চাকা এবং অপারেটর মধ্যে রুট কেন? কোনও গোষ্ঠীতে থাকা রুট কি কখনও কোনও পার্থক্য আনতে পারে?

আমি কেবল আমার ফ্রিবিএসডি মেশিনে লক্ষ্য করেছি যে মূলটি চাকা এবং অপারেটরের মধ্যে রয়েছে। আমি এমন পরিস্থিতিটি ভাবার চেষ্টা করছি যেখানে ইউআইডি 0 গ্রুপে থাকার কারণে ... ভাল ... কিছুতেই কোনও প্রভাব ফেলবে এবং আমি ফাঁকা হয়ে আসছি। এই বিষয়ে, রুট এমনকি এমনকি / ইত্যাদি / পাসডাব্লুডিতে একটি প্রাথমিক লগইন গ্রুপ প্রয়োজন? অথবা ব্যবহারকারীর একটি ফাঁকা প্রাথমিক গোষ্ঠী ক্ষেত্র থাকলে লগইন (3) চোক মেরে মারা যায়?

(স্পষ্ট করার জন্য: "গোষ্ঠী" গোষ্ঠীর অস্তিত্বের উদ্দেশ্যটি আমি বুঝতে পারি, যেহেতু ফাইলগুলির একটি গ্রুপের মালিকের প্রয়োজন হয় I'm ব্যবহারকারী মূল / টুর / গ্রুপের সদস্যপদ যা আছে তা কীভাবে গুরুত্বপূর্ণ তা আমি বুঝতে পারি না))

দশক আগে থেকে এটি কি কেবল ক্রাফট, নাকি এর বাস্তব কারণ আছে?

সংক্ষেপে: না। গোড়া wheelএবং operatorগোষ্ঠী পরিবর্তন কিছুই।

তবে আপনি আরও 2 টি বিষয়ে প্রশ্ন করছেন:

• মূল গোষ্ঠী আইডি 0 (ডিফল্টরূপে) তে সেট করা হয় যা আপনি পেতে পারেন এমন একটি খালি মানের নিকটতম জিনিস।

  $ head -4 /etc/passwd
  # $FreeBSD: releng/9.2/etc/master.passwd 243947 2012-12-06 11:52:31Z rwatson $
  #
  root:*:0:0:Charlie &:/root:/bin/csh
  toor:*:0:0:Bourne-again Superuser:/root:
  

  যেমনটি বলা হয়েছে, প্রতিটি ব্যবহারকারীর একটি গ্রুপ থাকতে হবে, তাই আপনি শূন্য বা ফাঁকা মানতে মূল গোষ্ঠী আইডি (বা কোনও ব্যবহারকারীর জিড) সেট করতে পারবেন না । আপনি যদি কোনও ব্যবহারকারীকে ফাঁকাতে সেট করার চেষ্টা করেন তবে আপনাকে সতর্ক করে দেওয়া হবে pwd_mkdb:

  pwd_mkdb: no gid for user root
  pwd_mkdb: at line #3
  pwd_mkdb: /etc/pw.Rlb2U3: Inappropriate file type or format
  re-edit the password file?
  

  সুতরাং মূলটি যে সংজ্ঞায়িত করা হয়েছে তা কেবল বোবা সংখ্যার পরিবর্তে সঠিকভাবে নামকরণ করা সম্পর্কে। আপনি মূল গিডকে যে কোনও অর্থহীন সংখ্যায় (জিড এর মধ্যে নেই /etc/group) এ পরিবর্তন করতে পারেন । তোমার রুট ব্যবহারকারী তখনও লগ ইন করতে পারবেন হবে, suবা যাই হোক না কেন অন্য রুট করতে পারেন। আপনার ঠিক এরকম কিছু থাকবে:

  $ id
  uid=0(root) gid=10000 groups=10000,5(operator)
  

• ওপেনবিএসডি বা নেটবিএসডি-র মতো ফ্রিবিএসডি-র মতো কিছু ব্যবহারকারী কেন চাকা গোষ্ঠীতে রয়েছেন সে সম্পর্কে ব্যবহারকারীদের রুট করতে গেলে তাদের অংশ হতে হবেwheelsu ।

  ফ্রিবিএসডি ডকুমেন্টেশন থেকে ( অধ্যায় 9.4 ):

  করতে su কমান্ড থেকে রুট (অথবা সুপার-ইউজার বিশেষাধিকার সঙ্গে অন্য কোন অ্যাকাউন্ট), আপনি হতে হবে চাকা গ্রুপ। যদি এই বৈশিষ্ট্যটি না উপস্থিত থাকে, এমন কোনও সিস্টেমে অ্যাকাউন্ট রয়েছে যার দ্বারা রুটের পাসওয়ার্ডও খুঁজে পেয়েছে তারা সিস্টেমে সুপারজার স্তরের অ্যাক্সেস অর্জন করতে সক্ষম হবে। এই বৈশিষ্ট্যটি সহ, এটি কঠোরভাবে সত্য নয়; su (1) তাদের চাকা না থাকলে পাসওয়ার্ডটি প্রবেশ করার চেষ্টা করা থেকে বিরত রাখবে ।

  তবে আপনি ঠিক বলেছেন, চাকা থেকে রুট ব্যবহারকারীকে সরিয়ে ফেলা জিনিস পরিবর্তন করবে না। এটি নিখুঁতভাবে আনুষ্ঠানিক, তুর ব্যবহারকারী যতটা না চাকা বা মূলের অংশ অপারেটর গ্রুপের অংশ ।

• অপারেটর গ্রুপটি নিজের মধ্যে কোনও বিশেষ অর্থ ছাড়াই নিখুঁতভাবে আনুষ্ঠানিক।

এখানে হ'ল রিচার্ড স্টলম্যান চাকা গ্রুপ সম্পর্কে কী ভাবেন ( gnu su ম্যানুয়াল থেকে ):

কেন জিএনইউ "সু" `চাকা 'গোষ্ঠী ======================================== সমর্থন করে না ==========

(এই বিভাগটি রিচার্ড স্টলম্যানের।)

কখনও কখনও কয়েক জন ব্যবহারকারীর বাকি সমস্তগুলির উপরে মোট ক্ষমতা ধরে রাখার চেষ্টা করা হয়। উদাহরণস্বরূপ, ১৯৮৪ সালে, এমআইটি এআই ল্যাবের কয়েকজন ব্যবহারকারী টুইনেেক্স সিস্টেমে অপারেটরের পাসওয়ার্ড পরিবর্তন করে এবং এটি অন্য সবার কাছ থেকে গোপন রেখে ক্ষমতা দখল করার সিদ্ধান্ত নিয়েছে। (আমি এই অভ্যুত্থানটি ব্যর্থ করতে এবং কার্নেলটি প্যাচ করে ব্যবহারকারীদের কাছে ক্ষমতা ফিরিয়ে দিতে সক্ষম হয়েছি, তবে ইউনিক্সে কীভাবে এটি করব তা আমি জানতাম না))

তবে মাঝেমধ্যে শাসকরা কাউকে কিছু বলেন। সাধারন "su" মেকানিজমের অধীনে, কেউ যখন রুট পাসওয়ার্ড শিখেন যারা সাধারণ ব্যবহারকারীদের প্রতি সহানুভূতি জানায়, তিনি বা বাকিরা বলতে পারেন। "চাকা গোষ্ঠী" বৈশিষ্ট্যটি এটিকে অসম্ভব করে তোলে এবং এভাবে শাসকদের শক্তি সীমাবদ্ধ করে।

আমি জনগণের পক্ষে, ক্ষমতাসীনদের পক্ষে নই। যদি আপনি কর্তারা এবং সিসাদমিনরা যা কিছু করেন তাদের সমর্থন করার জন্য অভ্যস্ত হন, তবে আপনাকে প্রথমে এই ধারণাটি অদ্ভুত মনে হতে পারে।

লগইন (3) এবং অন্যরা প্রাথমিক গোষ্ঠী আশা করে। তাদের এটি দরকার যাতে তারা utmp / wtmp ফাইলগুলিতে বৈধ ক্ষেত্র সেট করতে পারে। এবং তা না হলে (ফাইলের ফর্ম্যাট পরিবর্তিত), লগইন (1) বা sshd (8) বা অন্যান্য প্রোগ্রামগুলি ব্যবহারকারী সেশন সেটআপ করার চেষ্টা করার সময় আপনি আরও মৌলিক সমস্যায় পড়বেন - utmp / wtmp নির্বিশেষে তাদের উভয়ই পূরণ করতে হবে ইউআইডি এবং জিআইডি কার্নেল প্রক্রিয়া বৈশিষ্ট্য (যেমন আপনি লক্ষ্য করেছেন লগ-ইন করা ব্যবহারকারী দ্বারা তৈরি ফাইলগুলির অবশ্যই ইউআইডি এবং জিআইডি ভরাট থাকতে হবে)।

প্রাথমিক গোষ্ঠীর চেয়ে অল-পাওয়ারফুল-রুটের কেন আরও বেশি সমস্যা রয়েছে তা ইস্যুটির ক্ষেত্রে এটি অনুমতি চেকের জন্য নয় (যেমন তারা ইউআইডি 0-তে এড়িয়ে চলেছে), তবে এটি অন্য কিছু ব্যবহারের জন্যও করে।

"চাকা" গোষ্ঠীটি বিশেষত পাম_ওহিলের মতো বিভিন্ন অতিরিক্ত প্রমাণীকরণের পরীক্ষার জন্য ব্যবহৃত হয়

মত "অপারেটর" অন্যান্য দলের নিরাপত্তা বৈশিষ্ট্য জন্য ব্যবহার করা যেতে পারে (উদাহরণস্বরূপ, যখন রুট দ্বারা চালানো কিছু পদ্ধতির পারে setuid সমাজের নিচুতলার বাসিন্দা USER এর ( "কেউ কিছু") মতো, (2) এখনও তার গোষ্ঠী সদস্যতা ( "অপারেটর") মত ধারনকারী। এটি এই জাতীয় প্রক্রিয়াটি সেই গোষ্ঠীর মালিকানাধীন ফাইলগুলিতে অ্যাক্সেস চালিয়ে যাওয়ার অনুমতি দেবে, যখন পুরো ইউআইডি 0 অ্যাক্সেস সহ চলমান সুরক্ষা সমস্যাগুলিকে উল্লেখযোগ্যভাবে হ্রাস করবে।

আপনার সিস্টেমে এই বৈশিষ্ট্যটি ব্যবহার করার প্রোগ্রাম রয়েছে কিনা তা আমি নিশ্চিত নই (বা যদি ডিফল্ট ফ্রিবিএসডি কারেন্ট)

এটি একটি তাত্পর্যপূর্ণ করতে পারে - যত তাড়াতাড়ি কোনও প্রোগ্রাম গ্রুপের সদস্যপদ পরীক্ষা করে এবং ফলাফলের উপর নির্ভর করে ভিন্ন আচরণ করে। অবশ্যই, রুট ব্যবহারকারীরা যে বিশেষ সুযোগগুলি প্রয়োগ করতে পারে তার মধ্যে কোনও পার্থক্য নেই ।

এটি কি নয় যে যদি কেউ গ্রুপ চক্রের সদস্য না হয় তবে চাকাটিকে সহজেই উপেক্ষা করা হবে এবং সমস্ত ব্যবহারকারী su চালাতে পারবেন ... এবং সম্ভাব্যভাবে পাসওয়ার্ডটি অনুমান করুন। কমপক্ষে একজন ব্যবহারকারীকে গ্রুপ চাকার সদস্য হিসাবে (যেমন ইউজারিড রুট) রাখার পরে, হুইল নিয়ন্ত্রণগুলি পরীক্ষা করা হয় এবং কেবলমাত্র গ্রুপ চক্রের অন্যান্য সদস্যরা মামলা চালানোর চেষ্টা করতে পারে।