Bazılarının dosya sisteminde izinleri tanımladığını biliyorum (www-data gibi). Ancak "Video" grubuna bir kullanıcı ekleyerek bu sorunun neden başarıyla yanıtlandığını anlamıyorum .
Soru şu: esas olarak Ubuntu'da önceden oluşturulmuş tüm gruplar ne yapıyor? Daha mantıklı olarak, çok fazla olduğu için, hangi "özel" gruplar vardır ve bunlar nasıl veya ne zaman kullanılmalıdır?
Yanıtlar:
Bazı gruplar dosyalara veya dizinlere www-dataerişime izin verir, örneğin: web dosyalarına veya admgrubun içindeki dosyaları okumasına izin verir /var/log. Bu önemsiz kullanımdır.
Ancak bazı gruplar belirli cihazlara erişime izin verir. Örneğin, dialoutgrup şu durumlarda bulunan dosyalar aracılığıyla seri bağlantı noktalarına erişime izin verir /dev:
$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1
Eğer üye olan Yani eğer dialoutgruptan okumakta ve cihaz dosyasına yazarak seri bağlantı noktalarını kullanabilirsiniz: echo "Hello world" > /dev/ttyS0. videoGrup video donanımına erişim sağlar.
Her grubun açıklaması için dosyayı okuyun: /usr/share/doc/base-passwd/users-and-groups.html
İlk yorum hakkında DÜZENLE:
Aslında, bir donanım açısından donanım kaynaklarına "erişmek" için genellikle bu gruplarda olmanız gerekmez. Genel uygulama, onu yöneten bir daemon / server'a sahip olmak, en kısıtlayıcı grubun üyesi olmak ve daha sonra daemon / server'a erişmenizi sağlamaktır.
Sizin durumunuz için, videogrubun üyesi olmak , X sunucusu üzerinden değil, grafik donanımına doğrudan erişim sağlar. Genellikle masaüstü / dizüstü bilgisayarda grafik donanımına ( glxinfo | grep "direct rendering") doğrudan erişim olması güzeldir .
Yan not, doğrudan oluşturma işleminiz varsa ancak videogrubun ( id | grep --color video) üyesi değilseniz, /devdosyanın ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME) bir acl'si tarafından donanım erişimine izin verildi .
sudo apt-get install aclikinci komutu (getfacl) çalıştırmanız gerekir . Açıklama için teşekkürler.
Genel olarak grup ayrımı kavramı bununla ilgilidir:
http://en.wikipedia.org/wiki/Principle_of_least_privilege
Alternatifin bir güvenlik kabusu olacağı tek bir ortak yüksek ayrıcalık düzeyi (ör. Sudo / root) olacağını anlayana kadar bu grupların hepsine sahip olmak aptalca görünmektedir.
Yayınınızda gösterilen grupların çoğu, işletim sisteminin çeşitli parçalarının en az ayrıcalıkla ortak işlevselliğe erişebilmesi için vardır. Kullanıcının bu konuda fazla endişelenmesine gerek kalmamalıdır. Bazı yönetim görevleri sırasında, bazı işlevlere erişmek için özel bilgilerinizi yükseltmeniz gerekebilir ve bu genellikle kısa bir süreli görevler için sudo kullanılarak ve tekrarlanan görevler için belirli bir gruba eklenerek yapılır.