Como escrevi em /unix//a/484626/5132, isso é digno de suas próprias perguntas e respostas.

Em sistemas operacionais Linux…

% bin de senhas getent
bin: x: 2: 2: bin: / bin: / usr / sbin / nologin
%

% bin de senhas getent
bin: *: 3: 7: Comandos e origem dos binários: /: / usr / sbin / nologin
%

$ getent passwd bin
bin: *: 3: 7: Comandos e origem dos binários: /: / sbin / nologin
$

Notas: O binID do usuário / ID do grupo está incluído para compatibilidade com aplicativos herdados. Novos aplicativos não devem mais usar o binID do usuário / o ID do grupo.

bin:

AJUDA : Nenhum arquivo no meu sistema pertence ao usuário ou grupo bin. Que bom eles são? Historicamente, eles provavelmente eram os donos de binários /bin? Não é mencionado na FHS, na política Debian ou no changelog de base-passwd ou base-files.

A pergunta de M. Hess permanece sem resposta no documento Debian para seu pacote base-passwd até hoje , 17 anos depois.

Então, para que serve a binconta?

bin não foi adequado para nada durante toda a vida útil do Linux.

Como os níveis de execução e a initgeração gettypor causa dos registros /etc/inittab, a binconta era obsoleta no mundo Unix antes do Linux ser inventado. Foi uma ideia dos anos 80 que foi quebrada pela invenção e adoção do NFS (Network File System) e de seu nobodyusuário. Sua presença contínua nos bancos de dados de contas de usuários no final de 2010, quando as pessoas no mundo comercial do Unix descontinuaram ativamente seu uso nos anos 90, é uma prova de inércia.

A idéia era que o binusuário possuísse vários diretórios como /bine /usr/bin(e de fato alguns dos outros mencionados em /unix//a/448799/5132 como /usr/mbine /usr/5bin) e o UID não definido / não- arquivos set-GID dentro deles. Também possuía arquivos e diretórios doco, como páginas de manual.

(Em casos mais extremos em alguns Unices, ele ainda possuía /e /etc, embora o último tenha sido um erro reconhecido na criação de uma imagem do sistema operacional SunOS. O primeiro foi apenas um desentendimento.)

Portanto, a permissão para aprovar atualizações de software, executando como usuário bin, não era uma permissão geral, executando como superusuário, para executar qualquer ação que fosse contra o sistema. O atualizador de software não pôde ler / gravar arquivos de usuários particulares, acessar caixas de correio e assim por diante; qual atualização de softwares como o superusuário, é claro.

Várias outras entradas de conta especiais no seu /etc/passwdarquivo devem ter senhas. Estas são as contas administrativas - bin, daemon, sys, uucp, lp, e adm. […] O principal motivo da existência dessas contas é a propriedade segura de comandos, scripts, arquivos e dispositivos. E alguns administradores instalam senhas para essas contas e realmente as usam. […] Uma binconta sem senha é extremamente útil para um disjuntor do sistema.

O NFS foi inventado no início dos anos 80 e quebrou completamente essa ideia.

Já estava em terreno instável, como alude a citação citada. Isso ocorreu porque a capacidade de atualizar os arquivos de imagem do programa para utilitários básicos que o superusuário executou normalmente, como /bin/lspor exemplo, é um vetor direto para obter privilégios de superusuário e a divisão de acesso no uso de uma binconta apenas evitou acidentalmente modificar os diretórios errados em vez de impedir que um malfeitor obtenha acesso ao superusuário.

O advento do NFS destacou isso. Embora o NFS tenha um mecanismo para remapear a conta de superusuário para uma conta de usuário comum que não seja do sistema, ele não possui o mesmo para contas não raiz, como bin. Portanto, se alguém pudesse obter binacesso a um cliente NFS, ele teria binacesso aos arquivos do sistema operacional em um servidor NFS. De fato, ele permitiu que um superusuário em um cliente NFS, que seria remapeado para um usuário comum que não seja do sistema no servidor, para obter acesso do proprietário aos arquivos e diretórios do sistema operacional do servidor.

Isso era de conhecimento geral no início dos anos 90, e, na época, a sabedoria recebida era o chownque pertencia bina pertencer ao superusuário, para corrigir esse buraco que já havia se tornado um item de relatório padrão nas ferramentas de auditoria de segurança Unix e foi advertido contra como o documento de instalação do Sendmail.

No que diz respeito às perguntas de M. Hess, essa idéia nunca foi adotada no Debian, que só surgiu anos depois que era conhecida como uma má idéia no mundo Unix, que na verdade sabia que era uma má idéia antes do próprio Linux foi inventado. Os sistemas operacionais BSD cuja história faz volta estiramento na década de 1980 há muito que acabou com a propriedade real, mas ainda assim mantêm a conta de usuário no banco de dados conta. O FreeBSD converteu bin: binposse para root: wheelpropriedade em 1998 , por exemplo.

Leitura adicional

• Jonathan de Boyne Pollard (2015). /etc/inittabé uma coisa do passado. . Respostas Frequentes.
• Jonathan de Boyne Pollard (2018). níveis de execução são coisas do passado. . Respostas Frequentes.
• Jonathan de Boyne Pollard (2018). Não abuse de ninguém por executar daemons. . Respostas Frequentes.
• Thomas Benjamin (07/11/1995). Sinalizadores de tigre * bin * possuíam arquivos de sistema, contas desabilitadas . comp.sys.hp.hpux.
• Bob Proulx (15/09/2002). Re: pergunta sobre / etc / passwd entradas . linux.debian.user.
• Doug Siebert (22/06/1999). Re: OS arquivos pertencentes a bin não raiz . comp.security.unix.
• Doug Siebert (01/06/1998). Re: AIX: "/" é propriedade de bin.bin . umn.local-lists.security.
• Theo de Raadt (22/06/1999). Re: OS arquivos pertencentes a bin não raiz . comp.security.unix.
• gene (08-09 1994). Por que bin não deve possuir um diretório . comp.security.unix.
• Brad Powell (12/08/1993). Re: Diretório raiz 'bin bin'? . comp.security.unix.
• Mario Wolczko (13/09/1991). Re: O quebras se / etc não é de propriedade de bin? . alt.security.

Existem 2 casos de uso que utilizo bin para 2018. 1: executável - principalmente para arquivos .exe do lado do servidor web, usados ​​para concluir funções. E 2: logs - às vezes eu coloco meus arquivos .log ou .dat na minha pasta bin.