Re: Устаревшие автосоздаваемые пользователи и группы
On 2015-11-14, yuri.nefe...@gmail.com wrote: > По поводу первого вопроса, я бы просто грепом прошелся > по /var/lib/dpkg/info/* > Что-то типа > grep 'adduser\|addgroup' *.pre* *.post* И еще грепать: $ grep $GROUP_NAME /etc/default/* $ grep $GROUP_NAME /etc/init.d/* $ grep $GROUP_NAME /etc/udev/rules.d/* $ grep $GROUP_NAME /etc/cron.*/* В итоге проще: $ grep -К $GROUP_NAME /etc/ По моему если имя группы зашито в /bin/* или /usr/* или /var/* и группа не описана в: /usr/share/doc/base-passwd/users-and-groups.txt.gz то пакет низкого качества и должен быть удален из оф репозитория. Допустимо прописывать настройки в иерархии /opt и /local/etc, я такого никогда не делал, как документировать и поддерживать не представляю. Вообще с виртуализацией не ясно актуальны ли группы под каждый сервис, запускайте каждый сервис в отдельном контейнере. Так же не ясно зачем разделение для доступа к устройствам - оконечный пользователь все равно будет желать группы video, audio. На сервере медийные устройства отсутствуют. -- Best regards!
Re: Устаревшие автосоздаваемые пользователи и группы
On Sat, 14 Nov 2015 20:14:18 +0300 (MSK) yuri.nefe...@gmail.com wrote: > > 1. Как определить принадлежность пользователя/группы к пакету. Не всё > > перечислено в документации к base-passwd и не всё удаётся угадать по > > имени. > Некоторые советы содержатся тут (раздел 12.1.12) > https://www.debian.org/doc/manuals/securing-debian-howto/ch12.en.html Я брал этот список из /usr/share/doc/base-passwd/users-and-groups.txt.gz, там то же самое. -- Alexander Galanin
Re: Устаревшие автосоздаваемые пользователи и группы
yuri.nefe...@gmail.com -> debian-russian@lists.debian.org @ Sun, 15 Nov 2015 20:38:58 +0300 (MSK): Если при помощи «-fstab ext4» вы хотели записать условие на только корень, без других подмонтированных в него разделов, то это можно более корректно сформулировать как «-xdev». >>>Нет, это я что бы find по сетевой файловой системе (afs) не лазил. >>>А в локальных смонтированных пускай ищет. Вообще, да, >>>правильнее было бы сначала сетевые fs остановить. >> >> Я пошел сверился с руководством — и выходит, что это вовсе не прокатит. >> >> ‘-fstab’ в отличие от ‘-xdev’ (она же ‘-mount’) — это не опция (как >> ‘-maxdepth’), а условие (как ‘-name’), что должно значить, что find все >> равно пройдется по не-экст-4 файловым системах, переберет на них каждый >> файл, но все отвергнет, кто бы ни был владельцем. >> >> Нет? >> y> Не fstab a fstype. y> Похоже, что, да вы правы, это тест, ну и если подумать, иначе быть y> и не может. То-то оно у меня тормозило жутко. y> А как бы тогда корректно исключить все сетевые фс? С -prune скомпоновать. Тогда, по идее, оно наткнется на точку монтирования сетевой fs, увидит там нужный fstype, и вглубь не полезет. Другое дело, что выражение логики у find несколько неинтуитивно.
Re: Устаревшие автосоздаваемые пользователи и группы
On Sun, 15 Nov 2015, Dmitry Alexandrov wrote: On 14/11/15 23:13, yuri.nefe...@gmail.com wrote: On Sat, 14 Nov 2015, Dmitry Alexandrov wrote: Если при помощи «-fstab ext4» вы хотели записать условие на только корень, без других подмонтированных в него разделов, то это можно более корректно сформулировать как «-xdev». Нет, это я что бы find по сетевой файловой системе (afs) не лазил. А в локальных смонтированных пускай ищет. Вообще, да, правильнее было бы сначала сетевые fs остановить. Я пошел сверился с руководством — и выходит, что это вовсе не прокатит. ‘-fstab’ в отличие от ‘-xdev’ (она же ‘-mount’) — это не опция (как ‘-maxdepth’), а условие (как ‘-name’), что должно значить, что find все равно пройдется по не-экст-4 файловым системах, переберет на них каждый файл, но все отвергнет, кто бы ни был владельцем. Нет? Не fstab a fstype. Похоже, что, да вы правы, это тест, ну и если подумать, иначе быть и не может. То-то оно у меня тормозило жутко. А как бы тогда корректно исключить все сетевые фс? Можно конечно -mount и перечислить все локальные точки монтировки, но это не очень красиво получается. Хотя,.. эффективно. Попробовал, теперь за секунды отрабатывает. Спасибо. Ю.
Устаревшие автосоздаваемые пользователи и группы
Всем привет! Открыл /etc/passwd и задумался о том, нужны ли мне пользователи haldaemon, usbmux, mldonkey и т.д. Аналогично и в /etc/group тоже есть группы, которыми я сам не пользуюсь и у меня более не установлены пакеты, притащившие их в систему. Отсюда несколько вопросов: 1. Как определить принадлежность пользователя/группы к пакету. Не всё перечислено в документации к base-passwd и не всё удаётся угадать по имени. 2. Есть ли какой-нибудь штатный способ почистить ненужных пользователей/группы? Ничего лучше поиска на диске файлов, я не придумал. -- Alexander Galanin
Re: Устаревшие автосоздаваемые пользователи и группы
On 14/11/15 23:13, yuri.nefe...@gmail.com wrote: On Sat, 14 Nov 2015, Dmitry Alexandrov wrote: Если при помощи «-fstab ext4» вы хотели записать условие на только корень, без других подмонтированных в него разделов, то это можно более корректно сформулировать как «-xdev». Нет, это я что бы find по сетевой файловой системе (afs) не лазил. А в локальных смонтированных пускай ищет. Вообще, да, правильнее было бы сначала сетевые fs остановить. Я пошел сверился с руководством — и выходит, что это вовсе не прокатит. ‘-fstab’ в отличие от ‘-xdev’ (она же ‘-mount’) — это не опция (как ‘-maxdepth’), а условие (как ‘-name’), что должно значить, что find все равно пройдется по не-экст-4 файловым системах, переберет на них каждый файл, но все отвергнет, кто бы ни был владельцем. Нет?
Re: Устаревшие автосоздаваемые пользователи и группы
On Sat, 14 Nov 2015, Alexander Galanin wrote: Всем привет! Открыл /etc/passwd и задумался о том, нужны ли мне пользователи haldaemon, usbmux, mldonkey и т.д. Аналогично и в /etc/group тоже есть группы, которыми я сам не пользуюсь и у меня более не установлены пакеты, притащившие их в систему. Отсюда несколько вопросов: 1. Как определить принадлежность пользователя/группы к пакету. Не всё перечислено в документации к base-passwd и не всё удаётся угадать по имени. 2. Есть ли какой-нибудь штатный способ почистить ненужных пользователей/группы? Ничего лучше поиска на диске файлов, я не придумал. Экие забавные мысли... Заглянул к себе в /etc/passwd и обнаружил там Slmodemd - привет от старого ноутбука) Некоторые советы содержатся тут (раздел 12.1.12) https://www.debian.org/doc/manuals/securing-debian-howto/ch12.en.html В сухом остатке - проверять, что у "подозреваемых" нет никаких файлов в системе: find / -fstype ext4 -user Slmodemd Ну, собственно, то что у вас в пункте 2 написано. По поводу первого вопроса, я бы просто грепом прошелся по /var/lib/dpkg/info/* Что-то типа grep 'adduser\|addgroup' *.pre* *.post* Ю.
Re: Устаревшие автосоздаваемые пользователи и группы
On 14/11/15 20:14, yuri.nefe...@gmail.com wrote: On Sat, 14 Nov 2015, Alexander Galanin wrote: Всем привет! Открыл /etc/passwd и задумался о том, нужны ли мне пользователи haldaemon, usbmux, mldonkey и т.д. Аналогично и в /etc/group тоже есть группы, которыми я сам не пользуюсь и у меня более не установлены пакеты, притащившие их в систему. Отсюда несколько вопросов: 1. Как определить принадлежность пользователя/группы к пакету. Не всё перечислено в документации к base-passwd и не всё удаётся угадать по имени. 2. Есть ли какой-нибудь штатный способ почистить ненужных пользователей/группы? Ничего лучше поиска на диске файлов, я не придумал. Экие забавные мысли... Заглянул к себе в /etc/passwd и обнаружил там Slmodemd - привет от старого ноутбука) Некоторые советы содержатся тут (раздел 12.1.12) https://www.debian.org/doc/manuals/securing-debian-howto/ch12.en.html В сухом остатке - проверять, что у "подозреваемых" нет никаких файлов в системе: find / -fstype ext4 -user Slmodemd Ну, собственно, то что у вас в пункте 2 написано. Если при помощи «-fstab ext4» вы хотели записать условие на только корень, без других подмонтированных в него разделов, то это можно более корректно сформулировать как «-xdev». А вообще, я не понял — поясните, пожалуйста, зачем это делать? Нужность пользовательской записи так не проверить — пользователи для демонов создаются не только и не столько для того, чтоб назначать их файлам.
Re: Устаревшие автосоздаваемые пользователи и группы
On Sat, 14 Nov 2015, Dmitry Alexandrov wrote: On 14/11/15 20:14, yuri.nefe...@gmail.com wrote: On Sat, 14 Nov 2015, Alexander Galanin wrote: Всем привет! Открыл /etc/passwd и задумался о том, нужны ли мне пользователи haldaemon, usbmux, mldonkey и т.д. Аналогично и в /etc/group тоже есть группы, которыми я сам не пользуюсь и у меня более не установлены пакеты, притащившие их в систему. Отсюда несколько вопросов: 1. Как определить принадлежность пользователя/группы к пакету. Не всё перечислено в документации к base-passwd и не всё удаётся угадать по имени. 2. Есть ли какой-нибудь штатный способ почистить ненужных пользователей/группы? Ничего лучше поиска на диске файлов, я не придумал. Экие забавные мысли... Заглянул к себе в /etc/passwd и обнаружил там Slmodemd - привет от старого ноутбука) Некоторые советы содержатся тут (раздел 12.1.12) https://www.debian.org/doc/manuals/securing-debian-howto/ch12.en.html В сухом остатке - проверять, что у "подозреваемых" нет никаких файлов в системе: find / -fstype ext4 -user Slmodemd Ну, собственно, то что у вас в пункте 2 написано. Если при помощи «-fstab ext4» вы хотели записать условие на только корень, без других подмонтированных в него разделов, то это можно более корректно сформулировать как «-xdev». Нет, это я что бы find по сетевой файловой системе (afs) не лазил. А в локальных смонтированных пускай ищет. Вообще, да, правильнее было бы сначала сетевые fs остановить. А вообще, я не понял — поясните, пожалуйста, зачем это делать? Нужность пользовательской записи так не проверить — пользователи для демонов создаются не только и не столько для того, чтоб назначать их файлам. В моем понимании (возможно ошибочном) всякие системные пользователи нужны что бы различные демоны работали под соответствующими group/user ID. Соответственно, если пакет/демон снесли, то фалов принадлежащих этому пользователю быть бы не должно. Ну разве, что где-то типа /var/tmp. Может не 100%, но хоть какая-то зацепка. Ю.
Re: Устаревшие автосоздаваемые пользователи и группы
> Нужность > пользовательской записи так не проверить — пользователи для демонов > создаются не только и не столько для того, чтоб назначать их файлам. я бы прогрепал /etc/init.d/ (для sysvinit) и (где там хранятся юниты-шмуниты у шыштемдэ) по именам таких потенциально ненужных юзеров. если что-то где-то от его имени запускается - он всплывет. если не всплывет - не очень-то и нужен а вообще, мне кажется, если при удалении (через purge) пакет оставляет за собой какие-то ошметки (папки, файлы, юзеры, etc) - надо писать баг, ибо, по идее, после удаления все должно возвращаться как было