¿Qué hacen los grupos en "Usuarios y grupos"?

13

Sé que algunos definen permisos en el sistema de archivos (como www-data). Pero no entiendo por qué esta pregunta fue respondida con éxito al agregar un usuario al grupo "Video".

Entonces, la pregunta es principalmente ¿qué hacen todos los grupos preconstruidos en Ubuntu? Más razonablemente, dado que hay tantos, ¿qué grupos "especiales" existen y cómo o cuándo deberían usarse?

ingrese la descripción de la imagen aquí

Scaine
fuente

Respuestas:

8

Algunos grupos permiten el acceso a archivos o directorios, por ejemplo: www-datapermiten el acceso a archivos web o al admgrupo para leer archivos /var/log. Este es el uso trivial.

Pero algunos grupos permiten el acceso a ciertos dispositivos. Por ejemplo, el dialoutgrupo permite el acceso a los puertos seriales a través de archivos en /dev:

$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1

Así que si usted es miembro del dialoutgrupo puede utilizar los puertos serie mediante la lectura y la escritura en el archivo de dispositivo: echo "Hello world" > /dev/ttyS0. El videogrupo permite el acceso al hardware de video.

Para la descripción de cada grupo, lea el archivo: /usr/share/doc/base-passwd/users-and-groups.html

EDITAR sobre el primer comentario:

De hecho, generalmente no tiene que estar en esos grupos para "acceder" a los recursos de hardware, desde el punto de vista del usuario. La práctica común es tener un demonio / servidor que lo administre, ser miembro del grupo más restrictivo y luego permitirle acceder al demonio / servidor.

Para su caso, ser miembro del videogrupo permite el acceso directo al hardware gráfico, no a través del servidor X. Por lo general, en una computadora de escritorio / portátil, es bueno tener acceso directo al hardware gráfico ( glxinfo | grep "direct rendering").

Nota al margen, si tiene representación directa pero no es miembro del videogrupo ( id | grep --color video), una acl del /devarchivo ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME) le permitió el acceso al hardware .

concha
fuente
Gran respuesta, gracias. Pero solo haga un seguimiento: no soy miembro de ningún grupo en mi sistema, pero aún puedo usar todo el hardware (como el video). Estoy confundido sobre por qué existen si todavía puedo trabajar sin ellos.
Scaine
Deberá sudo apt-get install aclejecutar ese segundo comando (getfacl). Gracias por la aclaración.
Scaine
2

En general, el concepto de separación grupal se relaciona con esto:

http://en.wikipedia.org/wiki/Principle_of_least_privilege

Parece tonto tener todos esos grupos hasta que te das cuenta de que la alternativa sería un único nivel común de alto privilegio (ej. Sudo / root) que sería una pesadilla de seguridad.

La mayoría de los grupos que se muestran en su publicación existen para que varias partes del sistema operativo puedan acceder a la funcionalidad común con la menor cantidad de privilegios. El usuario no debería tener que preocuparse demasiado por esto. Durante algunas tareas administrativas, es posible que necesite aumentar sus privilegios para acceder a alguna funcionalidad y esto generalmente se hace usando sudo para tareas cortas de una sola vez y agregándose a un grupo específico para tareas repetitivas.

usuario10804
fuente