sudoグループからデフォルトユーザーを削除したいです。 IOW権限のないアカウントに変更したいと思います。しかし、そのメンバーもいるようです。十その他のシステムグループ。
これは全体的なセキュリティにどのような影響を与えますか?これらのグループのうち、ルートと同じグループがあります(たとえば、Dockerへのアクセスをユーザーに付与する場合など)。
このグループはどれほど重要ですか?ここからユーザーを削除すると、今後10の異なるトラブルシューティングセッションに参加するように設定されますか? (おそらく再び活性化する必要があります。つまり、自分に苦しむでしょう)。
インストーラによって作成されたユーザーグループのリストは、ほぼそのまま残っているDebian 8インストール(テスト仮想マシン)から取得されました。
CDROMフロッピーディスクsudoオーディオディープビデオプラグデブnetdev lpadminスキャナブルートゥース
コンテキスト:権限分離を実装しようとしています。ルート専用タスクを実行し、同様のサーバーアカウントへのSSHアクセス権を持つことができる管理者ユーザーが必要です。リモート管理を完全に放棄することなく、オンラインエンターテイメントのより良い分離を提供したいという考えです。
たとえば、ランサムウェアがサーバーのバックアップを破損したい場合は、特権の昇格が必要です。パスワードをキャプチャしsudoたり、SSHを介してサーバーのsysopアカウントにアクセスするように一般ユーザーを再構成することはできません。
ベストアンサー1
新しいユーザーを作成するために使用されますが、adduser(フレンドリーなフロントエンドと呼ばれる)これらのグループは提供されません。
DebianのGNOMEデスクトップを実行しているマルチユーザーシステムを確認しました。最初のユーザー以外は、このグループのメンバーではありません。システムはしばらく実行されてきましたが、問題は見つかりませんでした。 (lpadminそれが私の唯一の関心事です。印刷が困難です)。
Fedora Linux(23)は、インストーラの実行中またはGNOMEユーザーツールを使用して作成した場合、これらのグループにユーザーを追加しません。
少なくとも多くのグループは、デスクトップの使用には使用されなくなりました。ローカルにログインすると、セッションマネージャはsystemd-logindACLを使用して特定のタイプのデバイスノードへのアクセスを許可します。 NetworkManagerとudisks(polkitを使用したポリシーの決定)は、netdevグループとグループを廃止予定と見なすことができます。plugdev
(Debian Wikiは現在、次のように語っています。netdevNetworkManager は、グループのユーザーを許可するように構成されています。。昔ながらです。 Debian 9を確認しました。これに対する許可は提供されておらnetdevず、そのグループはPolKitポリシーに記載されていません。
したがって、私はこれらのグループを取り除くことが10倍も痛いとは思いません。 Debian(以前)は現在不足する可能性があります一部Fedoraはここで機能に依存していますが、個人的にこれを行うことができます。
floppy私は、過去に組織がシステムファイルシステムを保持できるUSBストレージデバイスへのrawアクセスを許可することを心配していたと思います。この問題はDebian 8で解決されました。どちらにしても、これをポイントにすることができます。トラブルシューティングに自信がない人にとって、これは少なくともDebianがまだこれらのグループのセキュリティ影響を監視および管理していることを示しています。