현재 플레이그룹의 올바른/권장/모범 사례 사용으로 간주되는 것은 무엇입니까?
게임 포트 및 조이스틱을 위한 "장치 그룹"이 되는 것은 게임 사용자와 아무 관련이 없으며(게임 사용자가 속해야 할 수 있는 많은 그룹 중 하나가 되는 것 제외) 게임 사용자의 GID와 (매우) 다른 GID를 갖습니다. UID...
또는 게임 사용자와의 "쌍"으로(바람직하게는 일치하는 UID 및 GID 사용) 여기서 그룹은 게임 사용자에 속한 프로그램을 실행할 수 있는 사용자를 나열합니다. 이는 사용자가 즐길 수 있는 콘텐츠를 제한하기 위한 것입니다.
다른 옵션이 있나요? 플레이가 허용된 사용자 그룹 및/또는 게임을 실행하는 사용자 그룹에 대해 게임 포트 및 조이스틱 장치 그룹에 적용되는 다른 이름을 보거나 생각해 본 적이 있습니까? (예: "rec"는 캐주얼을 의미합니다.) 이것이 좋은 아이디어라고 생각하시나요, 아니면 너무 파격적이라고 생각하시나요?
나는 나만의 배포판을 구축/사용자 정의할 생각이므로 다른 배포판이 어떻게 하는지나 가장 일반적인 것들에 신경 쓰지 않습니다... 나는 당신이 무엇을 보았는지, 무엇을 경험했는지 알고 싶습니다. 시도했고 당신이 가장 잘 작동한다고 생각하는 것이 무엇인지.
나는 또한 다른 Unices 사용자들의 이런 종류의 경험에도 관심이 있습니다. 왜냐하면 대부분의 Unices 사용자는 Linux만큼 자주 장치를 망가뜨리지 않기 때문입니다... 그들은 여전히 게임 그룹을 가지고 있습니까? 어떻게 그리고 무엇을 위해 사용됩니까?
답변1
사용자 및 그룹의 역할을 결정하기 전에 games다른 사용자를 원하는 이유를 파악해야 합니다. 게임과 관련된 특별한 권한은 무엇입니까?
- 게임을 실행합니다. 일반적으로 쉘 계정 외에는 게임을 실행하는 데 어떤 권한도 필요하지 않습니다. 사용자가 설치한 게임을 실행하지 못하도록 제한하더라도 사용자가 직접 게임을 설치할 수는 있습니다.
- 게임 하드웨어에 액세스하세요. 하드웨어 장치는 게임에만 국한되는 경우가 거의 없습니다. MIDI 키보드를 게임 포트에 연결하고, 조이스틱을 사용하여 물리적 개체를 제어하는 등의 작업을 할 수 있습니다.
- 다중 사용자 상호 작용에 참여합니다. 주로 높은 점수를 저장합니다. 사용자가 편집기나 유틸리티를 사용하여 최고 점수 파일을 편집할 수 없도록 하려면 높은 권한으로 게임을 실행해야 합니다.
- 게임 프로그램을 설치하고 유지 관리합니다.
게임 실행 및 게임 하드웨어 액세스와 관련된 액세스 제어는 거의 없습니다(게임 주변 장치에 대한 액세스 제어가 있을 수 있지만 게임 사용에만 국한되지는 않음). 고득점 파일 및 게임 프로그램 설치와 관련된 접근 통제가 일반적입니다.
게임 프로그램이 setuid를 설정하도록 하는 것은 나쁜 생각입니다. 대부분의 게임은 보안을 염두에 두고 설계되지 않았으며, 게임을 실행하는 사용자는 일반적으로 어떤 방식으로든 임의의 파일을 수정하거나 게임에서 높은 권한으로 명령을 실행할 수도 있습니다. 게임 실행 파일이 setuid인 경우 게임을 실행하는 사용자가 게임 실행 파일을 수정하여 트로이 목마로 전환할 수 있으며, 이는 게임을 실행하는 다른 사용자를 감염시킬 수 있습니다.
따라서 게임 실행 파일을 소유한 사용자는 게임 실행 파일을 실행하거나 주변 장치를 사용하거나 최고 점수 파일을 작성할 수 있는 사람을 제어하는 데 이를 사용할 수 없습니다. 게임을 설치할 수 있는 사람을 제어하는 데 사용할 수 있습니다. 사용자 가 있는 경우 그 목적은 게임 관리자가 사용자 (더 명확한 이름) 를 sudo 하고 유지하도록 games허용하는 것입니다 . 이러한 게임 관리자는 해당 게임을 플레이하는 모든 사용자의 권한을 가지므로 게임 관리자 권한만 있어야 합니다. 믿을만한 사람들에게 수여됩니다.game-administrators/usr/games/usr/local/gamesgame-administrators
최고 점수 파일에 대한 액세스를 제어하기 위해 해당 파일을 그룹(일반적으로 이름)이 소유할 수 있습니다 games. 공유된 최고 점수 파일이 있는 게임은 setgid 입니다 games. games높은 점수와 유사한 대화형 파일 및 게임 실행 파일을 보유하는 것 외에는 이 그룹을 사용하지 마십시오. 특히 게임 실행 파일은 이 그룹에서 쓸 수 없어야 합니다 . 권한 (2755)이 games있어야 합니다 . rwxr-sr-xsetgid 게임의 취약점을 악용하는 사용자는 최고 점수 파일을 수정할 수 있지만 다른 피해는 발생하지 않습니다.
게임에 대한 액세스를 특정 사용자로 제한하려면 game-players그룹을 생성하고 해당 그룹만 액세스할 수 있는 게임이 포함된 디렉토리를 만드세요. 즉, make /usr/local/games(또는 게임이 있는 모든 곳)는 game-administrators:game-players모드 에 의해 소유됩니다 rwxr-x---(750).