it-swarm.com.de

Was machen die Gruppen in "Benutzer und Gruppen"?

Ich weiß, dass einige Berechtigungen für das Dateisystem definieren (z. B. www-data). Aber ich verstehe nicht, warum diese Frage wurde erfolgreich beantwortet indem ein Benutzer zur Gruppe "Video" hinzugefügt wurde.

Die Frage ist also hauptsächlich, was alle vorgefertigten Gruppen in Ubuntu machen. Vernünftigerweise, da es so viele gibt, welche "speziellen" Gruppen gibt es und wie oder wann sollten sie verwendet werden?

enter image description here

13
Scaine

Einige Gruppen erlauben den Zugriff auf Dateien oder Verzeichnisse, zum Beispiel: der www-data erlaubt den Zugriff auf Webdateien oder die adm Gruppe, um Dateien in /var/log zu lesen. Dies ist die triviale Verwendung.

Einige Gruppen erlauben jedoch den Zugriff auf bestimmte Geräte. Beispielsweise ermöglicht die Gruppe dialout den Zugriff auf die seriellen Schnittstellen über Dateien in /dev:

$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1

Wenn Sie Mitglied der Gruppe dialout sind, können Sie die seriellen Schnittstellen verwenden, indem Sie die Gerätedatei lesen und in sie schreiben: echo "Hello world" > /dev/ttyS0. Die Gruppe video ermöglicht den Zugriff auf die Videohardware.

Die Beschreibung der einzelnen Gruppen finden Sie in der Datei: /usr/share/doc/base-passwd/users-and-groups.html

BEARBEITEN über ersten Kommentar:

Normalerweise müssen Sie nicht zu diesen Gruppen gehören, um aus Benutzersicht auf die Hardwareressourcen zuzugreifen. Es ist gängige Praxis, dass ein Dämon/Server ihn verwaltet, Mitglied der restriktivsten Gruppe ist und Ihnen dann Zugriff auf den Dämon/Server gewährt.

Wenn Sie Mitglied der Gruppe video sind, können Sie direkt auf die Grafikhardware zugreifen, nicht über den X-Server. Normalerweise ist es auf Desktop-/Laptop-Computern hilfreich, direkten Zugriff auf die Grafikhardware zu haben (glxinfo | grep "direct rendering").

Randnotiz: Wenn Sie direkt rendern, aber nicht Mitglied der Gruppe video (id | grep --color video) sind, wurde Ihnen der Hardwarezugriff durch einen ACL der Datei /dev (find /dev/ -group video -exec getfacl {} \; | grep $USERNAME).

6
shellholic

Im Allgemeinen bezieht sich das Konzept der Gruppentrennung auf Folgendes:

http://en.wikipedia.org/wiki/Principle_of_least_privilege

Es scheint albern, all diese Gruppen zu haben, bis Sie erkennen, dass die Alternative eine einzige gemeinsame Ebene von Hochprivilegien (z. B. Sudo/root) ist, die ein Sicherheitsalptraum wäre.

Die meisten der in Ihrem Beitrag gezeigten Gruppen sind vorhanden, sodass verschiedene Teile des Betriebssystems mit den geringsten Berechtigungen auf gemeinsame Funktionen zugreifen können. Der Benutzer sollte sich darüber keine allzu großen Sorgen machen müssen. Während einiger administrativer Aufgaben müssen Sie möglicherweise Ihre Privilegien erhöhen, um auf einige Funktionen zugreifen zu können. Dies geschieht normalerweise mit Sudo für kurze einmalige Aufgaben und indem Sie sich einer bestimmten Gruppe für sich wiederholende Aufgaben hinzufügen.

2
user10804