$ find /usr/bin/ -group shadow | xargs ls -l
-rwxr-sr-x 1 root shadow 45384 2008-12-08 03:13 /usr/bin/chage
-rwxr-sr-x 1 root shadow 21424 2008-12-08 03:13 /usr/bin/expiry
Mungkin tidak ada pengguna, tapi pasti ada perangkat lunak yang harus bisa membaca file itu. Perhatikan bahwa passwd itu sendiri adalah setuid root, jadi tidak membutuhkan ini.
Tidak, shadow grup seharusnya tidak memiliki pengguna, tetapi grup ini diperlukan agar kata sandi bayangan berfungsi.
Saya kira idenya di sini adalah agar file dapat diakses oleh root dan root saja. Anda mungkin memiliki pengguna tambahan di grup root, inilah mengapa grup pengguna terpisah dibuat.
Di mesin Ubuntu saya ada sejumlah perintah yang set-group-id untuk dibayangi. Ini memberi mereka hak istimewa yang tepat dan hanya untuk membaca dua file bayangan (yang dikelompokkan menjadi bayangan, dan hanya dapat dibaca oleh grup).
-rwxr-sr-x 1 root shadow 35584 Mar 16 11:45 /sbin/pam_extrausers_chkpwd
-rwxr-sr-x 1 root shadow 35544 Mar 16 11:45 /sbin/unix_chkpwd
-rwxr-sr-x 1 root shadow 59224 Jul 20 2015 /usr/bin/chage
-rwxr-sr-x 1 root shadow 23424 Jul 20 2015 /usr/bin/expiry
-rw-r----- 1 root shadow 1043 Apr 2 00:27 /etc/gshadow
-rw-r----- 1 root shadow 1732 Apr 2 00:27 /etc/shadow
Jika Anda memiliki layanan yang hanya harus dapat membaca satu atau yang lain dari file bayangan, buat saja set-group-id menjadi bayangan. Ini adalah kebalikan dari apa yang disarankan di atas - bukan karena ada banyak orang lain yang berada di root grup, tetapi dengan konvensi (dan izin file) grup ini memberi Anda akses hanya ke dua sumber daya ini.