Другие псевдопользователи
Категория: Сила привилегий | Автор: admin | 30-09-2009, 04:05 | Просмотров: 4540

Пользователь с именем root — единственный, кто имеет для ядра UNIX особый статус. Есть, однако, еще несколько неперсонифицируемых регистрационных имен, которые используются для системных целей. Пароли этих псевдопользователей в файле /etc/passwd обычно заменяют звездочкой, чтобы нельзя было войти в систему под их именем.

 

Владелец непривилегированных системных программ: daemon

 

Учетная запись daemon, как правило, имеет идентификатор пользователя, равный 1. Файлы и процессы, которые должны принадлежать операционной системе, а не конкретному пользователю, часто назначаются данной учетной записи, а не пользователю root, чтобы уменьшить угрозу безопасности системы. Имеется также UNIX-группа с именем daemon, которая создается по аналогичным причинам.

 

Владелец системных команд: bin

 

В некоторых системах пользователь bin является владельцем большинства системных команд, а также каталогов, в которых они хранятся. Назначение отдельного пользователя для этих целей часто считается избыточным (и даже небезопасным), поэтому в современных системах соответствующую роль берет на себя пользователь root.

 

Владелец образов ядра и памяти: sys

 

В некоторых системах пользователь sys владеет специальными файлами, такими как /dev/kmem, /dev/mem и /dev/drum или /dev/swap, которые содержат образы адресного пространства ядра, физической памяти системы и файла подкачки соответственно. Доступ к этим файлам имеют лишь немногие программы, и все они изменяют эффективный идентификатор пользователя на sys. Иногда вместо пользователя sys создается группа kmem или sys.

 

Общий сетевой пользователь: nobody

 

В большинстве версий UNIX определяется пользователь nobody с идентификатором -1 или -2. Разработчики Solaris выбрали идентификатор 60001 (следующий идентификатор 60002 назначается специальному пользователю noaccess).

Сетевая файловая система — NFS (Network File System) — использует учетную запись nobody для представления суперпользователей в других системах. Чтобы лишить суперпользователей их исключительных прав при доступе к удаленным машинам, NFS должна заменить нулевой идентификатор чем-то другим. Этой цели как раз и служит учетная запись nobody.

Пользователю nobody не нужны специальные права доступа, и он не должен владеть никакими файлами. Сетевая файловая система использует это средство для защиты файловых серверов в сетях, где бездисковые клиенты могут перезагружаться в однопользовательском режиме всеми, кто имеет физический доступ к ним. С правами пользователя nobody работают и некоторые демоны, например fingerd.

Идентификаторы пользователей — это короткие целые числа, следовательно, значение -1 будет представлено как 32767. В алгоритмах определения следующего доступного идентификатора, которые используются многими программами adduser, это не учитывается.



 (голосов: 2)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page