En la Wiki de GUTL me he encontrado un artículo muy útil donde se explica el significado de cada grupo y usuario en el sistema para Debian (y GNU/Linux en general).
Para que los usuarios nuevos entiendan un poco esto, los grupos permiten (entre otras cosas) que los usuarios registrado en el sistema, puedan realizar tareas determinadas según la función del grupo. Esto lo explicaré en otro artículo 😀
Los podemos apreciar agrupados en la siguiente tabla:
| Grupo | Función / Observaciones |
|---|---|
| root | Superusuario: acceso pleno al sistema. Normalmente solo el usuario root debería pertenecer a este grupo. |
| adm | Monitoreo de tareas del sistema. Permite utilizar xconsole y leer archivos de /var/log sin tener que utilizar los comandos su o sudo. Usualmente para administradores. El nombre del grupo proviene de que /var/log inicialmente fue /usr/adm y posteriormente /var/adm |
| audio | Permite el acceso a los dispositivos de audio. |
| backup | Permitir realizar salvas y restauras sin otorgar a un usuario premisos de root. |
| bin | Presente por motivos de compatibilidad con aplicaciones obsoletas. Las nuevas aplicaciones no deben utilizar este grupo. |
| cdrom | Permite el acceso a una unidad óptica. |
| daemon | Servicios que necesitan escribir en el disco. Por motivos de seguridad, es preferible que cada servicio tenga su propio grupo. |
| dialout | Acceso directo a los puertos de serie. Los miembros de este grupo pueden reconfigurar el modem, marcar a cualquier parte, etc. |
| dip | Permite utilizar herramientas como pppd, pon y poff para realizar conexiones con otros sistemas, utilizando los archivos de configuración predefinidos en el directorio /etc/ppp/peers. El nombre del grupo signigica “Dialup IP”. |
| disk | Acceso directo a los discos. Prácticamente equivalente al acceso que tiene root sobre los discos. Un usuario normalmente no debería pertenecer a este grupo, o podría hacer algo indebido como cat /dev/zero > /dev/sda. |
| fax | Permite enviar o recibir faxes. |
| floppy | Permite el acceso a una unidad de disquetes. |
| games | Utilizado por algunos juegos para guardar las puntuaciones. |
| gdm | Utilizado por GDM (Gnome Display Manager). |
| gnats | Utilizado por gnats. |
| haldaemon | Utilizado por la capa de abstracción de hardware. |
| halt | Permite iniciar sesión para apagar el sistema. |
| irc | Utilizado por los servicios IRC. (Se requiere un usuario estático por un bug en ircd) |
| klog | Utilizado por klogd, la bitácora del kernel. |
| kmem | Para programas que necesitan acceso directo de lectura de la memoria del sistema. Este grupo puede leer /dev/kmem y otros archivos similares. Es prácticamente una reliquia de BSD. |
| list | Para gestión de listas de correo. Algunos programas de este tipo también utilizan un usuario con el mismo nombre. |
| lp | Acceso directo al puerto paralelo. Tradicionalmente utilizan este grupo los servicios de impresión. |
| lpadmin | Permite agregar, modificar y quitar impresoras de foomatic, cups y posiblemente otras bases de datos de impresoras. |
Escritura en /var/mail. Utilizado por los MTA y MUA. |
|
| majordom | Utilizado históricamente por Majordomo. No se instala en nuevos sistemas. |
| man | Utilizado a veces por el programa man para escribir en /var/cache/man. |
| messagebus | Utilizado por el servicio dbus (dbus-daemon-l) |
| news | Escritura en las carpetas de noticias. Utilizado por servicios y otros programas de noticias (protocolo nntp). |
| nogroup | Utilizado por servicios que no requieren ser propietarios de ningún archivo. Típicamente combinado con el usuario nobody. |
| operator | Existente solo por motivos históricos para notificar a los operadores que han iniciado sesión. Para aumentar los privilegios es preferible utilizar la utilidad sudo. |
| plugdev | Permite el acceso a los dispositivos extraíbles aunque no estén configurados en /etc/fstab. Útil para usarios locales que necesitan insertar memorias USB, etc. Utilizado por el programa pmount (que siempre monta los dispositivos extraíbles con las opciones nodev y nosuid). |
| postfix | Utilizado por el MTA Postfix. |
| postgres | Gestión de las bases de datos de PosgreSQL. Usualmente solo utilizado por el usuario postgres |
| proxy | Para servicios (usualmente servicios proxy) que no tienen id de usuario dedicadas y necesitan ser propietarios de archivos. Usualmente utilizado por squid y pdnsd. |
| saned | Añadido por sane-utils. Parece ser poco utilizado. |
| sasl | Permite la escritura en /etc/sasldb y/o /etc/sasldb2, que se utilizan para la autentificación con sasl. Usualmente utilizado para autentificación por servidores IMAP, POP, y SMTP. |
| scanner | Permite utilizar scanners. |
| shadow | Permite la lectura de /etc/shadow. Utilizado por algunos programas que necesitan acceder a este archivo. |
| shutdown | Permite iniciar sesión para apagar el sistema. |
| src | Propietario del código fuente, incluyendo los archivos de /usr/src. Puede utilizarse para ofrecerla a un usuario la capacidad de gestionar el código fuente. |
| ssh | Para prevenir ataques de ptrace. Utilizado por ssh-agent. |
| staff | Permite trabajar en /usr/local, /var/local y /home. Usualmente para administradores de confianza. |
| sudo | Los miembros de este grupo no necesitan escribir sus contraseñas al utilizar sudo. Ver /usr/share/doc/sudo/OPTIONS. |
| sync | Permite iniciar sesión para sincronizar el sistema. Usualmente utilizado por el usuario sync (con shell /bin/sync) |
| sys | Presente por motivos de compatibilidad. |
| syslog | Utilizado por syslog, la bitácora de propósito general. |
| tape | Permite el acceso a una unidad de cinta. |
| tty | Utilizado por write y wall para escribir en las tty de otros usuarios. Los dispositivos tty y /dev/vcs pertenecen a este grupo. |
| uucp | Utilizado por el subsistema UUCP. |
| users | Para agrupar nuevos usuarios. Ver la nota al final de este artículo. |
| utmp | Permite escribir en /var/run/utmp, /var/log/lastlog, y archivos similares. Utilizado por algunos emuladores de terminales. |
| video | Permite acceder a dispositivos de video. |
| voice | Voicemail. Util para sistemas que utilizan modems como contestadoras. |
| wheel | Permite utilizar el comando su. Deshabilitado por defecto (ver /etc/pam.d/su para más detalles, así como la Sección 9.2.2 en la referencia de Debian). |
| www-data | Para escritura de datos por servidores web. El usuario www-data no debería ser el propietario del contenido web, o un servidor comprometido permitiría reescribir un sitio web. |
??? sorry pero soy aun un inculto
me das un link donde pueda ilustrarme de tan tecnologicos temas, por favor?
Mejor actualizo el post y explico un poco de que va la cosa 😀
Gracias por el dato es muy útil, ya lo imprimí y lo puse a mano para consulta.
estoy juntando cemento para hacerte un monumento… gracias.
Ja, no se si para un monumento, pero esa es una de las tantas cosas que me preguntaba hace tiempo y que por x razones nunca me di el tiempo para averiguarlas, muy útil información.
Gracias Elav 😉
Buenísimo, está como para imprimir.
Hace unos meses estuve como loco necesitando algo así.
Excelente artículo. Pocas veces se lee alguno con información tan util. Muchas gracias.
hola puede ser un poco machica lo de arriba
Hola. Estoy creando un usuario nuevo y necesito saber si las opciones que marque son las correctas: adm, cdrom, dip, games, lpadmin, nopasswdlogin, plugdev, sambashare.
Lo que pretendo es que el usuario pueda hacer todo lo que hace el administrador pero sin «sudo». Es mas, ni contraseña tiene, es decir entra automáticamente sin poner una contraseña.
Teniendo en cuenta que es la primera vez que lo hago ¿Está bien así o cambio algo?
Gracias de antemano!