一般ユーザーが自分のグループを作成できないのには、妥当な理由があるかどうか疑問に思います。ファイル所有者がグループを設定し、ファイル権限を管理できることは意味があります。たとえば、ユーザーは自分のホームフォルダを読み取ることができるように、システム内の親友だけが自分の所有権を持つファイルのファイル権限を管理するために自分のグループを設定します。
ここに表示されないセキュリティ問題はありますか? sysadmがシステム内のすべてのグループを維持する理由を理解できません。
答え1
グループはroot
。したがって、管理者以外の人が背中を介してフルアクセスを許可することgroup
なくグループを追加および削除できるようにする新しいシステムを用意する必要があります。sudo
明らかに、この機能に対する需要は十分ではありませんでしたが(おそらくUnixのインストールは最初は制度的に行われたためです)、それを可能にするのに十分な需要がありました。
ユーザーにグループの変更を委任できます。会員使用gpasswd
。ユーザーにグループの管理制御権限を付与すると、アクセスroot
権なしでメンバーを追加または削除できます。 (デフォルトではグループマネージャがないため、root
変更のみ可能です。)次の条件が適用されます(例root
:)。
# groupadd newgroup
# gpasswd -A owner -M member1,member2 newgroup
owner
これで、ユーザーはnewgroup
追加の権限を取得せずにグループを変更できます。
$ gpasswd -a member3 newgroup
Adding user member3 to group newgroup
(グループマネージャは実際にはメンバーである必要はありません。)
答え2
すべてのユーザーが目的のグループを作成できる場合は、何が起こるのかを想像してください。追加するには、ユーザーが希望する人をグループに追加できるようにしますか?システム管理者にとって、これは途方もない痛みになります。これを最小権限の原則といいます。どのように機能するかを正しく理解できない場合もあれば、通常のユーザーがグループを追加してグループを追加する理由はありません。これは、すべてのオペレーティングシステムの企業レベルで特にそうです。
これは、一般的なエンドユーザーがシステム設定を変更したりソフトウェアをインストールできなかったりするのと同じ理由です。