我想从sudo组中删除我的默认用户。 IOW 我想将其更改为非特权帐户。但它似乎也是以下组织的成员十其他系统组。
这对整体安全有何影响?这些组中的任何一个也与 root 等效(例如,如果您授予用户对 Docker 的访问权限)?
这些群体有多重要?如果我从其中删除我的用户,我是否会在以后为自己设置十次不同的故障排除会话? (可能不得不重新启用它们,即这只会给我自己带来痛苦)。
安装程序创建的用户组列表,取自几乎未受影响的 Debian 8 安装(测试虚拟机):
cdrom 软盘 sudo 音频 Dip 视频 Plugdev Netdev lpadmin 扫描仪 蓝牙
上下文:我正在尝试实现权限分离。我想要一个 sysop 用户,它可以执行仅限 root 的任务,并且可以通过 ssh 访问类似的服务器帐户。其想法是为在线娱乐提供更好的遏制,而不完全放弃远程管理。
例如,勒索软件想要破坏我服务器上的备份,则需要权限升级。它无法重新配置我的普通用户来捕获sudo密码,或通过 ssh 访问服务器上的 sysop 帐户。
答案1
使用 来创建新用户adduser(它声称是一个友好的前端),但不提供这些组。
我检查了一个多用户系统,运行 Debian 的 GNOME 桌面。第一个之外的用户不是这些组的成员。系统已经运行了一段时间,没有发现任何问题。 (lpadmin这是我唯一担心的问题。印刷正在遭受痛苦)。
Fedora Linux (23) 不会将用户添加到这样的组中,无论是在安装程序中还是在使用 GNOME 用户工具创建时都是如此。
至少,许多组对于桌面使用来说已经过时了。当您本地登录时,会话管理器systemd-logind将使用 ACL 授予对某些类型设备节点的访问权限。NetworkManager 和 udisks(使用 polkit 来确定策略)可以认为netdev和组已经过时。plugdev
(Debian Wiki 目前表示NetworkManager 配置为允许netdev组中的用户。它已经过时了。我检查过 Debian 9:没有为 提供任何津贴netdev,并且任何 PolKit 政策中都没有提及该组)。
所以我不认为移除这些群体会造成十倍的痛苦。 Debian(较旧)目前可能会缺乏一些Fedora 在这里依赖的功能,但我个人可以做到这一点。
我相信过去有人担心该floppy组织允许对 USB 存储设备进行原始访问,这些设备可能保存系统文件系统。这个问题在 Debian 8 中得到了解决。无论哪种方式,你都可以将此作为一个要点。对于那些对故障排除不太有信心的人来说,至少这表明 Debian 仍在监视和管理这些组的安全影响。