So che alcuni definiscono le autorizzazioni sul file system (come www-data). Ma non capisco perché a questa domanda sia stata data risposta con successo aggiungendo un utente al gruppo "Video".
Quindi la domanda è principalmente cosa fanno tutti i gruppi predefiniti in Ubuntu? Più ragionevolmente, dato che ce ne sono così tanti, quali gruppi "speciali" esistono e come o quando dovrebbero essere usati?
Risposte:
Alcuni gruppi consentono l'accesso a file o directory, ad esempio: www-dataconsentono l'accesso ai file Web o al admgruppo in cui leggere i file /var/log. Questo è l'uso banale.
Ma alcuni gruppi consentono l'accesso a determinati dispositivi. Ad esempio il dialoutgruppo consente l'accesso alle porte seriali tramite file in /dev:
$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1
Quindi, se siete membro del dialoutgruppo è possibile utilizzare le porte seriali con la lettura e la scrittura al file del dispositivo: echo "Hello world" > /dev/ttyS0. Il videogruppo consente l'accesso all'hardware video.
Per la descrizione di ciascun gruppo, leggi il file: /usr/share/doc/base-passwd/users-and-groups.html
EDIT sul primo commento:
In effetti, di solito non è necessario far parte di questi gruppi per "accedere" alle risorse hardware, dal punto di vista dell'utente. La pratica comune è quella di avere un demone / server che lo gestisce, essendo membro del gruppo più restrittivo, consentendo quindi l'accesso al demone / server.
Nel tuo caso, essere membro del videogruppo consente l'accesso diretto all'hardware grafico, non attraverso il server X. Di solito su desktop / laptop è bello avere accesso diretto all'hardware grafico ( glxinfo | grep "direct rendering").
Nota a margine, se si dispone del rendering diretto ma non si è membri del videogruppo ( id | grep --color video), è stato consentito l'accesso all'hardware da un acl del /devfile ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME).
sudo apt-get install acleseguire quel secondo comando (getfacl). Grazie per il chiarimento.
In generale il concetto di separazione di gruppo si riferisce a questo:
http://en.wikipedia.org/wiki/Principle_of_least_privilege
Sembra sciocco avere tutti quei gruppi fino a quando non ti rendi conto che l'alternativa sarebbe un unico livello comune di alto privilegio (es. Sudo / root) che sarebbe un incubo per la sicurezza.
La maggior parte dei gruppi mostrati nel tuo post esiste in modo che vari pezzi del sistema operativo possano accedere a funzionalità comuni con il minor numero di privilegi. L'utente non dovrebbe preoccuparsi troppo di questo. Durante alcune attività amministrative potrebbe essere necessario aumentare i tuoi privilegi per accedere ad alcune funzionalità e questo di solito viene fatto usando sudo per brevi compiti una volta e aggiungendoti a un gruppo specifico per compiti ripetitivi.