En mi servidor (Synology DS212), algunos archivos y carpetas tienen nobody nobodyusuarios y grupos. ¿Cuáles son las características de este usuario y grupo? ¿Quién puede escribir de leer este archivo?
El usuario nobody es un pseudo usuario en muchas distribuciones de Unixes y Linux. Según la base estándar de Linux , el usuario nobody y su grupo son usuarios y grupos mnemotécnicos opcionales. Ese usuario está destinado a representar al usuario con menos permisos en el sistema. En el mejor de los casos, ese usuario y su grupo no están asignados a ningún archivo o directorio (como propietario). Este usuario está en su grupo correspondiente que (según LSB) también se llama "nadie" y en ningún otro grupo.
En distribuciones anteriores de Unixes y Linux, el demonio (por ejemplo, un servidor web) se llamaba bajo el usuario nobody. Si un usuario malintencionado obtuvo el control sobre dicho demonio, el daño que puede realizar se limita a lo que puede hacer el demonio. Pero el problema es que, cuando hay múltiples demonios ejecutándose con el usuario nobody, esto ya no tiene sentido. Es por eso que hoy esos demonios tienen su propio usuario.
El usuario nobody no debe tener ningún shell asignado. Diferentes distribuciones manejan eso de diferentes maneras: algunos se refieren a /sbin/nologinque imprime un mensaje; algunos se refieren a /bin/falseque simplemente sale con 1 (falso); o algunos simplemente deshabilitan al usuario /etc/shadow.
Según Linux Standard Base, el usuario de nadie es "utilizado por NFS". De hecho, el demonio NFS es uno de los pocos que aún necesita el usuario de nadie. Si el propietario de un archivo o directorio en un recurso compartido NFS montado no existe en el sistema local, es reemplazado por el usuario nobody y su grupo.
Puede cambiar el permiso de un archivo propiedad del usuario de nadie simplemente con el usuario raíz y chown. Pero en la máquina que aloja el recurso compartido NFS, ese usuario podría existir, así que tenga cuidado.
También uso un sistema Synology. Ejecutan el servidor web apache bajo el usuario de nobody.
"cuando hay múltiples demonios corriendo con el usuario de nadie, esto ya no tiene sentido". - ¿Cómo? ¿Un demonio comprometido puede afectar a otros demonios?
flow2k
5
El usuario que puede iniciar sesión nobodypuede cambiar estos archivos, pero normalmente el sistema está configurado, por lo que esto no es posible. En mi sistema basado en Debian, la entrada en el /etc/passwordarchivo es:
Solo puede cambiar esto como usuario root, ya que normalmente nadie más es miembro del grupo nobody. Sin embargo, dudo que debas hacerlo. Normalmente, estos archivos obtienen esta propiedad a propósito.
En mi caso, en lo /etc/passwdque tengo nobody:x:99:99::/:/bin/false. /bin/falseno devuelve nada
Guuk
/bin/falseTambién evita que alguien de iniciar la sesión, incluso si no habría un conjunto de passord nobodyen /etc/shadowque normalmente no lo hay.
cualquiera
si por alguna razón desea iniciar sesión en la cuenta de nadie, puede anular el shell como sudo su nobody -s /bin/sh (esto anula el "shell predeterminado" / usr / bin / nologin con / bin / sh)
El usuario que puede iniciar sesión
nobody
puede cambiar estos archivos, pero normalmente el sistema está configurado, por lo que esto no es posible. En mi sistema basado en Debian, la entrada en el/etc/password
archivo es:y
/usr/sbin/nologin
da:Solo puede cambiar esto como usuario root, ya que normalmente nadie más es miembro del grupo
nobody
. Sin embargo, dudo que debas hacerlo. Normalmente, estos archivos obtienen esta propiedad a propósito.fuente
/etc/passwd
que tengonobody:x:99:99::/:/bin/false
./bin/false
no devuelve nada/bin/false
También evita que alguien de iniciar la sesión, incluso si no habría un conjunto de passordnobody
en/etc/shadow
que normalmente no lo hay.sudo su nobody -s /bin/sh
(esto anula el "shell predeterminado" / usr / bin / nologin con / bin / sh)