Ich frage mich, ob man die Standardgruppen für neue Benutzer ändern kann, ohne sie alle manuell angeben zu müssen. Ich versuche, mein ArchLinux abzusichern, und es gibt eine Gruppe (bereitgestellt von Grsecurity), die einem die Nutzung eines beliebigen Sockets verweigert und ihn somit daran hindert, Hintertüren zu verwenden.
Ich habe einige Threads gesehen, in denen die Verwendung von EXTRA_GROUPS und ADD_EXTRA_GROUP in /etc/default/useradd empfohlen wird, und andere, in denen es heißt, dies sei nicht möglich, da sie in der Useradd-Binärdatei fest codiert sind. (Ich denke, es hängt wirklich vom Betriebssystem ab.)
(Das Ziel ist, dass jemand, der aus irgendeinem Grund eine beliebige Remotecodeausführung verwendet, um einen neuen Benutzer zu erstellen, damit nichts anfangen kann, da er standardmäßig in der besagten Gruppe ist. Ich weiß, dass er, wenn er die Berechtigung zum Erstellen eines Benutzers hat, auch die Berechtigung zum Ändern seiner Gruppen hat, aber ich schätze, es fügt trotzdem eine zusätzliche Sicherheitsebene hinzu.)
Vielen Dank im Voraus