В Вікі GUTL Я знайшов дуже корисну статтю, де пояснюється значення кожної групи та користувача в системі Debian (y GNU / Linux зазвичай).
Щоб дати новим користувачам трохи розуміння цього, групи дозволяють (між іншим) що користувачі, зареєстровані в системі, можуть виконувати певні завдання відповідно до ролі групи. Я поясню це в іншій статті 😀
Ми можемо бачити їх згрупованими в наступній таблиці:
| Група | Функція / Спостереження |
|---|---|
| корінь | Суперкористувач: повний доступ до системи. Зазвичай лише користувач root вона повинна належати до цієї групи. |
| adm | Моніторинг системних завдань. Давайте використовувати xconsole і читати файли з /var/log без використання команд su o sudo. Зазвичай для адміністраторів. Назва групи походить від /var/log спочатку це було /usr/adm і пізніше /var/adm |
| аудіо | Дозволяє доступ до аудіопристроїв. |
| резервна копія | Дозвольте зберігати та відновлювати, не надаючи користувацьким правам root. |
| Бен | Представлений з міркувань сумісності із застарілими програмами. Нові програми не повинні використовувати цю групу. |
| CD-ROM | Дозволяє доступ до оптичного приводу. |
| демон | Послуги, які потрібно записати на диск. З міркувань безпеки бажано, щоб кожна служба мала власну групу. |
| діалогове вікно | Прямий доступ до послідовних портів. Члени цієї групи можуть переналаштувати модем, набрати номер де завгодно тощо. |
| занурити | Дозволяє використовувати такі інструменти, як pppd, pon y poff для встановлення з'єднань з іншими системами, використовуючи попередньо визначені конфігураційні файли в каталозі /etc/ppp/peers. Назва групи означає "IP комутований доступ". |
| диск | Доступ directo до дисків. Практично еквівалентний вашому доступу root на дисках. Користувач зазвичай не повинен належати до цієї групи, або він може зробити щось не так, як cat /dev/zero > /dev/sda. |
| факс | Дозволяє надсилати або отримувати факси. |
| дискета | Дозволяє доступ до дискети. |
| ігри | Використовується деякими іграми для збереження балів. |
| gdm | Використовується GDM (Gnome Display Manager). |
| комари | Використаний gnats. |
| халдемон | Використовується апаратним шаром абстракції. |
| зупинка | Увійдіть, щоб вимкнути систему. |
| IRC | Використовується службами IRC. (Через помилку потрібен статичний користувач ircd) |
| журнал | Використаний klogd, журнал ядра. |
| кмем | Для програм, яким потрібен прямий доступ для читання до системної пам'яті. Ця група вміє читати /dev/kmem та інші подібні файли. Це практично реліквія БСД. |
| список | Для управління списками розсилки. Деякі програми цього типу також використовують користувача з однаковим іменем. |
| lp | Прямий доступ до паралельного порту. Ця група традиційно використовується друкарськими службами. |
| lpadmin | Дозволяє додавати, змінювати та видаляти принтери з foomatic, чашок та, можливо, інших баз даних принтерів. |
| пошта | Написання в /var/mail. Використовується MTA та MUA. |
| майордом | Історично використовувався Майордомо. Він не встановлюється на нові системи. |
| людина | Іноді використовується програмою man писати в /var/cache/man. |
| шина повідомлень | Використовується службою dbus (dbus-daemon-l) |
| новини | Запис у папки новин. Використовується службами та іншими новинними програмами (протокол nntp). |
| nogroup | Використовується службами, які не потребують права власності на файли. Зазвичай поєднується з користувачем nobody. |
| оператор | Існує з історичних причин лише для повідомлення операторів, що увійшли в систему. Для збільшення привілеїв переважно використовувати утиліту sudo. |
| plugdev | Дозволяє доступ до знімних пристроїв, навіть якщо вони не налаштовані в /etc/fstab. Корисно для місцевих користувачів, яким потрібно вставити USB-накопичувачі тощо. Використовується програмою pmount (яка завжди монтує знімні пристрої з опціями nodev y nosuid). |
| постфікс | Використовується MTA Postfix. |
| постгреси | Управління базами даних PosgreSQL. Зазвичай використовується лише користувачем postgres |
| повноваження | Для служб (як правило, проксі-сервісів), які не мають спеціальних ідентифікаторів користувачів і мають володіти файлами. Зазвичай використовується squid y pdnsd. |
| зцілити | Додав sane-utils. Здається, мало використовується. |
| sasl | Дозволяє писати /etc/sasldb г / о /etc/sasldb2, які використовуються для автентифікації sasl. Зазвичай використовується для автентифікації сервера IMAP, POPІ SMTP. |
| сканер | Дозволяє використовувати сканери. |
| тінь | Дозволяє читати /etc/shadow. Використовується деякими програмами, яким потрібно отримати доступ до цього файлу. |
| вимикання | Увійдіть, щоб вимкнути систему. |
| SRC | Власник вихідного коду, включаючи файли /usr/src. Він може бути використаний для надання користувачеві можливості керувати вихідним кодом. |
| SSH | Щоб запобігти атакам від ptrace. Використовується ssh-агентом. |
| персонал | Давайте працювати над /usr/local, /var/local y /home. Зазвичай для довірених адміністраторів. |
| Суду | Учасникам цієї групи не потрібно вводити свої паролі під час використання sudo. Подивитися /usr/share/doc/sudo/OPTIONS. |
| синхронізувати | Увійдіть для синхронізації системи. Зазвичай використовується синхронізацією користувача (з оболонкою /bin/sync) |
| системний | Присутні з міркувань сумісності. |
| системний журнал | Використаний syslog, блог загального призначення. |
| стрічка | Дозволяє доступ до магнітофона. |
| tty | Використаний write y wall щоб написати tty інших користувачів. Пристрої tty y /dev/vcs належать до цієї групи. |
| вийти | Використовується підсистемою UUCP. |
| користувачі | Групувати нових користувачів. Див. Примітку в кінці цієї статті. |
| utmp | Давайте напишемо /var/run/utmp, /var/log/lastlogта подібні файли. Використовується деякими емуляторами терміналів. |
| відео | Дозволяє доступ до відеопристроїв. |
| голос | Голосова пошта. Корисно для систем, які використовують модеми як автовідповідачі. |
| колесо | Давайте використаємо команду su. Вимкнено за замовчуванням (див /etc/pam.d/su докладніше, а також розділ 9.2.2 у посиланні на Debian). |
| www-data | Для запису даних веб-серверами. Користувач www-data це не повинен бути він власника веб-вмісту, або скомпрометований сервер дозволить переписати веб-сайт. |
??? вибачте, але я все ще неосвічений
Чи можете ви дати мені посилання, де я можу проілюструвати себе на такі технологічні теми, будь ласка?
Краще оновіть допис і поясніть трохи про те, що відбувається
Дякую за інформацію, яка дуже корисна, я її вже надрукував і подав від руки для консультації.
Я збираю цемент, щоб зробити вам пам'ятник ... спасибі.
Ха, я не знаю, чи це для пам’ятника, але це одна з багатьох речей, про яку я довго питав себе, і з x причин я ніколи не знайшов часу, щоб дізнатись, дуже корисна інформація.
Дякую Елав 😉
Чудово, це як друк.
Кілька місяців тому я був як божевільний, що потребував чогось такого.
Відмінна стаття. Рідко ви читаєте таку з такою корисною інформацією. Дуже дякую.
привіт це може бути трохи махінкою вище
Привіт. Я створюю нового користувача, і мені потрібно знати, чи правильні параметри, які я перевіряю: adm, cdrom, dip, games, lpadmin, nopasswdlogin, plugdev, sambashare.
Я хочу, щоб користувач міг робити все, що робить адміністратор, але без "sudo". Більше того, пароля немає, тобто він входить автоматично, не вводячи пароль.
Враховуючи, що я це роблю вперше, чи так це нормально чи я щось змінюю?
Заранее спасибо!