কিছু সাধারণ লিনাক্স ডিস্ট্রিবিউশনগুলিতে (যথাক্রমে আর্লিনাক্স এবং ডেবিয়ান) ডিফল্ট ব্যবহারকারী এবং গোষ্ঠী পরিচালনার দিকে নজর রেখে, আমি এটি সম্পর্কে এবং ডিফল্ট সেটআপ এবং কনফিগারেশনটি সংশোধন করার পরিণতি সম্পর্কে দুটি বিষয় ভাবছি।

জন্য ডিফল্ট মান USERGROUPS_ENABমধ্যে /etc/login.defsযার দ্বারা প্রতিফলিত হয় হতে "হ্যাঁ", মনে হয় "ডিফল্টরূপে, একটি গ্রুপ নতুন ব্যবহারকারীর জন্য তৈরি করা হবে" খুঁজে পাওয়া যেতে পারে যে useradd, একটি, মানুষ যাতে প্রতিটি সময় একটি নতুন ব্যবহারকারী তৈরি করা হয় গোষ্ঠীটি একই নামে এবং কেবলমাত্র এই নতুন ব্যবহারকারীকে নিয়ে তৈরি করা হয়েছে that এর কোনও ব্যবহার আছে নাকি এটি কেবল কোনও স্থানধারক?

আমি অনুভব করছি যে আমরা ব্যবহারকারী / গোষ্ঠী / অন্যান্য হিসাবে অধিকার পরিচালনার একটি অংশ হারাচ্ছি । কোনও গ্রুপের "ব্যবহারকারী" বা "নিয়মিত" বা আপনি যেটিকে যা বলতে চান তা প্রতিটি ব্যবহারকারীর নিজস্ব হওয়ার পরিবর্তে ডিফল্ট গোষ্ঠী হওয়া খারাপ হবে?

আমার প্রশ্নের দ্বিতীয় অংশ, যা এখনও আমি আর্চ এবং ডেবিয়ানে দেখেছি তার উপর ভিত্তি করে: সেখানে প্রচুর ব্যবহারকারী ডিফল্টরূপে তৈরি হয় (এফটিপি, এইচটিটিপি, ইত্যাদি)। তাদের কোন ব্যবহার আছে বা সেগুলি কেবল historicalতিহাসিক কারণে রয়েছে?

আমি এগুলি অপসারণের বিষয়ে ভাবছি তবে এটি ব্যবহার করতে পারে এমন কোনও কিছু ভাঙতে চাই না, তবে আমি কখনই এমন কিছু করতে দেখিনি এবং কী করতে পারে তার কোনও ধারণা নেই। একইরকম ডিফল্ট গোষ্ঠীগুলির (টিটি, মেম, ইত্যাদি) এর জন্য যায় যে আমি কোনও ব্যবহারকারীর অন্তর্ভুক্ত দেখিনি।

প্রতি ব্যবহারকারী গোষ্ঠী

আমিও প্রতি ব্যবহারকারী গ্রুপগুলিতে প্রচুর ইউটিলিটি দেখতে পাচ্ছি না। প্রধান ব্যবহারের কেসটি যদি কোনও ব্যবহারকারী "বন্ধুদের" তাদের ফাইলগুলিতে অ্যাক্সেসের অনুমতি দিতে চান, তারা তাদের ব্যবহারকারী দলে বন্ধু ব্যবহারকারীকে যুক্ত করতে পারেন। আমি যে কয়েকটি সিস্টেমের মুখোমুখি হয়েছিলাম বাস্তবে সেভাবে এটি ব্যবহার করে।

যখন USERGROUPS_ENABএ /etc/login.defs"না" তে সেট করা useraddগ্রুপ সংজ্ঞায়িত সব নির্মিত ব্যবহারকারীদের যোগ /etc/default/useraddদ্বারা GROUPক্ষেত্র। বেশিরভাগ বিতরণে, এটি জিআইডি-তে সেট করা 100থাকে যা সাধারণত usersদলের সাথে সম্পর্কিত। এটি আপনাকে ব্যবহারকারীদের আরও জেনেরিক পরিচালনা করতে দেয়। তারপরে, আপনার যদি সূক্ষ্ম নিয়ন্ত্রণের প্রয়োজন হয় তবে আপনি নিজেই এই গোষ্ঠীগুলি যুক্ত করতে পারেন এবং তাদের ব্যবহারকারীদের সাথে যুক্ত করতে পারেন যা বোঝা যায়।

ডিফল্ট তৈরি গ্রুপ

তাদের বেশিরভাগই historicতিহাসিক কারণে এসেছিল, তবে এখনও অনেকের বৈধ ব্যবহার রয়েছে:

• ডিস্ক এমন একটি গ্রুপ যা বেশিরভাগ ডিস্ক ড্রাইভ ডিভাইসের মালিক হয়
• এলপি সমান্তরাল বন্দরের মালিক (এবং কখনও কখনও কাপে অ্যাডমিন অধিকারের জন্য কনফিগার করা হয়)
• uucp প্রায়শই সিরিয়াল পোর্টগুলির মালিক হয় (ইউএসবি সিরিয়াল পোর্ট সহ)
• সিডি ড্রাইভের সুবিধার্থে মাউন্ট করার জন্য সিডিরাম প্রয়োজন
• কিছু সিস্টেম sudo অধিকারের জন্য চাকা ব্যবহার করে; কিছু না
• প্রভৃতি

অন্যান্য গোষ্ঠীগুলি ব্যাকগ্রাউন্ড স্ক্রিপ্ট দ্বারা ব্যবহৃত হয়। উদাহরণস্বরূপ, manটেম্প ফাইলগুলি তৈরি করে এবং যখন এটি চালানো হয়; এর প্রক্রিয়া সেই ফাইলগুলির জন্য ম্যান গ্রুপকে ব্যবহার করে এবং সাধারণত নিজের পরে পরিষ্কার হয়ে যায়।

মতে লিনাক্স স্ট্যান্ডার্ড বেস কোর স্পেসিফিকেশন যদিও, যে রুট, বিন এবং ডেমন হয় মাত্র 3 জন ব্যবহারকারী একেবারে বাধ্যতামূলক । যুক্তিপূর্ণ অন্য দলের পিছনে হল:

Alচ্ছিক ব্যবহারকারী এবং গোষ্ঠীগুলি নির্দিষ্ট করার উদ্দেশ্য অ্যাপ্লিকেশন এবং বিতরণের মধ্যে নাম বিরোধগুলির সম্ভাবনা হ্রাস করা।

সুতরাং এই দলগুলিকে স্থানে রাখাই ভাল বলে মনে হচ্ছে। এটা theorically , বিচ্ছেদ ছাড়া তাদের সরিয়ে যদিও কিছু জন্য, "রহস্যময়" কিছু না করার অধিকার কাজ শুরু হতে পারে সম্ভাব্য (যেমন, কিছু man পৃষ্ঠা আপনি, যে গ্রুপ হত্যা ইত্যাদি রেন্ডারিং নয়)। এটি তাদের সেখানে রাখার জন্য কোনও ক্ষতি করে না এবং এটি সাধারণত লিনাক্স সিস্টেমে থাকবে বলে ধরে নেওয়া হয়।

প্রশ্ন 1: একই ব্যবহারকারী এবং গোষ্ঠীর পক্ষে যুক্তি

হ্যালো, আমি ইক্যুং এবং আপনি হরগিক্স। আমরা প্রতিদিন কাজ করতে যাই এবং প্রোগ্রামারদের হিসাবে একই লিনাক্স সার্ভারে লগইন করি। একদিন, খুব বেশি দিন আগে, আমাদের সিস্টেম অ্যাডমিন ব্যবহারকারী তৈরি এবং রক্ষণাবেক্ষণ নিজের উপর সহজ করার সিদ্ধান্ত নিয়েছে, তাই তিনি USERGROUPS_ENABবিকল্পটি বন্ধ করে দিয়ে এবং বিদ্যমান সমস্ত ব্যবহারকারীকে নতুন usersগোষ্ঠীতে রাখেন ।

এটি ব্যবহারকারীর তৈরিকরণকে সহজ করে তুলেছে তবে আপনি যে রক্ষণাবেক্ষণ করছেন তা দেখেন না কারণ সমস্ত ব্যবহারকারীরা অন্য সমস্ত ব্যবহারকারীদের ফাইল অ্যাক্সেস করতে পারেন। একটি কর্পোরেট সেটিং এই একটি হল কোন কোন বড় ভালো জিনিস কারণে Sarbanes ওক্সলি এবং দায়িত্ব পৃথকীকরণ । যদি আমি ফাইল এ তৈরি করি, গ্রুপ বিটটি ব্যবহারকারী গ্রুপে সেট করা আছে যার অর্থ সমস্ত ব্যবহারকারী কমপক্ষে ফাইল এ পড়তে পারেন যদি সিস অ্যাডমিন অলস হয় তবে কিছু ক্ষেত্রে সমস্ত ব্যবহারকারী আর ডাব্লু ফাইল করতে পারেন এটি হার দেয় সর্ব্বনেস অক্সলে এবং এসওডি কারণ পৃথক বিভাগগুলি অন্য কোনও ব্যক্তির নথি লিখতে খুব কম পড়তে না পারে।

ব্যবহারকারী / গোষ্ঠী সক্ষম হয়ে যদি আমি ইক্যুং হিসাবে কোনও নথি তৈরি করি তবে কেবলমাত্র আমার এতে rwx অধিকার রয়েছে। যেহেতু অন্য কেউ আমার দলে নেই, তারা যখন আমার দস্তাবেজটি খোলেন তারা একটি ফাঁকা পৃষ্ঠা সতর্কতা সহ দেখতে পান। এটি সরবনেস-অক্সলে এবং এসওডি প্রয়োগ করে। আমি যদি অন্য ব্যবহারকারীদের আমন্ত্রণ জানাই তবে users ব্যবহারকারীদের rw অ্যাক্সেসের অনুমতি দেওয়া হয়েছে এবং এটি করে আমি জানি যে তারা যা দেখছে তা আমাকে বা তাদের কামড়ানোর জন্য ফিরে আসবে না। অন্যরা যেমন বলেছে, বাড়িতে থাকলে, সেই বিচ্ছেদ আপনার পক্ষে গুরুত্বপূর্ণ নয়। যদি আপনি এটি নির্ধারণ করেন তবে আপনি নিরাপদে বিকল্পটি বন্ধ করতে পারবেন এবং সমস্ত ব্যবহারকারীকে users100 এর জিআইডি সহ একটি গ্রুপে যুক্ত করা হবে below নীচের প্রশ্ন 2 দেখুন।

হাইপোথিটিক্যাল :
আপনি আইটি-তে কাজ করেন এবং লুই প্যারোলে কাজ করেন। লুই তার হোম ডিরেক্টরিতে ট্যাক্স এবং বেতন রোলটি রাখে, তবে আপনি উভয়ই ব্যবহারকারীদের গ্রুপে রয়েছেন, সুতরাং আপনি তার হোম ডিরেক্টরিটি খুলুন কারণ এটির জন্য এটি ব্যবহারকারীদের জন্য চিহ্নিত + আর চিহ্নিত করে এবং তার স্প্রেডশিটটি সন্ধান করে। আপনি জো এবং ফ্রেডের সাথে আপনার বেতনের পরিমাণ তালিকাভুক্ত পাবেন। আপনি কি ভাবেন যে জো এবং ফ্রেড তাদের বেতন জানতে চান?

প্রশ্ন 2: গ্রুপ আইডির 0 থেকে 500 এর মধ্যে

গ্রুপ আইডি এবং বিপরীতে ব্যবহারকারীর আইডি 0 - 500 সিস্টেম অ্যাকাউন্ট এবং ডিভাইস অ্যাক্সেসের জন্য সংরক্ষিত। দেখুন প্রাক কনফিগার সিস্টেম দল টেবিল স্ট্যান্ডার্ড অ্যাকাউন্টগুলির যে তালিকাটি জন্য। দয়া করে এই অ্যাকাউন্টগুলিকে হাতে সরাবেন না। উদাহরণস্বরূপ, আপনি যদি ব্যবহারকারী ftp অপসারণ করতে চান, আপনার প্যাকেজ পরিচালনা সিস্টেমের সাথে ftp ডিমন সরান। এটি করলে সিস্টেম অ্যাকাউন্টটিও মুছে ফেলা হবে। সিস্টেম পরিষেবাদি অন্তর্ভুক্ত তবে সীমাবদ্ধ নয়:

• সিইপিএস মুদ্রণ পরিষেবা
• মাইএসকিউএল সার্ভার ডিমন
• এফটিপি সার্ভার ডিমন
• অ্যাপিস ওয়েব সার্ভার
• রিমোট সংযোগের জন্য এক্স সার্ভার সকেট
• ALSA সাউন্ড সিস্টেম ডেমন
• ডিবিইএস পরিষেবা

অন্যদের মধ্যে রয়েছে, তাই অন্য পাঠকরা যদি উপরের পরিষেবা তালিকা থেকে যোগ করতে বা সরাতে চান, দয়া করে এটি করুন।

যদি আমরা সকলেই পুরানো দিনের মতো একটি ডিফল্ট গ্রুপ ভাগ করে নিই, তবে গ্রুপটি অবরোধ করতে আমাদের উমাস্কটি 077 এ সেট করা দরকার। যদি ডিফল্টটি আমার হয়, তবে আমি উমাস্ককে 027 তে সেট করতে পারি, এখন যদি আমি একটি ভাগ করা গোষ্ঠীতে ফাইলের ডিরেক্টরি সেট করি তবে এই গোষ্ঠীটি পড়তে পারে। মোডগুলি নিয়ে আমারও গোলমাল করতে হবে না।

এটি কেবল একটি উদাহরণ, তবে সাধারণভাবে এটি গোষ্ঠীগুলি অক্ষম করার একটি উপায়, যতক্ষণ না আপনার প্রয়োজন হয়, এমনভাবে যাতে তাদের চালু এবং পরিচালনা করা সহজ হয়।

প্রতি ব্যবহারকারী গোষ্ঠীগুলি আপনাকে "আপনার বাড়ির ডিরেক্টরিতে গোপনীয়তা" পাশাপাশি "ভাগ করা ফোল্ডারে সহজ সহযোগিতা" উভয়ই রাখতে দেয়। প্রতি ব্যবহারকারী গোষ্ঠী ব্যতীত আপনার দুটি হয় বা নাও থাকতে পারে। বিশদ অনুসরণ করুন:

ইউনিক্স একটি মাল্টি-ইউজার সিস্টেম, এটি কোনও কোম্পানির ফাইল সার্ভার বা 2 ব্যবহারকারী সহ একটি পিসি। "আপনার বাড়ির ডিরেক্টরিতে গোপনীয়তা" বিভিন্ন উপায়ে উপলব্ধি করা যায়:

"Umask 077" সেট করুন যাতে ফাইলগুলি আপনার জন্য আরডাব্লু দিয়ে তৈরি হয় এবং অন্যের জন্য কোনও অনুমতি নেই। বিকল্পভাবে, 027 বা 022 যাতে কিছু বা সমস্ত আপনার ফাইলগুলি পড়তে পারে তবে লিখতে পারে না। সুস্পষ্ট অসুবিধাটি হ'ল আপনি একটি ভাগ করা ফোল্ডারে অংশ নিতে পারবেন না কারণ কঠোর অনুমতিের কারণে অন্যরা সেখানে তৈরি করা ফাইলগুলিতে কাজ করতে পারে না। আপনি এই জাতীয় ফাইলগুলিতে অনুমতি পরিবর্তন করতে পারেন, তবে এটি "অত্যধিক কাজ" এবং প্রায়শই ভুলে যায়।

সহযোগিতা করার জন্য, আপনি "উমাস্ক 7" এর মতো কিছু চান যাতে আপনার এবং মালিকানাধীন উভয় পক্ষই আপনার তৈরি ফাইলগুলি পড়তে এবং লিখতে পারে। ভাগ করা অ্যাক্সেস প্রয়োজন এমন সমস্ত লোকের সমন্বিত ভাগ করা ফোল্ডার এবং গোষ্ঠীগুলির জন্য এটি দুর্দান্ত। তবে আপনি নিজের বাড়ির ফোল্ডারে গোপনীয়তাটি ছেড়ে দিয়েছেন!

প্রতি ব্যবহারকারী গ্রুপের সমাধান! আপনি উমাস্ক use ব্যবহার করেন, সুতরাং আপনার তৈরি করা সমস্ত ফাইল "আপনার জন্য আরডাব্লু, এবং গ্রুপের জন্য আরডাব্লু" পায়। আপনার হোম ডিরেক্টরিতে থাকা ফাইলগুলি আপনার নিজস্ব গোষ্ঠীটির সাথে "মালিকানার গ্রুপ" হিসাবে তৈরি হয়, সুতরাং "গ্রুপ আরডব্লু" অনুমতি থাকা সত্ত্বেও অন্য কেউ এই ফাইলগুলিতে অ্যাক্সেস করতে পারে না। কারণ আপনি ছাড়া আর কেউই সেই বিশেষ দলে নেই।

আপনি এখনও ভাগ করা ফোল্ডারগুলিতে সহযোগিতা করতে পারেন। ভাগ করা ফোল্ডারে থাকা ফাইলগুলি নিজস্ব গোষ্ঠীটির জন্য "আরডাব্লু" পায় এবং সিসাদমিন ভাগ করা ফোল্ডার সেট আপ করে যাতে একটি ভাগ করা গোষ্ঠী (যা সহযোগী বলা হয়) সেখানে ফাইলগুলির জন্য গ্রুপের মালিক হতে পারে। সমস্ত সহযোগী ব্যবহারকারীদের সদস্য হিসাবে এই সহযোগী গ্রুপ তৈরি করে এটি করা হয়। তারপরে, প্রশাসক ভাগ করা ফোল্ডারের গোষ্ঠী মালিকানা "সহযোগী" হিসাবে সেট করে এবং ভাগ করা ফোল্ডারটির জন্য SETGID অনুমতি সেট করে। এসইটিজিআইডি চালু থাকলে, ভাগ করা ফোল্ডারে যা কিছু তৈরি করা হবে তা ভাগ করা ফোল্ডার - অর্থাৎ "সহযোগী" গোষ্ঠীর সমান গ্রুপের মালিক পাবেন। এবং উমাস্ক ((বা বিকল্পভাবে ২) দিয়ে, এই গোষ্ঠীর লোকেরা সকলেই + লেখার অ্যাক্সেস পড়বে এবং তাই সহযোগিতা করতে সক্ষম হবে।

মূলত, ইউনিক্স প্রক্রিয়াগুলি একসাথে একটি গোষ্ঠীর অন্তর্ভুক্ত হতে পারে (সেখানে একটি chgrp(1)কমান্ড থাকত , ভিসিয়াল পাসওয়ার্ড ক্ষেত্রে থাকা গোষ্ঠী পাসওয়ার্ডের জন্য জিজ্ঞাসা করত /etc/groups)। প্লাস সিস্টেমগুলি ব্যবহারকারীদের একটি নিবিড় গ্রুপ দ্বারা ব্যবহৃত হয়েছিল। usersগোষ্ঠীর প্রত্যেককে থাকা এবং গোষ্ঠী অনুমতি অনুসারে স্টাফ সিস্টেম- ভিত্তিতে ভাগ করার বিষয়টি উপলব্ধি করে । কোন সত্যিকারের সুরক্ষা সচেতনতা, ডজন বা তত্স সহযোগী ব্যবহারকারীদের সম্পর্কে সামান্য সন্দেহ icious সবকিছু একই মেশিনে স্থানীয় ছিল। কোনও নেটওয়ার্ক যেমন কোনও ব্লগের মাধ্যমে ভাগ করে নেওয়ার কোনও নেটওয়ার্ক নেই।

আজকের ইউনিক্স সিস্টেমে শত শত ব্যবহারকারী রয়েছে, সুরক্ষা প্রয়োজনীয়তা আরও কঠোর এবং ব্যবহারকারীরা (এবং প্রক্রিয়াগুলি) বেশ কয়েকটি গ্রুপের অন্তর্ভুক্ত থাকতে পারে। প্রতিটি (আরও অজ্ঞান) ব্যবহারকারীকে একটি হোম গ্রুপ দিন এবং ভাগ করে নেওয়ার জন্য এ থেকে বিভ্রান্ত হওয়ার অনুমতি দিন। অথবা এসিএল ব্যবহার করুন।