Apa yang dilakukan grup di “Pengguna dan Grup”?

13

Saya tahu bahwa beberapa menetapkan izin pada sistem file (seperti www-data). Tetapi saya tidak mengerti mengapa pertanyaan ini dijawab dengan sukses dengan menambahkan pengguna ke grup "Video".

Jadi pertanyaannya adalah terutama apa yang dilakukan semua grup pra-bangun di Ubuntu? Lebih masuk akal, karena ada begitu banyak kelompok "khusus" apa yang ada dan bagaimana atau kapan mereka harus digunakan?

masukkan deskripsi gambar di sini

permissions user-management Scaine
sumber

Jawaban:

8

Beberapa grup memungkinkan akses ke file atau direktori, misalnya: www-datamemungkinkan akses ke file web atau admgrup untuk membaca file /var/log. Ini adalah penggunaan sepele.

Tetapi beberapa kelompok memungkinkan akses ke perangkat tertentu. Misalnya dialoutgrup ini memungkinkan akses ke port serial melalui file di /dev:

$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1

Jadi jika Anda adalah anggota dari dialoutkelompok Anda dapat menggunakan port serial dengan membaca dan menulis ke file perangkat: echo "Hello world" > /dev/ttyS0. The videokelompok memungkinkan akses ke perangkat keras video.

Untuk deskripsi masing-masing grup, baca file: /usr/share/doc/base-passwd/users-and-groups.html

Sunting tentang komentar pertama:

Bahkan, biasanya Anda tidak harus berada dalam grup tersebut untuk "mengakses" sumber daya perangkat keras, dari sudut pandang pengguna. Praktik yang umum adalah memiliki daemon / server yang mengelolanya, menjadi anggota grup yang paling ketat, kemudian memungkinkan Anda mengakses daemon / server.

Untuk kasus Anda, menjadi anggota videogrup memungkinkan akses langsung ke perangkat keras grafis, bukan melalui server X. Biasanya pada komputer desktop / laptop itu bagus untuk memiliki akses langsung ke perangkat keras grafis ( glxinfo | grep "direct rendering").

Catatan tambahan, jika Anda memiliki perenderan langsung tetapi Anda bukan anggota videogrup ( id | grep --color video), Anda diizinkan mengakses perangkat keras dengan satu acl dari /devfile ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME).

shellholic
sumber
Jawaban yang bagus, terima kasih. Tapi ikuti saja - Saya bukan anggota grup mana pun di sistem saya, tetapi saya masih bisa menggunakan semua perangkat keras (seperti video). Saya bingung mengapa mereka ada jika saya masih bisa bekerja tanpa mereka.
Scaine
Anda harus sudo apt-get install aclmenjalankan perintah kedua (getfacl). Terimakasih atas klarifikasinya.
Scaine
2

Secara umum konsep pemisahan kelompok berkaitan dengan ini:

http://en.wikipedia.org/wiki/Principle_of_least_privilege

Tampaknya konyol untuk memiliki semua kelompok itu sampai Anda menyadari bahwa alternatifnya adalah satu tingkat umum hak istimewa yang tinggi (mis. Sudo / root) yang akan menjadi mimpi buruk keamanan.

Sebagian besar grup yang ditampilkan di pos Anda ada sehingga berbagai bagian OS dapat mengakses fungsionalitas umum dengan jumlah hak istimewa yang paling sedikit. Pengguna seharusnya tidak perlu terlalu khawatir tentang ini. Selama beberapa tugas administratif Anda mungkin perlu meningkatkan privasi Anda untuk mengakses beberapa fungsionalitas dan ini biasanya dilakukan dengan menggunakan sudo untuk tugas-tugas satu kali pendek dan dengan menambahkan diri Anda ke grup tertentu untuk tugas yang berulang.

pengguna10804
sumber