Я знаю, що деякі визначають дозволи у файловій системі (наприклад, www-data). Але я не розумію, чому на це питання вдало відповіли , додавши користувача до групи "Відео".
Тож питання головним чином, що роблять всі попередньо побудовані групи в Ubuntu? Більш обґрунтовано, оскільки їх так багато, які "особливі" групи існують і як або коли їх використовувати?
Відповіді:
Деякі групи дозволяють отримати доступ до файлів чи каталогів, наприклад: www-dataдозволити доступ до веб-файлів або admгрупи для читання файлів у /var/log. Це тривіальне використання.
Але деякі групи дозволяють отримати доступ до певних пристроїв. Наприклад, dialoutгрупа дозволяє отримати доступ до послідовних портів через файли в /dev:
$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1
Так що якщо ви член dialoutгрупи можна використовувати послідовні порти, читання і запис в файл пристрою: echo "Hello world" > /dev/ttyS0. videoГрупа дозволяє отримати доступ до відео апаратурі.
Для опису кожної групи читайте файл: /usr/share/doc/base-passwd/users-and-groups.html
РЕДАКЦІЯ про перший коментар:
Насправді, як правило, вам не потрібно бути в цих групах, щоб "отримати доступ" до апаратних ресурсів з точки зору користувача. Поширена практика полягає в тому, щоб демон / сервер керував ним, був членом найбільш обмежувальної групи, а потім дозволяв вам отримати доступ до демона / сервера.
У вашому випадку, член videoгрупи дозволяє отримати прямий доступ до графічного обладнання, а не через X-сервер. Зазвичай на настільному / портативному комп'ютері приємно мати прямий доступ до графічного обладнання ( glxinfo | grep "direct rendering").
Бічна примітка, якщо у вас є пряме візуалізація, але ви не є членом videoгрупи ( id | grep --color video), вам було дозволено апаратний доступ через acl /devфайлу ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME).
sudo apt-get install aclзапустити цю другу команду (getfacl). Дякуємо за роз’яснення.
Загалом поняття роздільної групи стосується цього:
http://en.wikipedia.org/wiki/Principle_of_least_privilege
Дуже нерозумно мати всі ці групи, поки не зрозумієш, що альтернативою буде єдиний загальний рівень з високими привілеями (наприклад, sudo / root), який був би кошмаром безпеки.
Більшість груп, показаних у вашій публікації, існують так, що різні фрагменти ОС можуть отримати доступ до загальної функціональності з найменшою кількістю привілеїв. Користувач не повинен надто турбуватися про це. Під час деяких адміністративних завдань вам може знадобитися збільшити свої приватні особи, щоб отримати доступ до певної функціональності, і це зазвичай робиться за допомогою sudo для коротких одноразових завдань і шляхом додавання себе до певної групи для повторюваних завдань.