|
|
发表于 2005-6-10 22:53:15
|
显示全部楼层
http://debian.linuxsir.cn/book/s ... ony/ch11.zh-cn.html
* root: Root 是(典型的) 超级用户.
* daemon: 一些非特权守护进程运行时需要象 daemon.daemon (如, portmap, atd, 或许还有其它)一样对磁盘文件进行写操作. 守护进程以 nobody.nogroup 运行时不需要拥有任何文件. 更复杂或更安全的守护进程以指定用户运行. daemon 用户也可用于本地安装 daemon.
* bin: 因为历史的原因被保留下来.
* sys: 同 bin. 但是,sys 组拥有 /dev/vcs* 和 /var/spool/cups.
* sync: 用户 sync 的 shell 是 /bin/sync. 因而,如果它的密码被设置对容易事猜测(譬如 "" ) ,任何人都可以通过控制台 sync 系统. 既使他们没有帐户.
* games: 许多游戏被 SETGID 为 games, 这样就可以对它们的高分值文件进行写操作. 这是策略里边的解释.
* man: 程序(有时)以用户 man 运行, 这样可以将 cat 的页面写入 /var/cache/man.
* lp: 由打印机守护进程使用.
* mail: /var/mail 目录下的信箱由 mail 组拥有, 这是策略中的解释. 用户和组同时也被其它各种各样的 MTA 使用.
* news: 各种各样的新闻服务器以及其它相关的程序(譬如 suck)以各种各样的方式使用 news 用户和组. 在 news spool 中的文件通常为 news 用户和组拥有. 用于投递新闻的程序,如 inews 就是典型的 SETGID news.
* uucp: uucp 用户和组由 UUCP 子系统使用. 其拥有 spool 和配置文件. 属于 uucp 组的用户,可以运行 uucico.
* proxy: 如 daemon, 此用户和组由一些没有指定用户id, 但是需要拥有文件的守护进程(具体的, proxy 守护进程)使用. 例如, proxy 组由 pdnsd 使用, squid 以proxy用户运行.
* majordom: 在Debian系统中, 因为历史的原因, Majordomo 有一个静态分配的 UID. 新的系统中没有.
* postgres: Postgresql 数据库由这个用户和组拥有. 因为安全的原因, 目录 /var/lib/postgresql 下的所有文件由此用户拥有.
* www-data: 一些 web 服务器以 www-data 运行. www-data 用户*不*允许拥有 web 的内容, 否则一台被入侵的 web 服务器可能被 rewrite 到别的站点. web 服务器写出的数据包括日志文件, 由 www-data 用户拥有.
* backup: 这样, 备份/恢复的任务可以委派没有完全 root 权限的用户.
* operator: operator 是过去(和现在)唯一可以不依赖于 NIS/NFS 远程登陆而'用户'账号.
* list: 邮件列表文件和数据由此用户和组拥有. 一些邮件列表程序也是以此用户运行.
* irc: 由 irc 守护进程使用. 因为 ircd 的一个 bug, 需要分配一个静态用户, 启动时, 它将自身 SETUID() 给一个指定 UID.
* gnats.
* nobody, nogroup: 不需要拥有任何文件的守护进程以用户 nobody 和组 nogroup 的方式运行. 因此, 此用户和组在一个系统上不会拥有任何文件.
其它没有相关用户的组:
* adm: adm 组由系统监控任务使用. 这个组的成员对 /var/log 下的许多日志文件有读权限. 并且可以使用 xconsole. 过去, /var/log 就是 /usr/adm(后来是 /var/adm). 这是这个组名字的由来.
* tty: TTY 设备由这个组拥有. 这样可以将 write 和 wall 操作传到其它人的 TTY 上.
* disk: raw 对磁盘的访问, 等同于 root 的访问.
* kmem: 此组可以读取 /dev/kmem 和类似的文件, 这是BSD的一个主要遗留痕迹, 任何需要直接读去系统内存的程序都需要 SETGID 为 kmem.
* dialout: 对串口的全部和直接访问. 此组的成员可以对调制解调器, dial anywhere 等进行再配置.
* dip: 此组的标准名称为"Dial-up IP", 此组的成员允许使用ppp, dip, wvdial, 等一类的工具, 进行拨号连接. 这个组的用户不允许配置调制解调器, 但是可以运行使用它的程序.
* fax: 允许成员使用fax软件收/发传真.
* voice: Voicemail, 对于使用调制解调器作为电话答录机的系统非常有用.
* cdrom: 这个组可以用来在本地分配给用户对 CDROM 的访问权限.
* floppy: 这个组可以用来在本地分配给用户对软驱的访问权限.
* tape: 这个组可以用来在本地分配给用户对磁带机的访问权限.
* sudo: 当使用 sudo 时, 这个组的成员不需要键入密码. 参阅 /usr/share/doc/sudo/OPTIONS.
* audio: 这个组可以用来在本地分配给用户对 audio 设备的访问权限.
* src: 这个组拥有源代码,包括 /usr/src 目录下的文件. 可以用来在本地给用户分配管理系统源代码的能力.
* shadow: 这个组可以读取 /etc/shadow. 需要访问这个文件的一些程序需要 SETGID 为 shadow.
* utmp: 这个组可以对 /var/run/utmp 和类似的文件进行写操作. 需要对此类文件进行写操作的程序需要 SETGID 为 utmp.
* video: 这个组可以用来在本地分配给用户对 video 设备的访问权限.
* staff: 允许用户添加对系统((/usr/local, /home)的本地修改, 而不需要特权. 与 "adm" 组相比, 更 monitoring/security.
* users: 当 Debian 系统使用默认的私有用户组系统(每个用户都有他们自己的组)时, 有些更愿使用传统的组系统, 所有用户都是此组的一个成员. |
|
IP卡
狗仔卡
发表于 2005-6-10 17:46:04
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡