'কেউ নেই' ব্যবহারকারীর উদ্দেশ্য কী?

আমি সমস্ত মানব ব্যবহারকারীদের তালিকা পড়ার পরে আমি লক্ষ্য করেছি যে আমার উবুন্টু সিস্টেমে 'কেউ নেই' নামে একটি ব্যবহারকারী অ্যাকাউন্ট রয়েছে।

এছাড়াও আমি লক্ষ্য করেছি যে আমি নিম্নলিখিত কমান্ড এবং আমার পাসওয়ার্ড ব্যবহার করে টার্মিনাল থেকে এই অ্যাকাউন্টে লগইন করতে পারি:

sudo su nobody

এটি মোটেও আপত্তি করে না, তবে আমি জানতে চাই যে এই ব্যবহারকারীর উদ্দেশ্য কী? এটি উবুন্টুর একটি নতুন ইনস্টলটিতে ডিফল্টরূপে তৈরি হয়েছে বা কোনও নির্দিষ্ট প্যাকেজ ইনস্টল করে তৈরি করা হয়েছে?

এটি এমন কিছু চালানোর জন্য রয়েছে যাতে কোনও বিশেষ অনুমতিের প্রয়োজন হয় না। এটি সাধারণত দুর্বল পরিষেবাগুলির জন্য সংরক্ষিত হয় (httpd ইত্যাদি) যাতে তারা হ্যাক হয়ে যায় তবে সিস্টেমের বাকী অংশগুলিতে তাদের ন্যূনতম ক্ষতি হতে পারে।

সত্যিকারের ব্যবহারকারী হিসাবে কিছু চালানোর সাথে এটির বিপরীতে , যদি সেই পরিষেবাটি আপস করা হয় (ওয়েব সার্ভারগুলি মাঝে মাঝে নির্বিচারে কোড চালানোর জন্য কাজে লাগানো হয়) তবে এটি সেই ব্যবহারকারী হিসাবে চালিত হবে এবং ব্যবহারকারীর সমস্ত কিছুতে অ্যাক্সেস থাকবে। বেশিরভাগ ক্ষেত্রে, এটি রুট হওয়ার মতোই খারাপ ।

উবুন্টু উইকির কেউ ব্যবহারকারীর সম্পর্কে আপনি আরও কিছুটা পড়তে পারেন:

• https://wiki.ubuntu.com/nobody

আপনার ফলোআপগুলির উত্তর দিতে:

আমি কেন এই অ্যাকাউন্ট দিয়ে অ্যাক্সেস করতে পারি না su nobody?

sudo grep nobody /etc/shadowআপনাকে দেখাতে হবে যে কারও কাছে পাসওয়ার্ড নেই এবং আপনি suঅ্যাকাউন্টের পাসওয়ার্ড ছাড়া করতে পারবেন না । এর sudo su nobodyপরিবর্তে সবচেয়ে পরিষ্কার উপায় । এটি আপনাকে একটি সুন্দর নির্জন shশেল ছেড়ে দেবে ।

এই অ্যাকাউন্টটি ব্যবহার করার নির্দেশ দেওয়া হলে আপনি কি একটি বিশেষ উদাহরণ দিতে পারেন?

যখন কোনও প্রোগ্রামের ক্রিয়াকলাপের জন্য অনুমতি প্রয়োজন হয় না। এটি কোনও ক্ষেত্রেই উল্লেখযোগ্য যে যখন কোনও ডিস্ক ক্রিয়াকলাপ হয় না।

এর প্রকৃত বিশ্বের উদাহরণ হ'ল memcached(মেমোরি ক্যাশে / ডাটাবেস / জিনিসটির মূল চাবিকাঠি), আমার কম্পিউটারে বসে এবং আমার সার্ভার কারও অ্যাকাউন্টে চলছে না। কেন? কারণ এটির জন্য কেবল কোনও অনুমতিের দরকার নেই এবং এটিকে একটি অ্যাকাউন্ট দেওয়ার জন্য যা ফাইলগুলিতে লেখার অ্যাক্সেস রাখে তা কেবল অযথা ঝুঁকিপূর্ণ হতে পারে।

অনেকগুলি ইউনিক্স ভেরিয়েন্টে, "কেউই" হ'ল কোনও ব্যবহারকারী অ্যাকাউন্টের প্রচলিত নাম যা কোনও ফাইলের মালিক নয়, কোনও সুবিধাযুক্ত গোষ্ঠীতে নেই, এবং প্রতিটি অন্যান্য ব্যবহারকারীর কাছে রয়েছে সেগুলি ছাড়া তার কোনও ক্ষমতা নেই।

কোনও ক্ষতিকারক ব্যবহারকারীর দ্বারা নিয়ন্ত্রণ অর্জন করা সম্ভব হতে পারে এমন ক্ষতির পরিমাণ সীমাবদ্ধ করার জন্য, বিশেষত সার্ভার হিসাবে ডেমোন চালানো সাধারণ। তবে, একাধিক ডেমোন এভাবে চালিত হলে এই কৌশলটির কার্যকারিতা হ্রাস পাবে, কারণ তখন একটি ডিমনকে নিয়ন্ত্রণ করা সমস্তটির নিয়ন্ত্রণ প্রদান করে। কারণটি হ'ল কারও মালিকানাধীন প্রক্রিয়াগুলি একে অপরের কাছে সিগন্যাল প্রেরণ এবং একে অপরকে ডিবাগ করার ক্ষমতা রাখে, একে একে একে একে একে একে একে একে পড়তে বা একে অপরের স্মৃতি পরিবর্তন করতে দেয়।

Http://en.wikedia.org/wiki/Nobody_( ব্যবহারকারীর নাম) থেকে নেওয়া তথ্য ।

ব্যবহারকারী কেউই কেবল এনএফএসের জন্য সংরক্ষিত নেই।

উপরের পলিকগুলি বদলে ভুল, কারণ তারা ধরে নেয় যে nobodyএটি একটি "জেনেরিক" বেনামে / গেস্ট স্টাইলের ব্যবহারকারী আইডি।

ইউএনআইএক্স / লিনাক্স অ্যাক্সেস কন্ট্রোল মডেলটিতে বেনামে / গেস্ট স্টাইলের ব্যবহারকারী আইডির অস্তিত্ব নেই এবং এগুলি খারাপ পরামর্শ:

• " ডেমোন চালানো সাধারণ nobody, বিশেষত সার্ভার হিসাবে , কোনও ক্ষতিকারক ব্যবহারকারীর দ্বারা নিয়ন্ত্রণ অর্জন করা ক্ষতির সীমাবদ্ধ করার জন্য। " নিম্নলিখিতগুলির কারণে: " তবে, এই প্রযুক্তির কার্যকারিতা হ্রাস পেলে যদি আরও কিছু করা যায় একটি ডেমন এইভাবে চালানো হয়, কারণ তারপরে একটি ডেমনের নিয়ন্ত্রণ অর্জন করলে তাদের সকলের নিয়ন্ত্রণ পাওয়া যায় "।
• "এর প্রকৃত বিশ্বের উদাহরণ হ'ল memcached(মেমোরি ক্যাশে / ডাটাবেস / জিনিসটির মূল চাবিকাঠি), আমার কম্পিউটারে বসে এবং আমার সার্ভার nobodyঅ্যাকাউন্টে চলমান Why কেন? কারণ এটির জন্য কেবল কোনও অনুমতি প্রয়োজন হয় না এবং এটি দেওয়া হয় না যে অ্যাকাউন্টে ফাইলগুলিতে লেখার অ্যাক্সেস নেই কেবল অযথা ঝুঁকি হবে। "

nobodyব্যবহারকারী আইডি 65534 ব্যবহারকারীর নাম তৈরি করা হয়েছে এবং একটি নির্দিষ্ট উদ্দেশ্যের জন্য সংরক্ষিত এবং শুধুমাত্র যে উদ্দেশ্যে ব্যবহার করা উচিত: "unmapped" NFS- র গাছ রপ্তানির ব্যবহারকারীদের এবং ব্যবহারকারী আইডি জন্য একটি স্থানধারক হিসেবে।

এটি হ'ল এনএফএস ট্রি রফতানির জন্য ব্যবহারকারী / আইডি ম্যাপিং সেটআপ না করা থাকলে, রফতানির সমস্ত ফাইল মালিকানাধীন প্রদর্শিত হবে nobody। এর উদ্দেশ্য হ'ল আমদানি করা সিস্টেমের সমস্ত ব্যবহারকারীর সেই ফাইলগুলিতে অ্যাক্সেস করা থেকে বিরত রাখা (যদি না তাদের "অন্যান্য" অনুমতি থাকে) তবে তাদের কোনওটিই (বাদে root) / হয়ে উঠতে পারে না nobody।

অতএব এটি একটি খুব খারাপ ধারণা ব্যবহার করা nobodyজন্য কোন কারণ তার উদ্দেশ্য যে কেহ অ্যাক্সেসযোগ্য হবে না ফাইলের জন্য একটি ব্যবহারকারী নাম / ব্যবহারকারী আইডি হতে হয়, অন্য কোনো উদ্দেশ্য।

উইকির এন্ট্রিও খুব ভুল।

ইউএনআইএক্স / লিনাক্স অনুশীলনটি হ'ল প্রতিটি "অ্যাপ্লিকেশন" বা অ্যাপ্লিকেশন ক্ষেত্রের জন্য একটি পৃথক অ্যাক্সেস নিয়ন্ত্রণ ডোমেনের জন্য একটি নতুন অ্যাকাউন্ট তৈরি করা এবং এনএফএসের বাইরে কখনও পুনরায় ব্যবহার না করাnobody ।

nobodyব্যবহারকারী ডিফল্ট হিসাবে একটি তাজা ইনস্টল (উবুন্টু ডেস্কটপ 13.04 উপর চেক করা) তৈরি করা হয়।

অনেক * নিক্স ভেরিয়েন্টে, nobodyএমন কোনও ব্যবহারকারীর অ্যাকাউন্টের প্রচলিত নাম যা কোনও ফাইলের মালিক নয়, কোনও সুবিধাযুক্ত গোষ্ঠীতে নেই, এবং প্রতিটি অন্যান্য ব্যবহারকারীর রয়েছে এমনগুলি ব্যতীত কোনও দক্ষতা নেই ( nobodyব্যবহারকারী এবং গোষ্ঠীর /etc/sudoersফাইলটিতে কোনও প্রবেশ নেই ) ।

কোনও ক্ষতিকারক ব্যবহারকারীর দ্বারা নিয়ন্ত্রণ অর্জন করা ক্ষতি হতে পারে তা সীমাবদ্ধ করার জন্য, বিশেষত সার্ভার হিসাবে ডেমোন চালানো সাধারণ nobody। তবে, একাধিক ডেমোন এভাবে চালিত হলে এই কৌশলটির কার্যকারিতা হ্রাস পাবে, কারণ তখন একটি ডিমনকে নিয়ন্ত্রণ করা সমস্তটির নিয়ন্ত্রণ প্রদান করে। কারণটি হ'ল nobodyমালিকানাধীন প্রক্রিয়াগুলি একে অপরের কাছে সিগন্যাল প্রেরণ এবং একে অপরকে ডিবাগ করার ক্ষমতা রাখে, একে একে একে একে একে একে একে একে পড়তে বা একে অপরের স্মৃতি পরিবর্তন করতে দেয়।

_{সূত্র : উইকিপিডিয়া - কেউ (ব্যবহারকারীর নাম)}

nobody-Owned প্রসেস একে অন্যের সংকেত পাঠাতে এবং এমনকি লিনাক্স একে অপরের ptrace যার অর্থ একটি কেউ কিছু মালিকানাধীন প্রক্রিয়া পড়া এবং অন্য কেউ কিছু মালিকানাধীন প্রক্রিয়া স্মৃতির লিখতে পারেন সক্ষম।

এটি ফাইলটিতে nobodyব্যবহারকারীর একটি নমুনা এন্ট্রি /etc/passwd:

alaa@aa-lu:~$ grep nobody /etc/passwd
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh

আপনি লক্ষ্য করতে পারেন, nobodyব্যবহারকারীর /bin/shএকটি লগইন শেল এবং /nonexistentহোম ডিরেক্টরি হিসাবে রয়েছে। নাম অনুসারে, /nonexistentডিরেক্টরিটি ডিফল্টরূপে বিদ্যমান থাকে না।

আপনি যদি ভৌতিক হয়ে থাকেন তবে আপনি nobodyএর ডিফল্ট শেলটি সেট করতে পারেন /usr/sbin/nologinএবং nobodyব্যবহারকারীর জন্য ssh লগইনকে অস্বীকার করতে পারেন।

_{সূত্র : LinuxG.net - লিনাক্স এবং ইউনিক্স কেউ নেই}

কেউই বিশেষ ব্যবহারকারী এবং গোষ্ঠী অ্যাকাউন্ট নয়। কারণ এটি প্রকৃত ব্যবহারকারীর নাম (এবং গোষ্ঠীর নাম) এবং প্রক্রিয়া এবং এমনকি ব্যবহারকারীরা ব্যবহার করতে পারেন, এটি আক্ষরিক কেউই নয় । উদাহরণস্বরূপ, কিছু অ্যাপাচি কনফিগারেশনের ওয়েবসাইট ফাইল এবং ডিরেক্টরিগুলির মালিকানাধীন ব্যবহারকারী / গোষ্ঠী হিসাবে কেউ নেই। সমস্যাটি তখন উপস্থিত হয় যখন একাধিক প্রক্রিয়াগুলি এনডিএফ ডিরেক্টরি এবং ওয়েবসার্ভারের মতো কারও ব্যবহারকারীর ব্যবহার না করে।

গৌণ সংশোধন ' ' ব্যবহারকারী কেউই কেবল এনএফএসের জন্য সংরক্ষিত নয়। ' উত্তর. nobodyব্যবহারকারীকে এই সময়ে বেঁধে মাউন্ট সঙ্গে সমাজের নিচুতলার বাসিন্দা পাত্রে জন্য ব্যবহৃত হয়।

এটি systemd-nspawn থেকে নেওয়া হয়েছে, বিশেষ করে --bind মাউন্ট বিকল্প:

নোট করুন যে যখন এই বিকল্পটি - প্রাইভেট ব্যবহারকারীদের সাথে একত্রে ব্যবহৃত হয়, ফলস্বরূপ মাউন্ট পয়েন্টগুলি কারও ব্যবহারকারীর দ্বারা মালিকানাধীন থাকবে। এর কারণ মাউন্ট এবং তার ফাইল এবং ডিরেক্টরিগুলি প্রাসঙ্গিক হোস্ট ব্যবহারকারী এবং গোষ্ঠীর মালিকানা অব্যাহত রাখে, যা ধারকটিতে নেই এবং এভাবে ওয়াইল্ডকার্ড ইউআইডি 65534 (কেউ নেই) এর অধীনে প্রদর্শিত হবে। যদি এই ধরনের বাঁধন মাউন্টগুলি তৈরি করা হয়, তবে --bind-ro = ব্যবহার করে এগুলি কেবল পঠনযোগ্য করার জন্য সুপারিশ করা হয়।

systemd হল-nspawn