Изменение группы владельцев такого важного файла может даже сломать некоторые вещи, а именно опасный.
Надлежащий безопасный способ добиться этого — использовать ACL POSIX:
setfacl -m u:special_user:r /etc/shadow
Другая проблема заключается в том, что вы дали это право Nginx, веб-сервер. Который, я полагаю, запускает какое-то веб-приложение. И очень плохая идея иметь прямой доступ к /и т.д./тень из веб-приложения.
Это может показаться контрпродуктивным, но так поступают все серьезные системы: они включают частный безопасный прокси-сервис который выполняет все проверки безопасности, а веб-интерфейс может общаться только с этой прокси-службой, чтобы иметь некоторый доступ к конфиденциальным данным или выполнять другие конфиденциальные действия. Например, так построен Proxmox VE: есть pvedaemon, который делает опасные вещи, а pveproxy (веб-сервер) разговаривает с pvedaemon только тогда, когда ему нужно делать такие вещи.
Третья проблема заключается в том, что вы вообще получаете доступ к этому файлу. Что вы собираетесь делать? Этот файл является частью пакета PAM.Что если какая-то системная аутентификация будет изменена таким образом, что она не будет использовать теневой файл, или будет перемещена? Вы должны использовать вызовы библиотеки PAM, которые сделают все это за вас.
