Certains groupes autorisent l'accès aux fichiers ou aux répertoires, par exemple: le www-data
permettent l'accès aux fichiers Web ou le adm
groupe de lire les fichiers /var/log
. Ceci est l'utilisation triviale.
Mais certains groupes autorisent l'accès à certains appareils. Par exemple, le dialout
groupe permet d'accéder aux ports série via des fichiers dans /dev
:
$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1
Donc , si vous êtes membre du dialout
groupe , vous pouvez utiliser les ports série en lisant et en écriture dans le fichier de l' appareil: echo "Hello world" > /dev/ttyS0
. Le video
groupe permet d'accéder au matériel vidéo.
Pour la description de chaque groupe, lisez le fichier: /usr/share/doc/base-passwd/users-and-groups.html
MODIFIER le premier commentaire:
En fait, il n'est généralement pas nécessaire de faire partie de ces groupes pour «accéder» aux ressources matérielles, du point de vue de l'utilisateur. La pratique courante est d'avoir un démon / serveur qui le gère, en étant membre du groupe le plus restrictif, puis en vous permettant d'accéder au démon / serveur.
Pour vous, être membre du video
groupe permet un accès direct au matériel graphique, et non via le serveur X. Habituellement, sur un ordinateur de bureau / portable, il est agréable d'avoir un accès direct au matériel graphique ( glxinfo | grep "direct rendering"
).
Remarque, si vous avez un rendu direct mais que vous n'êtes pas membre du video
groupe ( id | grep --color video
), vous avez été autorisé à accéder au matériel par un acl du /dev
fichier ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME
).
sudo apt-get install acl
exécuter cette deuxième commande (getfacl). Merci pour la clarification.En général, le concept de séparation de groupe se rapporte à ceci:
http://en.wikipedia.org/wiki/Principle_of_least_privilege
Il semble stupide d'avoir tous ces groupes jusqu'à ce que vous réalisiez que l'alternative serait un seul niveau commun de privilèges élevés (ex. Sudo / root) qui serait un cauchemar pour la sécurité.
La plupart des groupes présentés dans votre message existent afin que différents éléments du système d'exploitation puissent accéder à des fonctionnalités communes avec le moins de privilèges. L'utilisateur ne devrait pas trop se soucier de cela. Au cours de certaines tâches administratives, vous devrez peut-être augmenter vos privilèges pour accéder à certaines fonctionnalités et cela se fait généralement en utilisant sudo pour de courtes tâches ponctuelles et en vous ajoutant à un groupe spécifique pour les tâches répétitives.
la source