Significado de los grupos y usuarios en Debian GNU/Linux

En la Wiki de GUTL me he encontrado un artículo muy útil donde se explica el significado de cada grupo y usuario en el sistema para Debian (y GNU/Linux en general).

Para que los usuarios nuevos entiendan un poco esto, los grupos permiten (entre otras cosas) que los usuarios registrado en el sistema, puedan realizar tareas determinadas según la función del grupo. Esto lo explicaré en otro artículo 😀

Los podemos apreciar agrupados en la siguiente tabla:

Grupo Función / Observaciones
root Superusuario: acceso pleno al sistema. Normalmente solo el usuario root debería pertenecer a este grupo.
adm Monitoreo de tareas del sistema. Permite utilizar xconsole y leer archivos de /var/log sin tener que utilizar los comandos su o sudo. Usualmente para administradores. El nombre del grupo proviene de que /var/log inicialmente fue /usr/adm y posteriormente /var/adm
audio Permite el acceso a los dispositivos de audio.
backup Permitir realizar salvas y restauras sin otorgar a un usuario premisos de root.
bin Presente por motivos de compatibilidad con aplicaciones obsoletas. Las nuevas aplicaciones no deben utilizar este grupo.
cdrom Permite el acceso a una unidad óptica.
daemon Servicios que necesitan escribir en el disco. Por motivos de seguridad, es preferible que cada servicio tenga su propio grupo.
dialout Acceso directo a los puertos de serie. Los miembros de este grupo pueden reconfigurar el modem, marcar a cualquier parte, etc.
dip Permite utilizar herramientas como pppd, pon y poff para realizar conexiones con otros sistemas, utilizando los archivos de configuración predefinidos en el directorio /etc/ppp/peers. El nombre del grupo signigica “Dialup IP”.
disk Acceso directo a los discos. Prácticamente equivalente al acceso que tiene root sobre los discos. Un usuario normalmente no debería pertenecer a este grupo, o podría hacer algo indebido como cat /dev/zero > /dev/sda.
fax Permite enviar o recibir faxes.
floppy Permite el acceso a una unidad de disquetes.
games Utilizado por algunos juegos para guardar las puntuaciones.
gdm Utilizado por GDM (Gnome Display Manager).
gnats Utilizado por gnats.
haldaemon Utilizado por la capa de abstracción de hardware.
halt Permite iniciar sesión para apagar el sistema.
irc Utilizado por los servicios IRC. (Se requiere un usuario estático por un bug en ircd)
klog Utilizado por klogd, la bitácora del kernel.
kmem Para programas que necesitan acceso directo de lectura de la memoria del sistema. Este grupo puede leer /dev/kmem y otros archivos similares. Es prácticamente una reliquia de BSD.
list Para gestión de listas de correo. Algunos programas de este tipo también utilizan un usuario con el mismo nombre.
lp Acceso directo al puerto paralelo. Tradicionalmente utilizan este grupo los servicios de impresión.
lpadmin Permite agregar, modificar y quitar impresoras de foomatic, cups y posiblemente otras bases de datos de impresoras.
mail Escritura en /var/mail. Utilizado por los MTA y MUA.
majordom Utilizado históricamente por Majordomo. No se instala en nuevos sistemas.
man Utilizado a veces por el programa man para escribir en /var/cache/man.
messagebus Utilizado por el servicio dbus (dbus-daemon-l)
news Escritura en las carpetas de noticias. Utilizado por servicios y otros programas de noticias (protocolo nntp).
nogroup Utilizado por servicios que no requieren ser propietarios de ningún archivo. Típicamente combinado con el usuario nobody.
operator Existente solo por motivos históricos para notificar a los operadores que han iniciado sesión. Para aumentar los privilegios es preferible utilizar la utilidad sudo.
plugdev Permite el acceso a los dispositivos extraíbles aunque no estén configurados en /etc/fstab. Útil para usarios locales que necesitan insertar memorias USB, etc. Utilizado por el programa pmount (que siempre monta los dispositivos extraíbles con las opciones nodev y nosuid).
postfix Utilizado por el MTA Postfix.
postgres Gestión de las bases de datos de PosgreSQL. Usualmente solo utilizado por el usuario postgres
proxy Para servicios (usualmente servicios proxy) que no tienen id de usuario dedicadas y necesitan ser propietarios de archivos. Usualmente utilizado por squid y pdnsd.
saned Añadido por sane-utils. Parece ser poco utilizado.
sasl Permite la escritura en /etc/sasldb y/o /etc/sasldb2, que se utilizan para la autentificación con sasl. Usualmente utilizado para autentificación por servidores IMAP, POP, y SMTP.
scanner Permite utilizar scanners.
shadow Permite la lectura de /etc/shadow. Utilizado por algunos programas que necesitan acceder a este archivo.
shutdown Permite iniciar sesión para apagar el sistema.
src Propietario del código fuente, incluyendo los archivos de /usr/src. Puede utilizarse para ofrecerla a un usuario la capacidad de gestionar el código fuente.
ssh Para prevenir ataques de ptrace. Utilizado por ssh-agent.
staff Permite trabajar en /usr/local, /var/local y /home. Usualmente para administradores de confianza.
sudo Los miembros de este grupo no necesitan escribir sus contraseñas al utilizar sudo. Ver /usr/share/doc/sudo/OPTIONS.
sync Permite iniciar sesión para sincronizar el sistema. Usualmente utilizado por el usuario sync (con shell /bin/sync)
sys Presente por motivos de compatibilidad.
syslog Utilizado por syslog, la bitácora de propósito general.
tape Permite el acceso a una unidad de cinta.
tty Utilizado por write y wall para escribir en las tty de otros usuarios. Los dispositivos tty y /dev/vcs pertenecen a este grupo.
uucp Utilizado por el subsistema UUCP.
users Para agrupar nuevos usuarios. Ver la nota al final de este artículo.
utmp Permite escribir en /var/run/utmp, /var/log/lastlog, y archivos similares. Utilizado por algunos emuladores de terminales.
video Permite acceder a dispositivos de video.
voice Voicemail. Util para sistemas que utilizan modems como contestadoras.
wheel Permite utilizar el comando su. Deshabilitado por defecto (ver /etc/pam.d/su para más detalles, así como la Sección 9.2.2 en la referencia de Debian).
www-data Para escritura de datos por servidores web. El usuario www-data no debería ser el propietario del contenido web, o un servidor comprometido permitiría reescribir un sitio web.


10 comentarios

  1.   3ndriago dijo

    ??? sorry pero soy aun un inculto

  2.   3ndriago dijo

    me das un link donde pueda ilustrarme de tan tecnologicos temas, por favor?

    1.    elav <° Linux dijo

      Mejor actualizo el post y explico un poco de que va la cosa 😀

  3.   Oscar dijo

    Gracias por el dato es muy útil, ya lo imprimí y lo puse a mano para consulta.

  4.   moscosov dijo

    estoy juntando cemento para hacerte un monumento… gracias.

  5.   Lucas Matias dijo

    Ja, no se si para un monumento, pero esa es una de las tantas cosas que me preguntaba hace tiempo y que por x razones nunca me di el tiempo para averiguarlas, muy útil información.
    Gracias Elav 😉

  6.   Ares dijo

    Buenísimo, está como para imprimir.

    Hace unos meses estuve como loco necesitando algo así.

  7.   hexborg dijo

    Excelente artículo. Pocas veces se lee alguno con información tan util. Muchas gracias.

  8.   sol dijo

    hola puede ser un poco machica lo de arriba

  9.   Javier dijo

    Hola. Estoy creando un usuario nuevo y necesito saber si las opciones que marque son las correctas: adm, cdrom, dip, games, lpadmin, nopasswdlogin, plugdev, sambashare.

    Lo que pretendo es que el usuario pueda hacer todo lo que hace el administrador pero sin “sudo”. Es mas, ni contraseña tiene, es decir entra automáticamente sin poner una contraseña.

    Teniendo en cuenta que es la primera vez que lo hago ¿Está bien así o cambio algo?

    Gracias de antemano!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.