leere Gruppen gefahrlos löschen

[pangu]

Hallo,

wenn ich mir meine /etc/group anschaue, dann habe ich einen Großteil von Gruppen, die komplett leer sind. Ich habe meine adduser.conf bereits so eingerichtet, dass wenn ich selber User erstelle, nicht automatisch dazu auch eine Gruppe erstellt wird. Alle Gruppen mit der GID von 0-1000 sind glaube ich Systemgruppen, oder? Ich hab eigentlich 3 eigene Gruppen, die ich verwende, der Rest steht leer. Nun frage ich mich, ob man so eine Gruppe eigentlich gefahrlos löschen könnte, sofern kein User darin existiert. Würde das irgendwie das System zerbiegen und sollte unbedingt vermieden werden?

Als Beispiel: ich habe neulich den "ntp" Server installiert. Das Installationsprogramm hat (wie viele andere Installationsroutinen es auch tun) automatisch eine Gruppe namens "ntp" mit der GID 109 erstellt. Oder Samba erstellt bei der Installation die Gruppe "sambashare" mit der GID=108. Dann habe ich noch die Gruppe "fuse" mit der GID=110. Messagebus mit GID=107, Debian-exim mit GID=107, und so weiter und so fort ...

Kann/darf ich diese Gruppen löschen oder auf GAR KEINEN FALL ? Wie verhält sich das, kann mich jemand aufklären?

Danke schonmal im Voraus und viele Grüße.

[Cae]

Meine Empfehlung: lass' es bleiben, du gewinnst damit wesentlich weniger, als ein Vermurkser an dieser Stelle Schaden anrichten könnte. Mit find kannst du herausfinden, welche Dateien welchen Gruppen gehören.

Gruß Cae

[uname]

Ich kann auch nur davon abraten. Sicherheit gewinnst du sowieso nicht, da unter UNIX/Linux die GIDs und nicht die zugeordneten Gruppen entscheidend sind. Aber probiere doch ein wenig auf einem Testsystem bzw. Live-System und berichte über deine Erfahrungen. Bedenke auch, dass vielleicht einige Softwareroutinen statt auf GIDs auf die Namen prüfen, da bei den einzelnen Diensten eher die Namen als die GIDs fest sind.

[pangu]

Jo, ich versteh schon was du meinst. Deswegen wollte ich ja vorab mal fragen, ob das irgendwo dokumentiert ist oder ob's Erfahrungen damit gibt. Ich hab natürlich 'ne Test-VM wo ich das alles gefahrlos ausprobieren könnte. Ich könnte z.B. die Gruppen mal löschen, und mir dann sämtliche Logfiles anschauen ob Fehler oder Probleme auftauchen. Aber es könnte ja sein, dass ich eine Woche lang keinen Fehler sehe in den Logfiles, und später aber macht sich dann irgendwas bemerkbat. Aus dem Grunde wollte ich wissen, warum diverse Installationsroutinen diverser Pakete, diese Gruppe überhaupt erstellen. Langt es Ihnen nicht, wenn Sie den User erstellen, mit dem der Dienst evtl. ausgeführt werden soll? Ich bin da etwas pinkelig, und wenn ich acht Millionen leere Gruppen sehe dann stört mich das ein wenig (bin ich paranoid? oder sonstwie gestört? haha ) Cae, kannst du mir sagen, wie der find syntax aussehen muss, damit ich zugehörige Dateien von bestimmten Gruppen finden kann?

Danke euch soweit.

[uname]

Code: Alles auswählen

man find

wäre dein Freund gewesen.

Code: Alles auswählen

Files
find -type f -gid 0 /pfad/nach/irgendwo
Verzeichnisse
find -type d -gid 0 /pfad/nach/irgendwo

findet alle Dateien der GID 0 (root). Bitte in /etc/group die Zuordnung zur GID-Nummer raussuchen und dann über die GID-Nummer suchen. Problem können weitere Dateitypen wie z.B. symbolische Links usw. darstellen. Diese findest du z.B. wenn du den Parameter "-type" weglässt oder entsprechend anpasst.

[pangu]

ok, danke.

[uname]

Nachtrag: Kannst evtl. auch die Option "-group" nutzen, falls du nicht selbst die Umwandlung Name zu GID vornehmen willst. Verlassen würde ich mich aber immer mehr auf GIDs als auf Namen.

[cosmac]

hi,

laut Debian Policy Manual werden die GIDs 100 bis 999 bei der Installation eines Pakets vergeben. Solange das Programm installiert ist, wird die Gruppe also auch gebraucht. Die Idee ist ja, dass jeder Daemon möglichst wenig Rechte, seine eigene UID und seine eigene Gruppe bekommt. Deshalb ist es normal, dass diese Gruppen "leer" sind, sind haben ja trotzdem einen "Benutzer".

Hier gibt's noch ein paar Hinweise zu Gruppen im Bereich 1 bis 99.