Пользователи и Административное средство Групп - Что делает опции на вкладке User Privileges Расширенных настроек, делают?

После некоторого исследования я ответил на свой собственный вопрос... Сообщение Иллинойса здесь для ссылки, может помочь людям с подобным вопросом в будущем:

Я загрузил и изучил исходный код от gnome-system-utils пакет. Само приложение users-admin. И короткий ответ:

Да, эта вкладка только о добавлении и удалении пользователя от определенных групп.

Длинный ответ:

Существуют некоторые проверки, например, при удалении пользователя из группы admin, которая инициировала предупреждение о том, если пользователь является единственным администратором в системе и препятствует отменить это полномочие. Но в основном каждое "полномочие" в списке является просто псевдонимом для группы. Это имеет смысл, так как безопасность и полномочия в Linux тесно связываются с пользователем, принадлежащим (или не) определенным группам.

Но не каждая группа представлен в списке Полномочий, только некоторых. И хотите верьте, хотите нет, список трудно кодируется! Группы и строки описания!

Ниже список от всех групп, представленных в списке полномочий, с Linux Mint 10 (= Индивидуалист Ubuntu 10.10 в этом смысле). Имена групп и описания, показанные в списке, взяты непосредственно от исходного кода, файла src/users/privileges_list.c. Объяснение о некоторых из них (когда усмотрение не очевидно) взято из этого (немного устаревшего) блога и /usr/share/doc/base-passwd/users-and-groups.html (определенно устаревший)

• adm - Журналы системы контроля. Группа adm используется для задач системного мониторинга. Члены этой группы могут считать много файлов журнала в/var/log и могут использовать xconsole. Исторически,/var/log был/usr/adm (и позже/var/adm), таким образом имя группы.Помощь: Возможно, политика должна формулировать цель этой группы, таким образом, пользователи могут быть безопасно добавлены к ней в уверенности, что все, что они смогут сделать, читается журналы. Не повредил бы переименовывать его, 'регистрируются' также...

• admin - Администрируйте систему. Позволяет участникам управлять административными функциями в системе, такими как добавляющие программы и новые учетные записи пользователей (другими словами, это - группа, которая позволяет пользователю использовать sudo команда). ОБНОВЛЕНИЕ: из Ubuntu 12.04 вперед, называют соответствующую группу sudo

• audio - Используйте аудиоустройства

• cdrom - Используйте дисководы для компакт-дисков
• cdwrite - CD записи / DVD

• dialout - Используйте модемы. Полный и прямой доступ к последовательным портам. Члены этой группы могут реконфигурировать модем, набор где угодно, и т.д.

• dip - Соединитесь с Интернетом с помощью модема. Имя группы обозначает "Коммутируемый IP". Быть в падении группы позволяет Вам использовать инструменты, такие как pppd, PON и poff для создания коммутируемых соединений с другими системами с помощью предопределенного конфигурационного файла (файлов) в/etc/ppp/peers каталоге.

• fax - Отправьте и получите факсы

• floppy - Используйте дисководы для гибких дисков

• fuse - Смонтируйте файловые системы пространства пользователя (FUSE). Позволяет участникам использовать файловую систему FUSE для монтирования съемных носителей в их домашней папке без административных привилегий

• lpadmin - Настройте принтеры. Позволяет пользователю добавлять, изменять, и удалять принтеры из foomatic, чашек и возможно других баз данных принтера.

• netdev - Соединитесь с беспроводными сетями и сетями Ethernet. Специальная группа используется услугами по внутренней связи

• plugdev - Внешние устройства хранения доступа автоматически. Члены этой группы могут получить доступ к съемным устройствам ограниченными способами без явной конфигурации в/etc/fstab. Это полезно для локальных пользователей, которые ожидают мочь вставить и использовать CD, Карты памяти, и так далее. С тех пор pmount (исходный конструктор группы plugdev) всегда монтируется с nodev и nosuid опциями и применяет другие проверки, эта группа не предназначается, чтобы быть корневой эквивалентной в способах, которыми могла бы обычно позволять способность смонтировать файловые системы. Конструкторы семантики, вовлекающей эту группу, должны бояться позволять корневую эквивалентность.

• powerdev - Приостановите и будьте в спящем режиме компьютер

• proc - Доступ/proc файловая система
• scanner - Используйте сканеры
• tape - Используйте ленточные накопители
• usb - Используйте USB-устройства
• vboxusers - Используйте решение для виртуализации VirtualBox
• video - Используйте видеоустройства
• wheel - Смогите получить права администратора
• sambashare - Совместно используйте файлы с локальной сетью

Полномочие только перечислено, если его соответствующая группа существует в системе. Таким образом, следующее не показывает здесь начиная с Ubuntu не создают их по умолчанию: cdwrite, powerdev , proc, scanner, usb, video и wheel.

Группы vboxusers (и возможно sambashare) только создаются, когда Вы устанавливаете то программное обеспечение, производя ложное впечатление, что этот список настраивается и не трудно кодированный.

Это довольно странно, так как я могу использовать свое Устройство записи CD/DVD, USB-порты, Быть в спящем режиме, Аудио и Видео очень хорошо. Возможно, это устаревшие группы от Debian, не используемого Ubuntu? Ну, затем что лента делает там?

Обновление: Video группы кажутся связанными с использованием драйвера кадрового буфера для прямого видео доступа и графических режимов. Как оказалось, некорневым пользователям не разрешают использовать видео графику, X-сервер Xorg, и Настольная среда, такая как Gnome/Unity/KDE, использует X-сервер. По сути, /usr/bin/X setuid как корень.

Я предполагаю, что это является похожим с usb, cdrom и другие блочные устройства: обычный пользователь может только косвенно получить доступ к тем устройствам, настроенным через udev.