$ find /usr/bin/ -group shadow | xargs ls -l
-rwxr-sr-x 1 root shadow 45384 2008-12-08 03:13 /usr/bin/chage
-rwxr-sr-x 1 root shadow 21424 2008-12-08 03:13 /usr/bin/expiry
Puede que no haya ningún usuario, pero ciertamente hay un software que necesita poder leer ese archivo. Tenga en cuenta que passwd en sí mismo es setuid root, por lo que no necesita esto.
No, shadow El grupo no debe tener usuarios, pero este grupo es necesario para que funcionen las contraseñas ocultas.
Supongo que la idea aquí es tener el archivo accesible solo para root y root. Es posible que tenga usuarios adicionales en el grupo raíz, por eso se creó el grupo de usuarios separado.
En mi máquina Ubuntu, hay una serie de comandos que se configuran como ID de grupo para ocultar. Esto les proporciona exactamente y solo el privilegio de leer los dos archivos shadow (que están agrupados para shadow, y solo se pueden leer en grupo).
-rwxr-sr-x 1 root shadow 35584 Mar 16 11:45 /sbin/pam_extrausers_chkpwd
-rwxr-sr-x 1 root shadow 35544 Mar 16 11:45 /sbin/unix_chkpwd
-rwxr-sr-x 1 root shadow 59224 Jul 20 2015 /usr/bin/chage
-rwxr-sr-x 1 root shadow 23424 Jul 20 2015 /usr/bin/expiry
-rw-r----- 1 root shadow 1043 Apr 2 00:27 /etc/gshadow
-rw-r----- 1 root shadow 1732 Apr 2 00:27 /etc/shadow
Si tiene un servicio que solo requiere poder leer uno u otro de los archivos de sombra, solo configúrelo en set-group-id para sombra. Esto es más o menos lo contrario de lo que se sugirió anteriormente:no es que haya muchas otras personas que están en la raíz del grupo, es que, por convención (y permisos de archivo), este grupo le otorga acceso solo a estos dos recursos.