- nobody (пользователь)
-
Во многих Unix-подобных операционных системах, nobody (англ. nobody — никто) — имя пользователя, не являющегося владельцем ни одного файла, не состоящего ни в одной привилегированной группе, и не имеющего никаких полномочий, кроме стандартных для обычных пользователей. Идентификатор пользователя nobody обычно или наибольший из возможных (в противоположность cуперпользователю), или один из системных идентификаторов пользователя (во многих системах — между 1 и 100).
В общем случае, запуск демонов от имени nobody, часто применяющийся на серверах, призван уменьшить размер повреждений, которые может нанести злоумышленник, получивший над этим процессом контроль. Тем не менее, полезность этого способа снижается, если подобным образом можно запустить более одного демона, так как получение контроля над одним из них позволит получить контроль и над всеми остальными. Причина этого в том, что процессы, запущенные от имени nobody, имеют возможность посылать сигналы друг другу, а также могут использовать системные вызовы отладки друг над другом (например, ptrace в Linux), что означает возможность чтения и записи одним процессом памяти другого процесса. Создание отдельного аккаунта для каждого демона, как это рекомендует Linux Standard Base,[1] обеспечивает более надёжную политику безопасности.
См. также
- Предоставление привилегий
- Принципы привилегий
Ссылки
Категории:- Информационная безопасность
- UNIX
Wikimedia Foundation. 2010.