Beberapa grup memungkinkan akses ke file atau direktori, misalnya: www-data
memungkinkan akses ke file web atau adm
grup untuk membaca file /var/log
. Ini adalah penggunaan sepele.
Tetapi beberapa kelompok memungkinkan akses ke perangkat tertentu. Misalnya dialout
grup ini memungkinkan akses ke port serial melalui file di /dev
:
$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1
Jadi jika Anda adalah anggota dari dialout
kelompok Anda dapat menggunakan port serial dengan membaca dan menulis ke file perangkat: echo "Hello world" > /dev/ttyS0
. The video
kelompok memungkinkan akses ke perangkat keras video.
Untuk deskripsi masing-masing grup, baca file: /usr/share/doc/base-passwd/users-and-groups.html
Sunting tentang komentar pertama:
Bahkan, biasanya Anda tidak harus berada dalam grup tersebut untuk "mengakses" sumber daya perangkat keras, dari sudut pandang pengguna. Praktik yang umum adalah memiliki daemon / server yang mengelolanya, menjadi anggota grup yang paling ketat, kemudian memungkinkan Anda mengakses daemon / server.
Untuk kasus Anda, menjadi anggota video
grup memungkinkan akses langsung ke perangkat keras grafis, bukan melalui server X. Biasanya pada komputer desktop / laptop itu bagus untuk memiliki akses langsung ke perangkat keras grafis ( glxinfo | grep "direct rendering"
).
Catatan tambahan, jika Anda memiliki perenderan langsung tetapi Anda bukan anggota video
grup ( id | grep --color video
), Anda diizinkan mengakses perangkat keras dengan satu acl dari /dev
file ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME
).
sudo apt-get install acl
menjalankan perintah kedua (getfacl). Terimakasih atas klarifikasinya.Secara umum konsep pemisahan kelompok berkaitan dengan ini:
http://en.wikipedia.org/wiki/Principle_of_least_privilege
Tampaknya konyol untuk memiliki semua kelompok itu sampai Anda menyadari bahwa alternatifnya adalah satu tingkat umum hak istimewa yang tinggi (mis. Sudo / root) yang akan menjadi mimpi buruk keamanan.
Sebagian besar grup yang ditampilkan di pos Anda ada sehingga berbagai bagian OS dapat mengakses fungsionalitas umum dengan jumlah hak istimewa yang paling sedikit. Pengguna seharusnya tidak perlu terlalu khawatir tentang ini. Selama beberapa tugas administratif Anda mungkin perlu meningkatkan privasi Anda untuk mengakses beberapa fungsionalitas dan ini biasanya dilakukan dengan menggunakan sudo untuk tugas-tugas satu kali pendek dan dengan menambahkan diri Anda ke grup tertentu untuk tugas yang berulang.
sumber