Wie erstelle ich einen Benutzer und erteile ihm Leseberechtigung für die Datei /etc/shadow?

Wie erstelle ich einen Benutzer und erteile ihm Leseberechtigung für die Datei /etc/shadow?

Ich möchte meinem Webserver-Benutzer (nginx) Lesezugriff auf die Datei /etc/shadow gewähren und die Schritte bestätigen, die ich dazu unternehme. Das von mir verwendete System ist CentOS 7.

  1. Zuerst habe ich eine Gruppe namens Schatten erstellt:groupadd shadow
  2. Dann habe ich den Webserver-Benutzer (nginx) zur Gruppe „Shadow“ hinzugefügt:usermod -aG shadow nginx
  3. Dann habe ich den Besitzer auf „root“ und den Dateigruppenbesitzer auf die Gruppe „Shadow“ geändert:chown root:shadow /etc/shadow
  4. Dann habe ich allen Benutzern in der Shadow-Gruppe Leseberechtigungen zum Lesen der Datei /etc/shadow erteilt:chmod g+r /etc/shadow

Nachdem ich diese Schritte ausgeführt habe, ls -l /etc/shadowhabe ich die folgende Ausgabe gesehen

----r-----. 1 root shadow 1390 30. Aug. 12:51 /etc/shadow

Sind die Schritte, die ich befolge, richtig? Bitte lassen Sie es mich wissen, dann kann ich Ihnen bei Bedarf weitere Informationen geben.

Antwort1

Das Ändern einer Eigentümergruppe einer so wichtigen Datei könnte sogar einige Dinge kaputt machen, wasgefährlich.

Der sichere Weg, dies zu erreichen, ist die Verwendung von POSIX-ACLs:

setfacl -m u:special_user:r /etc/shadow

Ein weiteres Problem besteht darin, dass Sie dieses RechtNginx, ein Webserver. Auf dem, nehme ich an, eine Webanwendung läuft. Und es ist keine gute Idee, /etc/shadowvon einer Webanwendung aus direkten Zugriff darauf zu haben.

Dies mag kontraproduktiv erscheinen, aber so machen es alle seriösen Systeme: Sie beinhaltenprivater sicherer Proxy-Dienstder alle Sicherheitsprüfungen durchführt und das Web-Frontend nur mit diesem Proxy-Dienst kommunizieren kann, um auf vertrauliche Daten zuzugreifen oder andere vertrauliche Dinge zu tun. So ist beispielsweise Proxmox VE aufgebaut: Es gibt pvedaemon, der gefährliche Dinge tut, und pveproxy (ein Webserver) kommuniziert nur mit pvedaemon, wenn es solche Dinge tun muss.

Das dritte Problem ist, dass Sie überhaupt auf diese Datei zugreifen. Was wollen Sie damit tun? Diese Datei ist Teil der PAM-Suite. Was passiert, wenn eine Systemauthentifizierung so geändert wird, dass keine Schattendatei verwendet wird, oder wenn sie verschoben wird? Sie sollten PAM-Bibliotheksaufrufe verwenden, die all diese Dinge für Sie erledigen.

Antwort2

Das sieht aus wie die Ausgabe von

chmod g=r /etc/shadow

und nicht

chmod g+r /etc/shadow

aka. Sie scheinen versehentlich ein Gleichheitszeichen anstelle des Additionszeichens verwendet zu haben.

Bearbeiten: Ich habe gerade mein System noch einmal überprüft und die Berechtigungen für meine /etc/shadowDatei sehen folgendermaßen aus:

`----------. 1 root root 1183 20 Aug 11.53 /etc/shadow`

Es sieht also so aus, als ob Ihre Berechtigungen zu erwarten sind!

verwandte Informationen