Que font les groupes dans «Utilisateurs et groupes»?

13

Je sais que certains définissent des autorisations sur le système de fichiers (comme www-data). Mais je ne comprends pas pourquoi cette question a été répondue avec succès en ajoutant un utilisateur au groupe "Vidéo".

La question est donc principalement de savoir ce que font tous les groupes prédéfinis dans Ubuntu? Plus raisonnablement, vu qu'il y en a tellement, quels groupes «spéciaux» existent et comment ou quand devraient-ils être utilisés?

entrez la description de l'image ici

Scaine
la source

Réponses:

8

Certains groupes autorisent l'accès aux fichiers ou aux répertoires, par exemple: le www-datapermettent l'accès aux fichiers Web ou le admgroupe de lire les fichiers /var/log. Ceci est l'utilisation triviale.

Mais certains groupes autorisent l'accès à certains appareils. Par exemple, le dialoutgroupe permet d'accéder aux ports série via des fichiers dans /dev:

$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1

Donc , si vous êtes membre du dialoutgroupe , vous pouvez utiliser les ports série en lisant et en écriture dans le fichier de l' appareil: echo "Hello world" > /dev/ttyS0. Le videogroupe permet d'accéder au matériel vidéo.

Pour la description de chaque groupe, lisez le fichier: /usr/share/doc/base-passwd/users-and-groups.html

MODIFIER le premier commentaire:

En fait, il n'est généralement pas nécessaire de faire partie de ces groupes pour «accéder» aux ressources matérielles, du point de vue de l'utilisateur. La pratique courante est d'avoir un démon / serveur qui le gère, en étant membre du groupe le plus restrictif, puis en vous permettant d'accéder au démon / serveur.

Pour vous, être membre du videogroupe permet un accès direct au matériel graphique, et non via le serveur X. Habituellement, sur un ordinateur de bureau / portable, il est agréable d'avoir un accès direct au matériel graphique ( glxinfo | grep "direct rendering").

Remarque, si vous avez un rendu direct mais que vous n'êtes pas membre du videogroupe ( id | grep --color video), vous avez été autorisé à accéder au matériel par un acl du /devfichier ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME).

shellholic
la source
Excellente réponse, merci. Mais continuez - je ne suis membre d'aucun groupe dans mon système, mais je peux toujours utiliser tout le matériel (comme la vidéo). Je ne sais pas pourquoi ils existent si je peux encore travailler sans eux.
Scaine
Vous devrez sudo apt-get install aclexécuter cette deuxième commande (getfacl). Merci pour la clarification.
Scaine
2

En général, le concept de séparation de groupe se rapporte à ceci:

http://en.wikipedia.org/wiki/Principle_of_least_privilege

Il semble stupide d'avoir tous ces groupes jusqu'à ce que vous réalisiez que l'alternative serait un seul niveau commun de privilèges élevés (ex. Sudo / root) qui serait un cauchemar pour la sécurité.

La plupart des groupes présentés dans votre message existent afin que différents éléments du système d'exploitation puissent accéder à des fonctionnalités communes avec le moins de privilèges. L'utilisateur ne devrait pas trop se soucier de cela. Au cours de certaines tâches administratives, vous devrez peut-être augmenter vos privilèges pour accéder à certaines fonctionnalités et cela se fait généralement en utilisant sudo pour de courtes tâches ponctuelles et en vous ajoutant à un groupe spécifique pour les tâches répétitives.

user10804
la source