sudo그룹에서 기본 사용자를 제거하고 싶습니다 . IOW 권한이 없는 계정으로 변경하고 싶습니다. 근데 그 멤버도 있는거 같던데십기타 시스템 그룹.
이것이 전반적인 보안에 어떤 영향을 미치나요? 이러한 그룹 중 루트와 동일한 그룹이 있습니까(예: 사용자에게 Docker에 대한 액세스 권한을 부여하는 경우)?
이 그룹은 얼마나 중요합니까? 여기에서 사용자를 제거하면 앞으로 10개의 다른 문제 해결 세션에 참여하도록 설정되나요? (아마도 다시 활성화해야 할 것입니다. 즉, 나 자신에게 고통을 초래할 것입니다).
설치 프로그램이 생성한 사용자 그룹 목록은 거의 그대로 유지된 Debian 8 설치(테스트 가상 머신)에서 가져왔습니다:
CDROM 플로피 디스크 sudo 오디오 딥 비디오 플러그데브 netdev lpadmin 스캐너 블루투스
컨텍스트: 권한 분리를 구현하려고 합니다. 루트 전용 작업을 수행하고 유사한 서버 계정에 대한 SSH 액세스 권한을 가질 수 있는 관리자 사용자를 원합니다. 원격 관리를 완전히 포기하지 않고도 온라인 엔터테인먼트에 대한 더 나은 격리를 제공하려는 아이디어입니다.
예를 들어, 랜섬웨어가 내 서버의 백업을 손상시키려는 경우 권한 상승이 필요합니다. 비밀번호를 캡처 sudo하거나 SSH를 통해 서버의 sysop 계정에 액세스하도록 일반 사용자를 재구성할 수 없습니다.
답변1
새로운 사용자를 생성하는 데 사용되지만 adduser(친숙한 프런트엔드라고 주장함) 이러한 그룹은 제공하지 않습니다.
Debian의 GNOME 데스크탑을 실행하는 다중 사용자 시스템을 확인했습니다. 첫 번째 이외의 사용자는 이 그룹의 구성원이 아닙니다. 시스템이 한동안 실행되어 왔지만 아무런 문제도 발견되지 않았습니다. ( lpadmin그것이 나의 유일한 관심사입니다. 인쇄가 어려움을 겪고 있습니다).
Fedora Linux(23)는 설치 프로그램 중이나 GNOME 사용자 도구를 사용하여 생성할 때 이러한 그룹에 사용자를 추가하지 않습니다.
최소한 많은 그룹은 데스크톱 사용에는 더 이상 사용되지 않습니다. 로컬로 로그인하면 세션 관리자는 systemd-logindACL을 사용하여 특정 유형의 장치 노드에 대한 액세스 권한을 부여합니다. NetworkManager 및 udisks(polkit을 사용하여 정책 결정)는 netdev그룹 및 그룹을 더 이상 사용되지 않는 것으로 간주할 수 있습니다.plugdev
(데비안 위키는 현재 다음과 같이 말합니다.netdevNetworkManager는 그룹의 사용자를 허용하도록 구성되었습니다.. 구식입니다. Debian 9를 확인했습니다. 이에 대한 허용이 제공되지 않았 netdev으며 해당 그룹은 PolKit 정책에 언급되지 않았습니다.
따라서 저는 이러한 그룹을 제거하는 것이 10배나 고통스러울 것이라고 생각하지 않습니다. 데비안(이전)은 현재 부족할 수 있습니다일부Fedora는 여기서 기능에 의존하지만 개인적으로 이 작업을 수행할 수 있습니다.
floppy나는 과거에 조직이 시스템 파일 시스템을 보유할 수 있는 USB 저장 장치에 대한 원시 액세스를 허용하는 것에 대해 우려가 있었다고 생각합니다 . 이 문제는 Debian 8에서 해결되었습니다. 어느 쪽이든 이것을 요점으로 삼을 수 있습니다. 문제 해결에 자신이 없는 사람들에게 이것은 적어도 데비안이 여전히 이러한 그룹의 보안 영향을 모니터링하고 관리하고 있음을 보여줍니다.