Algunos grupos permiten el acceso a archivos o directorios, por ejemplo: www-data
permiten el acceso a archivos web o al adm
grupo para leer archivos /var/log
. Este es el uso trivial.
Pero algunos grupos permiten el acceso a ciertos dispositivos. Por ejemplo, el dialout
grupo permite el acceso a los puertos seriales a través de archivos en /dev
:
$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1
Así que si usted es miembro del dialout
grupo puede utilizar los puertos serie mediante la lectura y la escritura en el archivo de dispositivo: echo "Hello world" > /dev/ttyS0
. El video
grupo permite el acceso al hardware de video.
Para la descripción de cada grupo, lea el archivo: /usr/share/doc/base-passwd/users-and-groups.html
EDITAR sobre el primer comentario:
De hecho, generalmente no tiene que estar en esos grupos para "acceder" a los recursos de hardware, desde el punto de vista del usuario. La práctica común es tener un demonio / servidor que lo administre, ser miembro del grupo más restrictivo y luego permitirle acceder al demonio / servidor.
Para su caso, ser miembro del video
grupo permite el acceso directo al hardware gráfico, no a través del servidor X. Por lo general, en una computadora de escritorio / portátil, es bueno tener acceso directo al hardware gráfico ( glxinfo | grep "direct rendering"
).
Nota al margen, si tiene representación directa pero no es miembro del video
grupo ( id | grep --color video
), una acl del /dev
archivo ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME
) le permitió el acceso al hardware .
sudo apt-get install acl
ejecutar ese segundo comando (getfacl). Gracias por la aclaración.En general, el concepto de separación grupal se relaciona con esto:
http://en.wikipedia.org/wiki/Principle_of_least_privilege
Parece tonto tener todos esos grupos hasta que te das cuenta de que la alternativa sería un único nivel común de alto privilegio (ej. Sudo / root) que sería una pesadilla de seguridad.
La mayoría de los grupos que se muestran en su publicación existen para que varias partes del sistema operativo puedan acceder a la funcionalidad común con la menor cantidad de privilegios. El usuario no debería tener que preocuparse demasiado por esto. Durante algunas tareas administrativas, es posible que necesite aumentar sus privilegios para acceder a alguna funcionalidad y esto generalmente se hace usando sudo para tareas cortas de una sola vez y agregándose a un grupo específico para tareas repetitivas.
fuente