Sé que algunos definen permisos en el sistema de archivos (como www-data). Pero no entiendo por qué esta pregunta fue respondida con éxito al agregar un usuario al grupo "Video".
Entonces, la pregunta es principalmente ¿qué hacen todos los grupos preconstruidos en Ubuntu? Más razonablemente, dado que hay tantos, ¿qué grupos "especiales" existen y cómo o cuándo deberían usarse?
Respuestas:
Algunos grupos permiten el acceso a archivos o directorios, por ejemplo: www-datapermiten el acceso a archivos web o al admgrupo para leer archivos /var/log. Este es el uso trivial.
Pero algunos grupos permiten el acceso a ciertos dispositivos. Por ejemplo, el dialoutgrupo permite el acceso a los puertos seriales a través de archivos en /dev:
$ find /dev -group dialout -exec ls -ld {} \;
crw-rw---- 1 root dialout 4, 64 Jan 19 12:51 /dev/ttyS0
crw-rw---- 1 root dialout 4, 67 Jan 19 12:51 /dev/ttyS3
crw-rw---- 1 root dialout 4, 66 Jan 19 12:51 /dev/ttyS2
crw-rw---- 1 root dialout 4, 65 Jan 19 12:51 /dev/ttyS1
Así que si usted es miembro del dialoutgrupo puede utilizar los puertos serie mediante la lectura y la escritura en el archivo de dispositivo: echo "Hello world" > /dev/ttyS0. El videogrupo permite el acceso al hardware de video.
Para la descripción de cada grupo, lea el archivo: /usr/share/doc/base-passwd/users-and-groups.html
EDITAR sobre el primer comentario:
De hecho, generalmente no tiene que estar en esos grupos para "acceder" a los recursos de hardware, desde el punto de vista del usuario. La práctica común es tener un demonio / servidor que lo administre, ser miembro del grupo más restrictivo y luego permitirle acceder al demonio / servidor.
Para su caso, ser miembro del videogrupo permite el acceso directo al hardware gráfico, no a través del servidor X. Por lo general, en una computadora de escritorio / portátil, es bueno tener acceso directo al hardware gráfico ( glxinfo | grep "direct rendering").
Nota al margen, si tiene representación directa pero no es miembro del videogrupo ( id | grep --color video), una acl del /devarchivo ( find /dev/ -group video -exec getfacl {} \; | grep $USERNAME) le permitió el acceso al hardware .
sudo apt-get install aclejecutar ese segundo comando (getfacl). Gracias por la aclaración.
En general, el concepto de separación grupal se relaciona con esto:
http://en.wikipedia.org/wiki/Principle_of_least_privilege
Parece tonto tener todos esos grupos hasta que te das cuenta de que la alternativa sería un único nivel común de alto privilegio (ej. Sudo / root) que sería una pesadilla de seguridad.
La mayoría de los grupos que se muestran en su publicación existen para que varias partes del sistema operativo puedan acceder a la funcionalidad común con la menor cantidad de privilegios. El usuario no debería tener que preocuparse demasiado por esto. Durante algunas tareas administrativas, es posible que necesite aumentar sus privilegios para acceder a alguna funcionalidad y esto generalmente se hace usando sudo para tareas cortas de una sola vez y agregándose a un grupo específico para tareas repetitivas.