© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Moin,
--On Samstag, 2. April 2005 23:26 Uhr +0200 "J. Erik Heinz" <jheinz(at)much-magic.wiwi.uni-frankfurt.de> wrote:
> ich installiere gerade dovecot und hab im Zuge der installation den
> user dovecot (automatisch) angelegt. Dieser hat als shell:
> /usr/sbin/nologin. Was bringt mir so ein user?
Eine zusaetzliche uid erweitert die Moeglichkeit Berechtigungen
(auf Prozess- und Dateiebene) zu verteilen / zu verwalten. Die
Idee hinter den dienstspezifischen uid/gid ist, dass man so
die Rechte der zum jeweiligen Dienst gehoerenden Prozessen auf
ein Minimum einschraenken kann. "Interaktiv" wird man solche
uid nur in Ausnahmefaellen nutzen; zudem waere die Moeglichkeit
eines "Logins" (per telnet / ssh / am Terminal) eine potentielle
Gefaehrdung des Dienstes. Daher hat es keinen Sinn, wenn solche
administrativen Accounts eine funktionsfaehige interaktive Shell
haben.
> Man kann ja noch nicht
> mal »su user -c startskript« ausführen?
Das ist aber z.B. mit "su -m user -c startskript" moeglich.
Diese Art, (Netzwerk-)Dienste zu starten, ist aber auch nicht
so haeufig notwendig. Die "Idee" ist, dass Daemonen mit uid 0
gestartet werden und sie sich der weitgehenden Rechte entledigen (mittels seteuid, setegid, ...), nachdem sie alles, was die er-
weiterten Rechte voraussetzt (z.B. das Binden von Sockets an
Ports < 1024), erledigt haben.
Ein "su -m user [-c] startskript" ist natuerlich immer dann
sinnvoll / notwendig, wenn ein Dienst die Umschaltung der
euid/egid nicht selbst vornimmt oder zu keinem Zeitpunkt
Root-Berechtigungen benoetigt.
-Andreas
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 03 Apr 2005 - 10:07:32 CEST