউন্টের জন্য লগইন অডিটিং পাই, তাই সিস্টেমে কী ঘটছে তা ট্র্যাক করার ক্ষেত্রে আমার আরও ভাল গ্রানুলারিটি রয়েছে।

সুতরাং আমার প্রশ্নগুলি হ'ল:

• এই ক্ষমতাটি কি ডিজাইন করা হয়েছে বা এটি কাজ করার মতোই হয়?
• এটি কি * নিক্স রূপগুলি জুড়ে সামঞ্জস্যপূর্ণ হতে চলেছে?
• এই গৃহীত অনুশীলন?
• এই অনুশীলনের অনিচ্ছাকৃত পরিণতি কি আছে?

দ্রষ্টব্য, এখানে ধারণাটি হ'ল এটি সাধারণ অ্যাকাউন্টগুলির জন্য নয় সিস্টেম অ্যাকাউন্টগুলির জন্য।

আমার মতামত:

এই ক্ষমতাটি কি ডিজাইন করা হয়েছে বা এটি কাজ করার মতোই হয়?

এটি নকশা করা হয়েছে। যেহেতু আমি * এনআইএক্স ব্যবহার শুরু করেছি, আপনি সাধারণ দলগুলিতে ব্যবহারকারীদের রাখতে সক্ষম হয়েছেন। সমস্যা ছাড়াই ইউআইডি রাখার ক্ষমতা হ'ল একটি উদ্দেশ্যমূলক ফলাফল যা, প্রতিটি কিছুর মতোই, যদি ভুলভাবে পরিচালনা করা হয় তবে সমস্যাগুলি আসতে পারে।

এটি কি * নিক্স রূপগুলি জুড়ে সামঞ্জস্যপূর্ণ হতে চলেছে?

আমি তাই বিশ্বাস করি.

এই গৃহীত অনুশীলন?

হ্যাঁ, সাধারণত একরকম বা অন্যভাবে ব্যবহৃত হিসাবে গৃহীত।

এই অনুশীলনের অনিচ্ছাকৃত পরিণতি কি আছে?

লগইন নিরীক্ষণ ব্যতীত আপনার আর কিছুই নেই। যদি না আপনি ঠিক দেখতে চান, শুরু দিয়ে।

এটি কি সব ইউনিক্সে কাজ করবে? হ্যাঁ.

এটি ব্যবহার করার জন্য কি ভাল কৌশল? না। অন্যান্য কৌশলগুলি আরও ভাল। উদাহরণস্বরূপ, ইউনিক্স গ্রুপগুলির যথাযথ ব্যবহার এবং কঠোরভাবে নিয়ন্ত্রিত "sudo" কনফিগারেশন একই জিনিস অর্জন করতে পারে।

আমি ঠিক এমন এক জায়গা দেখেছি যেখানে সমস্যা ছাড়াই এটি ব্যবহৃত হয়েছিল। ফ্রিবিএসডি-তে "টুর" (রুটটি পেছনের দিকে বানানো) নামে একটি দ্বিতীয় রুট অ্যাকাউন্ট তৈরি করা প্রচলিত যা / বিন / শ ডিফল্ট শেল হিসাবে রয়েছে। এইভাবে যদি রুটের শেলটি মিশে যায় আপনি এখনও লগ ইন করতে পারেন।

আমি আপনার প্রশ্নের কোন প্রাসঙ্গিক উত্তর দিতে পারি না, তবে উপাখ্যানগতভাবে আমার সংস্থাগুলি বহু বছর ধরে রুট ব্যবহারকারীর সাথে এটি করে চলেছে এবং এর সাথে কখনও কোনও সমস্যা হয়নি। আমরা একটি 'ক্রুট' ব্যবহারকারী (ইউআইডি 0) তৈরি করি যার অস্তিত্বের একমাত্র কারণ / বিন / শ বা বিন / ব্যাশের পরিবর্তে শেল হিসাবে / বিন / কেএসএস থাকা। আমি জানি যে আমাদের ওরাকল ডিবিএগুলি তাদের ব্যবহারকারীদের সাথে একই রকম কিছু করে, প্রতিটি ইনস্টল প্রতি 3 বা 4 ব্যবহারকারীর নাম, সমস্ত একই আইডি সহ (আমি বিশ্বাস করি এটি প্রতিটি ব্যবহারকারীর সাথে পৃথক হোম ডিরেক্টরি থাকতে হয়েছিল। আমরা কমপক্ষে এটি করে চলেছি) সোলারিস এবং লিনাক্সের দশ বছর, আমি মনে করি এটি নকশা অনুযায়ী কাজ করছে।

আমি এটি একটি নিয়মিত ব্যবহারকারীর অ্যাকাউন্ট দিয়ে করব না। যেমনটি আপনি উল্লেখ করেছেন, প্রাথমিক লগইনের পরে সমস্ত কিছু লগ ফাইলের প্রথম নামটিতে ফিরে আসে, তাই আমি মনে করি লগের মধ্যে অন্য ব্যবহারকারীর ক্রিয়া হিসাবে একজন ব্যবহারকারীর ক্রিয়াটি মাস্ক্রেড করা যেতে পারে। সিস্টেম অ্যাকাউন্টগুলির জন্য যদিও এটি দুর্দান্ত কাজ করে।

এই ক্ষমতাটি কি ডিজাইন করা হয়েছে বা এটি কাজ করার মতোই হয়?

সেভাবে ডিজাইন করা হয়েছে।

এটি কি * নিক্স রূপগুলি জুড়ে সামঞ্জস্যপূর্ণ হতে চলেছে?

এটা উচিত, হ্যাঁ।

এই গৃহীত অনুশীলন?

আপনি কি বলতে চাইছেন উপর নির্ভর করে। এই জাতীয় জিনিস একটি অত্যন্ত নির্দিষ্ট সমস্যার উত্তর দেয় (রুট / টুর অ্যাকাউন্ট দেখুন)। অন্য কোথাও এবং আপনি ভবিষ্যতে একটি বোকা সমস্যা জিজ্ঞাসা করছেন। আপনি যদি নিশ্চিত না হন যে এটি সঠিক সমাধান কিনা, সম্ভবত এটি তা নয়।

এই অনুশীলনের অনিচ্ছাকৃত পরিণতি কি আছে?

ব্যবহারকারীর নাম এবং ইউআইডিগুলিকে বিনিময়যোগ্য হিসাবে বিবেচনা করা সাধারণ রীতি। অন্য কয়েকজন লোক যেমন উল্লেখ করেছে, লগইন / ক্রিয়াকলাপের নিরীক্ষণগুলি ভুল হবে। আপনি যে কোনও প্রাসঙ্গিক ব্যবহারকারী-সম্পর্কিত স্ক্রিপ্ট / প্রোগ্রামগুলির (আপনার ডিসট্রোর ইউজারড, ইউজারমড, ইউজারডেল স্ক্রিপ্টস, কোনও পর্যায়ক্রমিক রক্ষণাবেক্ষণ স্ক্রিপ্ট ইত্যাদি) পর্যালোচনা করতে চাইবেন।

আপনি এইটি কী অর্জন করতে চাইছেন যা এই দুটি ব্যবহারকারীকে একটি নতুন দলে যুক্ত করে এবং সেই গোষ্ঠীটি আপনার প্রয়োজনীয় অনুমতিগুলি প্রদান করে তা সম্পন্ন হবে না?

এই অনুশীলনের অনিচ্ছাকৃত পরিণতি কি আছে?

আমি সচেতন একটি বিষয় আছে। ক্রোন এই ইউআইডি আলিয়াসিংয়ের সাথে ভাল খেলছে না। ক্রোন এন্ট্রিগুলি আপডেট করতে পাইথন স্ক্রিপ্ট থেকে "ক্রোনটব -i" চালানোর চেষ্টা করুন। তারপরে একই পরিবর্তন করতে শেলটিতে "ক্রন্টব-ই" চালান।

লক্ষ্য করুন যে এখন ক্রোন (ভিক্সি, আমি মনে করি) এ 1 এবং এ 2 উভয় (/ var / spool / ক্রোন / a1 এবং / var / স্পুল / ক্রোন / a2) উভয়ের জন্য একই এন্ট্রি আপডেট করবে।

আমি দেখেছি এমন সমস্ত বিতরণের ক্ষেত্রে এটি প্রত্যাশিত আচরণ এবং এটি একটি সাধারণ কৌশল যা 'শত্রু' রুট অ্যাক্সেস সহ অ্যাকাউন্টগুলি আড়াল করতে ব্যবহার করে।

এটি অবশ্যই মানসম্মত নয় (এটি আমি কোথাও খেলতে দেখিনি), তবে উপযুক্ত দেখা গেলে আপনি নিজের পরিবেশে এটি ব্যবহার করতে পারবেন না এমন কোনও কারণ থাকতে হবে না।

এই মুহূর্তে মনে মনে একমাত্র গোচা এটি হ'ল এটি নিরীক্ষণকে অসুবিধে করতে পারে। যদি আপনার একই ইউআইডি / জিডের সাথে দু'জন ব্যবহারকারী থাকে তবে আমি বিশ্বাস করি যে আপনি লগগুলি বিশ্লেষণ করার সময় কোনটি কী করেছে তা নির্ধারণ করতে আপনার খুব কষ্ট হবে।

প্রাথমিক গ্রুপ ID- র ভাগ সাধারণ, তাই প্রশ্ন সত্যিই কাছাকাছি revolves ইউআইডি ।

আমি কাউকে রুট অ্যাক্সেস দেওয়ার আগে এটি করেছি, মূল পাসওয়ার্ডটি প্রকাশ না করেই - যা ভাল কাজ করেছে। (যদিও সুডো আরও ভাল পছন্দ হতে পারে, আমি মনে করি)

আমি যে বিষয়টির বিষয়ে সাবধানতা অবলম্বন করব তা হ'ল ব্যবহারকারীদের মধ্যে একজনকে মুছার মতো জিনিস - প্রোগ্রামটি বিভ্রান্ত হয়ে পড়তে পারে এবং উভয় ব্যবহারকারীকে মুছে ফেলতে পারে, বা উভয়েরই ফাইলগুলি বা একই জাতীয় জিনিসগুলি মুছে ফেলতে পারে।

প্রকৃতপক্ষে, আমি মনে করি যে প্রোগ্রামাররা সম্ভবত ব্যবহারকারী এবং ইউআইডি মধ্যে 1: 1 সম্পর্ক ধরে নিয়েছে , তাই আমি ইউজারডেলের জন্য বর্ণিত মতো অন্যান্য প্রোগ্রামগুলির সাথে অপ্রত্যাশিত পরিণতি হতে পারে।

বিটিডব্লিউ - এই প্রশ্ন / উত্তরটি আজকের ওএস এর জন্য আপডেট হয়েছে।

রেডহাট থেকে উদ্ধৃতি দেওয়া : অনন্য ইউআইডি এবং জিআইডি নম্বর কার্য পরিচালনা , এটি ইউআইডি এবং জিআইডি এবং তাদের পরিচালনার এবং কীভাবে জেনারেটর (আইডি সার্ভার) বর্ণনা করে

অবশ্যই এলোমেলো ইউআইডি এবং জিআইডি মান উত্পন্ন করতে হবে এবং একই সাথে তা নিশ্চিত করতে হবে যে প্রতিরূপগুলি একই ইউআইডি বা জিআইডি মান কখনই উত্পন্ন করে না। অনন্য ইউআইডি এবং জিআইডি সংখ্যার প্রয়োজন এমনকি আইডিএম ডোমেনগুলিও অতিক্রম করতে পারে, যদি কোনও সংস্থার একাধিক পৃথক ডোমেন থাকে।

একইভাবে, ইউটিলিটিগুলি যা সিস্টেমে অ্যাক্সেসের অনুমতি দেয় তারা অবিশ্বাস্য আচরণ করতে পারে (একই রেফারেন্স):

যদি দুটি এন্ট্রি একই আইডি নম্বর বরাদ্দ করা হয় তবে কেবলমাত্র সেই নম্বরটির সন্ধানে প্রথম এন্ট্রি ফিরে আসে।

সমস্যাটি তখন উপস্থিত হয় যখন "প্রথম" ধারণাটি খারাপভাবে সংজ্ঞায়িত করা হয়। ইনস্টল করা পরিষেবার উপর নির্ভর করে, ব্যবহারকারীর নামগুলি একটি পরিবর্তনশীল মাপের হ্যাশে রাখা যেতে পারে যা বেমানান কারণগুলির ভিত্তিতে একটি পৃথক ব্যবহারকারীর নামটি ফিরিয়ে আনবে। (আমি জানি এটি সত্য, যেমন আমি মাঝে মাঝে 2 / ব্যবহারকারীর নাম / ডাব্লু আইডি ব্যবহার করার চেষ্টা করেছি, একটি স্থানীয় ব্যবহারকারী নাম এবং অন্যটি একটি ডোমেইন.ইউজারনেম যা আমি ইউআইডিতে মানচিত্র করতে চেয়েছি (যা আমি শেষ পর্যন্ত সম্বোধন করেছি) সম্পূর্ণ ভিন্ন ভাবে), তবে আমি "ইউজার" দিয়ে লগ ইন করতে পারি, একটি "হু" বা "আইডি" করতে এবং "ইউজারব" বা "ইউজার" - এলোমেলোভাবে দেখতে পেতাম।

একটি গ্রুপ থেকে ইউআইডি'র একাধিক মান পুনরুদ্ধার করার জন্য একটি ইন্টারফেস রয়েছে (একক জিআইডি সহ গোষ্ঠীগুলি একাধিক ইউআইডি'র সাথে যুক্ত হওয়ার জন্য ডিজাইন করা হয়েছে) তবে কোনও ইউআইডি-র নামের তালিকা ফেরত দেওয়ার জন্য কোনও বহনযোগ্য ইন্টারফেস নেই, সুতরাং যে কেউ একই প্রত্যাশা করে বা একই সিস্টেমে এমনকি অ্যাপ্লিকেশনগুলির মধ্যে অনুরূপ আচরণ অসন্তুষ্ট হতে পারে।

সান (এখন ওরাকল) yp (হলুদ পৃষ্ঠা) বা এনআইএস (নেটওয়ার্ক ইনফরমেশন সার্ভিসেস), স্বতন্ত্রতার প্রয়োজনীয়তার জন্য অনেকগুলি উল্লেখ রয়েছে। একাধিক সার্ভার এবং ডোমেন জুড়ে অনন্য আইডি বরাদ্দ করার জন্য বিশেষ ফাংশন এবং সার্ভার সেটআপ করা হয় (উদাহরণস্বরূপ uid_allocd, gid_allocd - UID এবং GID বরাদ্দকারী ডিমন ম্যানপেজ

তৃতীয় উত্স যা যা পরীক্ষা করতে পারে তা হ'ল এনএফএস অ্যাকাউন্ট ম্যাপিংয়ের জন্য মাইক্রোসফ্টের সার্ভার ডকুমেন্টেশন। এনএফএস হল একটি ইউনিক্স ফাইল শেয়ার প্রোটোকল এবং তারা বর্ণনা করে যে কীভাবে ফাইলের অনুমতি এবং অ্যাক্সেস আইডি দ্বারা পরিচালিত হয়। সেখানে তারা লিখেছেন:

• ইউআইডি। এটি ইউএনআইএক্স অপারেটিং সিস্টেমগুলি ব্যবহারকারীদের সনাক্ত করতে ব্যবহৃত স্বাক্ষরযুক্ত পূর্ণসংখ্যা এবং পাসডাব্লুড ফাইলে অবশ্যই অনন্য হতে হবে।

• GID। এটি UNIX কার্নেল দ্বারা গোষ্ঠীগুলি সনাক্ত করতে ব্যবহার করা একটি স্বাক্ষরবিহীন পূর্ণসংখ্যা এবং গ্রুপ ফাইলে স্বতন্ত্র হওয়া আবশ্যক। এমএস-এনএফএস-পরিচালনা পৃষ্ঠা

যদিও কিছু ওএস এর একাধিক নাম / ইউআইডি (বিএসডি ডেরিভেটিভস, সম্ভবত?) অনুমতি দিয়েছে তবে বেশিরভাগ ওএস এর অনন্যর উপর নির্ভর করে এবং যখন তারা না থাকে তখন অনির্দেশ্য আচরণ করতে পারে।

দ্রষ্টব্য - আমি এই পৃষ্ঠাটি যুক্ত করছি, যেহেতু কেউ এই তারিখের এন্ট্রিটিকে অনন্য-ইউনিক / ইউআইডি / জিআইডি'র জন্য উপযুক্ত হিসাবে ব্যবহার করার আধুনিক হিসাবে সমর্থন হিসাবে উল্লেখ করেছে ... যা সর্বাধিক, তা নয়।

আমি এটিও জানি না এটি একটি ভাল ধারণা কিনা এবং তবে আমি উপরোক্ত আচরণটি কয়েকটি জায়গায় ব্যবহার করি। বেশিরভাগ ক্ষেত্রে এটি অ্যাকাউন্টগুলির জন্য যেখানে ftp / sftp সার্ভার অ্যাক্সেস করতে এবং ওয়েব সাইটের সামগ্রী আপডেট করার জন্য ব্যবহৃত হয়। এটি কোনও কিছু ভাঙ্গেনি বলে মনে হয়েছিল এবং অনুমতিগুলি হ্যান্ডলিং করা সহজ করে মনে হচ্ছে তবে একাধিক অ্যাকাউন্টের সাথে এটিই হত।

একই ইউআইডি-র সাথে একাধিক অ্যাকাউন্টের ব্যবহার থেকে উদ্ভূত একটি (বরং অস্পষ্ট) ইস্যুতে ছড়িয়ে পড়েছে এবং ভেবেছিলাম যে এটি কেন ভাল অনুশীলন নয় এর উদাহরণ হিসাবে আমি এটিকে ভাগ করব।

আমার ক্ষেত্রে, একজন বিক্রেতা আরএইচইএল on এ একটি ইনফর্মিক্স ডাটাবেস সার্ভার এবং একটি ওয়েব অ্যাপ্লিকেশন সার্ভার সেটআপ করেছেন, সেটআপের সময়, ইউআইডি 0 সহ একাধিক "রুট" অ্যাকাউন্ট তৈরি করা হয়েছিল (আমাকে জিজ্ঞাসা করবেন না কেন)। অর্থাৎ, "রুট", "ইউজার 1" এবং "ইউজার 2", সকলের ইউআইডি 0 রয়েছে।

আরএইচইএল 7 সার্ভারটি পরে উইন্ডবাইন্ড ব্যবহার করে একটি অ্যাক্টিভ ডিরেক্টরি ডোমেনে যোগ হয়েছিল। এই মুহুর্তে, ইনফর্মিক্স ডিবি সার্ভার আর আরম্ভ করতে পারেনি। দৌড়ানোটি oninitএকটি ত্রুটি বার্তায় এটি ব্যর্থ হয়ে যাচ্ছিল "Must be a DBSA to run this program"।

সমস্যা সমাধানের সময় আমরা যা পেয়েছি তা এখানে:

1. একটি অ্যাক্টিভ ডিরেক্টরি ডিরেক্টরিটিতে যোগদানকারী সিস্টেমে চলমান id rootবা getent passwd 0(ইউআইডি 0 টি ব্যবহারকারীর নাম হিসাবে সমাধান করার জন্য) এলোমেলোভাবে "ইউজার 1" বা "ইউজার 2" "রুট" এর পরিবর্তে ফিরে আসবে।

2. ইনফর্মিক্স স্পষ্টতই একটি স্ট্রিং তুলনার উপর নির্ভর করে যা ব্যবহারকারীর পাঠ্য ব্যবহারকারীর নাম এটি শুরু করে "রুট" এবং অন্যথায় ব্যর্থ হবে কিনা তা যাচাই করার জন্য।

3. উইন্ডবাইন্ড ছাড়াই id rootএবং getent passwd 0ধারাবাহিকভাবে "রুট" ব্যবহারকারীর নাম হিসাবে ফিরে আসবে।

স্থিরকরণটি ছিল ক্যাচিং এবং অধ্যবসায় অক্ষম করা /etc/nscd.conf:

enable-cache    passwd      no
persistent      passwd      no

এই পরিবর্তনের পরে, ইউআইডি 0 আবার ধারাবাহিকভাবে "রুট" এ সংশোধন করে এবং ইনফর্মিক্স শুরু হতে পারে।

আশা করি এটি কারও কাজে আসবে।