Как создать пользователя и дать ему права на чтение файла /etc/shadow?

Question 1

Изменение группы владельцев такого важного файла может даже сломать некоторые вещи, чтоопасный.

Правильный безопасный способ добиться этого — использовать списки контроля доступа POSIX:

setfacl -m u:special_user:r /etc/shadow

Другая проблема здесь в том, что вы дали это правоNginx, веб-сервер. Который, я полагаю, запускает какое-то веб-приложение. И очень плохая идея иметь прямой доступ /etc/shadowиз веб-приложения.

Это может показаться контрпродуктивным, но именно так все серьезные системы делают такие вещи: они включаютчастный безопасный прокси-сервискоторый выполняет все проверки безопасности, а веб-фронтенд может общаться только с этой прокси-службой, чтобы получить доступ к конфиденциальным данным или сделать другие конфиденциальные вещи. Например, вот как построен Proxmox VE: есть pvedaemon, который делает опасные вещи, и pveproxy (веб-сервер) общается с pvedaemon только тогда, когда ему нужно сделать такие вещи.

Третья проблема заключается в том, что вы вообще обращаетесь к этому файлу. Что вы собираетесь делать? Этот файл является частью пакета PAM. Что, если какая-то системная аутентификация будет изменена так, что она не будет использовать теневой файл, или она будет перемещена? Вам следует использовать вызовы библиотеки PAM, которые сделают все это за вас.

Answer

Изменение группы владельцев такого важного файла может даже сломать некоторые вещи, чтоопасный.

Правильный безопасный способ добиться этого — использовать списки контроля доступа POSIX:

setfacl -m u:special_user:r /etc/shadow

Другая проблема здесь в том, что вы дали это правоNginx, веб-сервер. Который, я полагаю, запускает какое-то веб-приложение. И очень плохая идея иметь прямой доступ /etc/shadowиз веб-приложения.

Это может показаться контрпродуктивным, но именно так все серьезные системы делают такие вещи: они включаютчастный безопасный прокси-сервискоторый выполняет все проверки безопасности, а веб-фронтенд может общаться только с этой прокси-службой, чтобы получить доступ к конфиденциальным данным или сделать другие конфиденциальные вещи. Например, вот как построен Proxmox VE: есть pvedaemon, который делает опасные вещи, и pveproxy (веб-сервер) общается с pvedaemon только тогда, когда ему нужно сделать такие вещи.

Третья проблема заключается в том, что вы вообще обращаетесь к этому файлу. Что вы собираетесь делать? Этот файл является частью пакета PAM. Что, если какая-то системная аутентификация будет изменена так, что она не будет использовать теневой файл, или она будет перемещена? Вам следует использовать вызовы библиотеки PAM, которые сделают все это за вас.

Question 2

Это похоже на вывод

chmod g=r /etc/shadow

и не

chmod g+r /etc/shadow

то есть, вы, похоже, случайно использовали знак равенства вместо знака сложения.

Редактировать: Я только что дважды проверил свою систему, и разрешения для моего /etc/shadowфайла выглядят следующим образом:

`----------. 1 root root 1183 20 Aug 11.53 /etc/shadow`

Так что, похоже, ваши разрешения вполне ожидаемы!

Answer