ฉันรู้ว่าบางคนกำหนดสิทธิ์ในระบบไฟล์ (เช่น www-data) แต่ฉันไม่เข้าใจว่าทำไมตอบคำถามนี้สำเร็จโดยการเพิ่มผู้ใช้ในกลุ่ม "วิดีโอ"
ดังนั้นคำถามก็คือกลุ่มที่สร้างไว้ล่วงหน้าทั้งหมดจะทำอะไรใน Ubuntu มีเหตุผลมากขึ้นเนื่องจากมีจำนวนมากจึงมีกลุ่ม "พิเศษ" อยู่และควรใช้กลุ่มใด?
คำตอบ:
บางกลุ่มให้สามารถเข้าถึงไฟล์หรือไดเรกทอรีสำหรับตัวอย่าง: www-dataช่วยให้เข้าถึงไฟล์เว็บหรือกลุ่มการอ่านไฟล์ในadm /var/logนี่คือการใช้งานเล็กน้อย
แต่บางกลุ่มอนุญาตให้เข้าถึงอุปกรณ์บางอย่าง ตัวอย่างเช่นdialoutกลุ่มอนุญาตให้เข้าถึงพอร์ตอนุกรมผ่านไฟล์ใน/dev:
$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1
ดังนั้นถ้าคุณเป็นสมาชิกของกลุ่มที่คุณสามารถใช้พอร์ตอนุกรมโดยการอ่านและการเขียนไปยังแฟ้มอุปกรณ์:dialout กลุ่มช่วยให้การเข้าถึงฮาร์ดแวร์วิดีโอecho "Hello world" > /dev/ttyS0video
สำหรับคำอธิบายของแต่ละกลุ่มอ่านไฟล์: /usr/share/doc/base-passwd/users-and-groups.html
แก้ไขเกี่ยวกับความคิดเห็นแรก:
ที่จริงแล้วคุณไม่จำเป็นต้องอยู่ในกลุ่มเหล่านั้นเพื่อ "เข้าถึง" ทรัพยากรฮาร์ดแวร์จากมุมมองของผู้ใช้ การปฏิบัติทั่วไปคือการให้ daemon / เซิร์ฟเวอร์จัดการมันเป็นสมาชิกของกลุ่มที่เข้มงวดที่สุดจากนั้นอนุญาตให้คุณเข้าถึง daemon / เซิร์ฟเวอร์
สำหรับกรณีของคุณการเป็นสมาชิกของvideoกลุ่มจะอนุญาตให้เข้าถึงฮาร์ดแวร์กราฟิกโดยตรงไม่ใช่ผ่านเซิร์ฟเวอร์ X โดยปกติแล้วบนเดสก์ท็อป / แล็ปท็อปมันเป็นการดีที่มีการเข้าถึงโดยตรงไปยังฮาร์ดแวร์กราฟิก ( glxinfo | grep "direct rendering")
หมายเหตุด้านข้างหากคุณมีการเรนเดอร์โดยตรง แต่คุณไม่ได้เป็นสมาชิกของvideoกลุ่ม ( id | grep --color video) คุณได้รับอนุญาตให้เข้าถึงฮาร์ดแวร์โดย acl ของ/devไฟล์ ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME)
sudo apt-get install aclเรียกใช้คำสั่งที่สองนั้น (getfacl) ขอขอบคุณสำหรับการชี้แจง.
โดยทั่วไปแล้วแนวคิดของการแยกกลุ่มเกี่ยวข้องกับสิ่งนี้:
http://en.wikipedia.org/wiki/Principle_of_least_privilege
ดูเหมือนว่าโง่ที่จะมีกลุ่มเหล่านั้นทั้งหมดจนกว่าคุณจะรู้ว่าทางเลือกนั้นจะเป็นสิทธิพิเศษระดับเดียว (เช่น sudo / root) ซึ่งเป็นฝันร้ายด้านความปลอดภัย
กลุ่มส่วนใหญ่ที่แสดงในโพสต์ของคุณมีอยู่เพื่อให้ส่วนต่าง ๆ ของระบบปฏิบัติการสามารถเข้าถึงฟังก์ชันการทำงานทั่วไปได้โดยมีสิทธิ์น้อยที่สุด ผู้ใช้ไม่ควรกังวลเกี่ยวกับเรื่องนี้มากเกินไป ในระหว่างงานบริหารบางอย่างคุณอาจต้องเพิ่มความเป็นส่วนตัวของคุณเพื่อเข้าถึงฟังก์ชั่นการใช้งานบางอย่างซึ่งโดยทั่วไปแล้วจะใช้ sudo สำหรับงานที่ทำครั้งเดียวสั้น ๆ