일반 사용자가 자신의 그룹을 만들 수 없는 데에는 타당한 이유가 있는지 궁금합니다. 파일 소유자가 그룹을 설정하고 파일 권한을 관리할 수 있다는 것은 의미가 있습니다. 예를 들어, 사용자는 시스템에서 가까운 친구만이 자신의 홈 폴더를 읽을 수 있도록 허용할 수 있으므로 자신이 소유권을 갖고 있는 파일에 대한 파일 권한을 관리하기 위해 자신의 그룹을 설정합니다.
여기에 표시되지 않는 보안 문제가 있습니까? sysadm이 시스템의 모든 그룹을 유지해야 하는 이유를 이해할 수 없습니다.
답변1
그룹 은 root. 따라서 관리자가 아닌 사람이 등을 통해 전체 액세스 권한을 부여 group하지 않고도 그룹을 추가 및 제거할 수 있도록 하는 새로운 시스템을 마련해야 합니다. sudo분명히 이 기능에 대한 수요는 충분하지 않았지만(아마도 Unix 설치가 처음에는 제도적으로 이루어졌기 때문일 것입니다), 이를 가능하게 할 만큼 충분한 수요가 있었습니다.
사용자에게 그룹 수정을 위임할 수 있습니다.회원사용gpasswd. 사용자에게 그룹에 대한 관리 제어 권한을 부여하면 액세스 root권한 없이 구성원을 추가하거나 제거할 수 있습니다. (기본적으로 그룹 관리자가 없으므로 root변경만 가능합니다.) 다음 조건이 적용됩니다(예: root).
# groupadd newgroup
# gpasswd -A owner -M member1,member2 newgroup
owner이제 사용자는 newgroup추가 권한을 얻지 않고도 그룹을 수정할 수 있습니다.
$ gpasswd -a member3 newgroup
Adding user member3 to group newgroup
(그룹 관리자는 실제로 구성원일 필요는 없습니다.)
답변2
모든 사용자가 원하는 그룹을 만들 수 있다면 어떤 일이 일어날지 상상해 보세요. 추가하려면 사용자가 원하는 사람을 그룹에 추가할 수 있도록 허용합니까? 시스템 관리자에게 이는 엄청난 고통이 될 것입니다. 이를 최소 권한의 원칙이라고 합니다. 작동 방식을 제대로 이해하지 못할 수도 있고 갖고 있지 않을 수도 있는 일반 사용자가 추가 그룹을 생성하여 그룹에 추가할 이유가 없으며, 이는 모든 운영 체제의 기업 수준에서 특히 그렇습니다.
이는 일반 최종 사용자가 시스템 설정을 변경하거나 소프트웨어를 설치할 수 없는 것과 같은 이유입니다.