Некоторые группы разрешают доступ к файлам или каталогам, например: www-data
разрешают доступ к веб-файлам или adm
группе для чтения файлов /var/log
. Это тривиальное использование.
Но некоторые группы разрешают доступ к определенным устройствам. Например, dialout
группа разрешает доступ к последовательным портам через файлы в /dev
:
$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1
Так что если вы член dialout
группы можно использовать последовательные порты, чтение и запись в файл устройства: echo "Hello world" > /dev/ttyS0
. video
Группа позволяет получить доступ к видео аппаратуре.
Для описания каждой группы прочитайте файл: /usr/share/doc/base-passwd/users-and-groups.html
РЕДАКТИРОВАТЬ о первом комментарии:
На самом деле, обычно вам не нужно быть в этих группах для «доступа» к аппаратным ресурсам с точки зрения пользователя. Обычная практика заключается в том, чтобы демон / сервер управлял им, являясь членом наиболее строгой группы, а затем предоставлял вам доступ к демону / серверу.
В вашем случае членство в video
группе обеспечивает прямой доступ к графическому оборудованию, а не через X-сервер. Обычно на настольном компьютере / ноутбуке приятно иметь прямой доступ к графическому оборудованию ( glxinfo | grep "direct rendering"
).
Примечание: если у вас есть прямой рендеринг, но вы не являетесь членом video
группы ( id | grep --color video
), вам был разрешен аппаратный доступ с помощью acl /dev
файла ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME
).
sudo apt-get install acl
запустить эту вторую команду (getfacl). Благодарю за разъяснение.В целом понятие группового разделения относится к этому:
http://en.wikipedia.org/wiki/Principle_of_least_privilege
Все эти группы кажутся глупыми, пока вы не поймете, что альтернативой будет единый общий уровень высоких привилегий (например, sudo / root), который станет кошмаром безопасности.
Большинство групп, показанных в вашем посте, существуют, так что различные части ОС могут получить доступ к общим функциям с наименьшим количеством привилегий. Пользователь не должен беспокоиться об этом слишком сильно. Во время выполнения некоторых административных задач вам может потребоваться обновить права доступа для доступа к некоторым функциям, и обычно это делается с помощью sudo для коротких одноразовых задач и добавления себя в определенную группу для повторяющихся задач.
источник