これArchWiki - スナップショットページバックアップを実行するためにリモートでログインするユーザーを作成する方法と、設定を使用してuid
複数gid
のユーザーを作成する方法が挙げられます。0
バックアップサーバーの脆弱性による潜在的な損傷を軽減するためにできることの1つは、クライアントシステムに代替ユーザーを作成することです。UIDそしてジド0に設定しますが、scponlyなどのより制限的なシェルを使用してください。
私の考えでは、これらのアカウントにユーザーの読み取り/書き込み実行権限を付与することが目的ですが、root
ログインシェルが制限された権限を付与している場合にのみ可能です。
gid
これは、アカウントが同じuid
でアカウント名で区別され、同じでgid
同じuid
アクセス権を付与することを意味しますか?
ベストアンサー1
オペレーティングシステムに対する権限に関して、すべての権限は名前ではなく、UIDとGIDに関連付けられます。したがって、誰かのUIDが0(既存のUnixモデルで)の場合、そのユーザーはrootであり、ログインに使用された名前に関係なく、自分に関連するすべての権限を持ちます。
ただし、リモートでログインしている場合は、同じIDに対して複数のユーザー名を持つことができ、各ユーザーに異なるシェルを提供できます。従来の Unix passwd データベースと Shadow データベースはシェルやその他の情報をユーザー名として保存するため、たとえば UID 0 に代替ユーザー名を指定するとtoor
(一部のシステムの一般的な回避策)、そのユーザーのシェルがデータベースにリストされ、パスワードが参照されます.になります。アクセス権と使用するシェルを決定します。ログインに成功した後、OpenSSH またはログインプロセスは、ユーザーとグループを指定された ID に変更し、指定されたシェルを実行します。
ログインすると、プロセスはまだroot権限を持っていますが、実行中のシェルは制限されたプログラムセットにのみアクセスを許可できます。シェルが実際に制限されており、他のアクセスが許可されていないと仮定すると、アクセスはこの方法で制限される可能性があります。ただし、バグなどによりシェルが破損した場合は、root 権限で実行できます。