Re: Устаревшие автосоздаваемые пользователи и группы

[Oleksandr Gavenko]

On 2015-11-14, yuri.nefe...@gmail.com wrote:

>  По поводу первого вопроса, я бы просто грепом прошелся
>  по /var/lib/dpkg/info/*
>  Что-то типа
>  grep 'adduser\|addgroup' *.pre* *.post*

И еще грепать:

  $ grep $GROUP_NAME /etc/default/*
  $ grep $GROUP_NAME /etc/init.d/*
  $ grep $GROUP_NAME /etc/udev/rules.d/*
  $ grep $GROUP_NAME /etc/cron.*/*

В итоге проще:

  $ grep -К $GROUP_NAME /etc/

По моему если имя группы зашито в /bin/* или /usr/* или /var/* и группа не
описана в:

  /usr/share/doc/base-passwd/users-and-groups.txt.gz

то пакет низкого качества и должен быть удален из оф репозитория.

Допустимо прописывать настройки в иерархии /opt и /local/etc, я такого никогда
не делал, как документировать и поддерживать не представляю.

Вообще с виртуализацией не ясно актуальны ли группы под каждый сервис,
запускайте каждый сервис в отдельном контейнере.

Так же не ясно зачем разделение для доступа к устройствам - оконечный
пользователь все равно будет желать группы video, audio. На сервере
медийные устройства отсутствуют.

-- 
Best regards!

Re: Устаревшие автосоздаваемые пользователи и группы

[Alexander Galanin]

On Sat, 14 Nov 2015 20:14:18 +0300 (MSK)
yuri.nefe...@gmail.com wrote:

> > 1. Как определить принадлежность пользователя/группы к пакету. Не всё
> >   перечислено в документации к base-passwd и не всё удаётся угадать по
> >   имени.
>   Некоторые советы содержатся тут (раздел 12.1.12)
>   https://www.debian.org/doc/manuals/securing-debian-howto/ch12.en.html

Я брал этот список из /usr/share/doc/base-passwd/users-and-groups.txt.gz,
там то же самое.

-- 
Alexander Galanin

Re: Устаревшие автосоздаваемые пользователи и группы

[Artem Chuprina]

yuri.nefe...@gmail.com -> debian-russian@lists.debian.org  @ Sun, 15 Nov 2015 
20:38:58 +0300 (MSK):

  Если при помощи «-fstab ext4» вы хотели записать условие на только
  корень, без других подмонтированных в него разделов, то это можно
  более корректно сформулировать как «-xdev».
 
 >>>Нет, это я что бы find по сетевой файловой системе (afs) не лазил.
 >>>А в локальных смонтированных пускай ищет. Вообще, да,
 >>>правильнее было бы сначала сетевые fs остановить.
 >>
 >> Я пошел сверился с руководством — и выходит, что это вовсе не прокатит.
 >>
 >> ‘-fstab’ в отличие от ‘-xdev’ (она же ‘-mount’) — это не опция (как
 >> ‘-maxdepth’), а условие (как ‘-name’), что должно значить, что find все
 >> равно пройдется по не-экст-4 файловым системах, переберет на них каждый
 >> файл, но все отвергнет, кто бы ни был владельцем.
 >>
 >> Нет?
 >>
 y>   Не fstab a fstype.

 y>   Похоже, что, да вы правы, это тест, ну и если подумать, иначе быть
 y>   и не может.  То-то оно у меня тормозило жутко.

 y>   А как бы тогда корректно исключить все сетевые фс?

С -prune скомпоновать.  Тогда, по идее, оно наткнется на точку
монтирования сетевой fs, увидит там нужный fstype, и вглубь не полезет.

Другое дело, что выражение логики у find несколько неинтуитивно.

Re: Устаревшие автосоздаваемые пользователи и группы

[yuri . nefedov]

On Sun, 15 Nov 2015, Dmitry Alexandrov wrote:


On 14/11/15 23:13, yuri.nefe...@gmail.com wrote:

On Sat, 14 Nov 2015, Dmitry Alexandrov wrote:

Если при помощи «-fstab ext4» вы хотели записать условие на только
корень, без других подмонтированных в него разделов, то это можно
более корректно сформулировать как «-xdev».


   Нет, это я что бы find по сетевой файловой системе (afs) не лазил.
   А в локальных смонтированных пускай ищет. Вообще, да,
   правильнее было бы сначала сетевые fs остановить.


Я пошел сверился с руководством — и выходит, что это вовсе не прокатит.

‘-fstab’ в отличие от ‘-xdev’ (она же ‘-mount’) — это не опция (как 
‘-maxdepth’), а условие (как ‘-name’), что должно значить, что find все равно 
пройдется по не-экст-4 файловым системах, переберет на них каждый файл, но 
все отвергнет, кто бы ни был владельцем.


Нет?


  Не fstab a fstype.

  Похоже, что, да вы правы, это тест, ну и если подумать, иначе быть
  и не может.  То-то оно у меня тормозило жутко.

  А как бы тогда корректно исключить все сетевые фс?
  Можно конечно -mount и перечислить все локальные точки монтировки,
  но это не очень красиво получается. Хотя,.. эффективно.
  Попробовал, теперь за секунды отрабатывает.
  Спасибо.
Ю.

Устаревшие автосоздаваемые пользователи и группы

[Alexander Galanin]

Всем привет!

Открыл /etc/passwd и задумался о том, нужны ли мне пользователи
haldaemon, usbmux, mldonkey и т.д. Аналогично и в /etc/group тоже есть
группы, которыми я сам не пользуюсь и у меня более не установлены
пакеты, притащившие их в систему.

Отсюда несколько вопросов:
1. Как определить принадлежность пользователя/группы к пакету. Не всё
   перечислено в документации к base-passwd и не всё удаётся угадать по
   имени.
2. Есть ли какой-нибудь штатный способ почистить ненужных
   пользователей/группы? Ничего лучше поиска на диске файлов, я не
   придумал.

-- 
Alexander Galanin

Re: Устаревшие автосоздаваемые пользователи и группы

[Dmitry Alexandrov]

On 14/11/15 23:13, yuri.nefe...@gmail.com wrote:

On Sat, 14 Nov 2015, Dmitry Alexandrov wrote:

Если при помощи «-fstab ext4» вы хотели записать условие на только
корень, без других подмонтированных в него разделов, то это можно
более корректно сформулировать как «-xdev».


   Нет, это я что бы find по сетевой файловой системе (afs) не лазил.
   А в локальных смонтированных пускай ищет. Вообще, да,
   правильнее было бы сначала сетевые fs остановить.


Я пошел сверился с руководством — и выходит, что это вовсе не прокатит.

‘-fstab’ в отличие от ‘-xdev’ (она же ‘-mount’) — это не опция (как 
‘-maxdepth’), а условие (как ‘-name’), что должно значить, что find все 
равно пройдется по не-экст-4 файловым системах, переберет на них каждый 
файл, но все отвергнет, кто бы ни был владельцем.


Нет?

Re: Устаревшие автосоздаваемые пользователи и группы

[yuri . nefedov]

On Sat, 14 Nov 2015, Alexander Galanin wrote:


Всем привет!

Открыл /etc/passwd и задумался о том, нужны ли мне пользователи
haldaemon, usbmux, mldonkey и т.д. Аналогично и в /etc/group тоже есть
группы, которыми я сам не пользуюсь и у меня более не установлены
пакеты, притащившие их в систему.

Отсюда несколько вопросов:
1. Как определить принадлежность пользователя/группы к пакету. Не всё
  перечислено в документации к base-passwd и не всё удаётся угадать по
  имени.
2. Есть ли какой-нибудь штатный способ почистить ненужных
  пользователей/группы? Ничего лучше поиска на диске файлов, я не
  придумал.



 Экие забавные мысли... Заглянул к себе в /etc/passwd и обнаружил там
 Slmodemd - привет от старого ноутбука)

 Некоторые советы содержатся тут (раздел 12.1.12)
 https://www.debian.org/doc/manuals/securing-debian-howto/ch12.en.html

 В сухом остатке - проверять, что у "подозреваемых" нет
 никаких файлов в системе:
 find / -fstype ext4 -user Slmodemd
 Ну, собственно, то что у вас в пункте 2 написано.

 По поводу первого вопроса, я бы просто грепом прошелся
 по /var/lib/dpkg/info/*
 Что-то типа
 grep 'adduser\|addgroup' *.pre* *.post*

Ю.

Re: Устаревшие автосоздаваемые пользователи и группы

[Dmitry Alexandrov]

On 14/11/15 20:14, yuri.nefe...@gmail.com wrote:

On Sat, 14 Nov 2015, Alexander Galanin wrote:


Всем привет!

Открыл /etc/passwd и задумался о том, нужны ли мне пользователи
haldaemon, usbmux, mldonkey и т.д. Аналогично и в /etc/group тоже есть
группы, которыми я сам не пользуюсь и у меня более не установлены
пакеты, притащившие их в систему.

Отсюда несколько вопросов:
1. Как определить принадлежность пользователя/группы к пакету. Не всё
  перечислено в документации к base-passwd и не всё удаётся угадать по
  имени.
2. Есть ли какой-нибудь штатный способ почистить ненужных
  пользователей/группы? Ничего лучше поиска на диске файлов, я не
  придумал.



  Экие забавные мысли... Заглянул к себе в /etc/passwd и обнаружил там
  Slmodemd - привет от старого ноутбука)

  Некоторые советы содержатся тут (раздел 12.1.12)
  https://www.debian.org/doc/manuals/securing-debian-howto/ch12.en.html

  В сухом остатке - проверять, что у "подозреваемых" нет
  никаких файлов в системе:
  find / -fstype ext4 -user Slmodemd
  Ну, собственно, то что у вас в пункте 2 написано.


Если при помощи «-fstab ext4» вы хотели записать условие на только 
корень, без других подмонтированных в него разделов, то это можно более 
корректно сформулировать как «-xdev».


А вообще, я не понял — поясните, пожалуйста, зачем это делать? Нужность 
пользовательской записи так не проверить — пользователи для демонов 
создаются не только и не столько для того, чтоб назначать их файлам.

Re: Устаревшие автосоздаваемые пользователи и группы

[yuri . nefedov]

On Sat, 14 Nov 2015, Dmitry Alexandrov wrote:


On 14/11/15 20:14, yuri.nefe...@gmail.com wrote:

On Sat, 14 Nov 2015, Alexander Galanin wrote:


Всем привет!

Открыл /etc/passwd и задумался о том, нужны ли мне пользователи
haldaemon, usbmux, mldonkey и т.д. Аналогично и в /etc/group тоже есть
группы, которыми я сам не пользуюсь и у меня более не установлены
пакеты, притащившие их в систему.

Отсюда несколько вопросов:
1. Как определить принадлежность пользователя/группы к пакету. Не всё
  перечислено в документации к base-passwd и не всё удаётся угадать по
  имени.
2. Есть ли какой-нибудь штатный способ почистить ненужных
  пользователей/группы? Ничего лучше поиска на диске файлов, я не
  придумал.



  Экие забавные мысли... Заглянул к себе в /etc/passwd и обнаружил там
  Slmodemd - привет от старого ноутбука)

  Некоторые советы содержатся тут (раздел 12.1.12)
  https://www.debian.org/doc/manuals/securing-debian-howto/ch12.en.html

  В сухом остатке - проверять, что у "подозреваемых" нет
  никаких файлов в системе:
  find / -fstype ext4 -user Slmodemd
  Ну, собственно, то что у вас в пункте 2 написано.


Если при помощи «-fstab ext4» вы хотели записать условие на только корень, 
без других подмонтированных в него разделов, то это можно более корректно 
сформулировать как «-xdev».




  Нет, это я что бы find по сетевой файловой системе (afs) не лазил.
  А в локальных смонтированных пускай ищет. Вообще, да,
  правильнее было бы сначала сетевые fs остановить.

А вообще, я не понял — поясните, пожалуйста, зачем это делать? Нужность 
пользовательской записи так не проверить — пользователи для демонов создаются 
не только и не столько для того, чтоб назначать их файлам.


 В моем понимании (возможно ошибочном) всякие системные пользователи
 нужны что бы различные демоны работали под соответствующими group/user ID.
 Соответственно, если пакет/демон снесли, то фалов принадлежащих этому
 пользователю быть бы не должно. Ну разве, что где-то типа /var/tmp.
 Может не 100%, но хоть какая-то зацепка.

Ю.

Re: Устаревшие автосоздаваемые пользователи и группы

[dimas]

> Нужность 
> пользовательской записи так не проверить — пользователи для демонов 
> создаются не только и не столько для того, чтоб назначать их файлам.
я бы прогрепал /etc/init.d/ (для sysvinit) и (где там хранятся юниты-шмуниты у
шыштемдэ) по именам таких потенциально ненужных юзеров. если что-то где-то от
его имени запускается - он всплывет. если не всплывет - не очень-то и нужен
а вообще, мне кажется, если при удалении (через purge) пакет оставляет за собой
какие-то ошметки (папки, файлы, юзеры, etc) - надо писать баг, ибо, по идее,
после удаления все должно возвращаться как было