$ find /usr/bin/ -group shadow | xargs ls -l
-rwxr-sr-x 1 root shadow 45384 2008-12-08 03:13 /usr/bin/chage
-rwxr-sr-x 1 root shadow 21424 2008-12-08 03:13 /usr/bin/expiry
ユーザーはいないかもしれませんが、そのファイルを読み取ることができる必要があるソフトウェアが存在することは確かです。 passwd に注意してください それ自体は setuid root であるため、これは必要ありません。
いいえ、shadow グループにはユーザーを含めないでください。ただし、このグループはシャドウ パスワードが機能するために必要です。
ここでのアイデアは、root と root のみがファイルにアクセスできるようにすることだと思います.root グループに余分なユーザーがいる可能性があります。これが、別のユーザーグループが作成された理由です.
私の Ubuntu マシンには、set-group-id をシャドウするコマンドがいくつかあります。これにより、2 つのシャドウ ファイル (シャドウにグループ化され、グループ読み取りのみ可能) を読み取る権限のみが正確に提供されます。
-rwxr-sr-x 1 root shadow 35584 Mar 16 11:45 /sbin/pam_extrausers_chkpwd
-rwxr-sr-x 1 root shadow 35544 Mar 16 11:45 /sbin/unix_chkpwd
-rwxr-sr-x 1 root shadow 59224 Jul 20 2015 /usr/bin/chage
-rwxr-sr-x 1 root shadow 23424 Jul 20 2015 /usr/bin/expiry
-rw-r----- 1 root shadow 1043 Apr 2 00:27 /etc/gshadow
-rw-r----- 1 root shadow 1732 Apr 2 00:27 /etc/shadow
のみのサービスがある場合 いずれかのシャドウ ファイルを読み取ることができる必要があります。set-group-id をシャドウに設定するだけです。これは、上で提案したこととは逆のようなものです。グループ ルートに他の多くの人がいるわけではありません。慣例 (およびファイルのアクセス許可) により、このグループはこれら 2 つのリソースへのアクセスのみを許可します。