Was macht jede der Standardgruppen auf dem Himbeer-Pi?

8

Ich muss einen eingeschränkteren Benutzer für den Himbeer-Pi erstellen. Ich kann mir vorstellen, was einige dieser Gruppen tun (cdrom, sudo, i2c, spi), aber was machen einige dieser anderen Gruppen (adm, dialout, pi)?

Hier ist die Liste auf meinem Pi Running Jesse Lite:

pi adm dialout cdrom sudo audio video plugdev spiele benutzer geben netdev gpio i2c spi ein

user173724
quelle

Antworten:

11

Ich habe ein wenig darüber nachgedacht und den Zweck für die meisten Benutzergruppen aufgespürt:

pi       User-specific group. A group is automatically created for 
         each new user; you can ignore this.
adm      Allows access to log files in /var/log and using xconsole
dialout  Allows access to serial ports/modem reconfiguration, etc.
cdrom    Uncreatively, this group enables access to optical drives.
sudo     Enables sudo access for the user.
audio    Allows access to audio devices like microphones and soundcards
video    Allows access to a video device like the framebuffer, the videocard or a webcam
plugdev  Enables access to external storage devices
games    Many games are SETGID to games so they can write their high score files. This is explained in policy.
users    Appears to be a Pi-specific group enabling access to 
         /opt/vc/src/hello_pi/ directory and contained files.
input    Appears to give access to the /dev/input/mice folder and nothing else.
netdev   Enables access to network interfaces
gpio     Pi-specific group for GPIO pin access.
i2c      Similar to the above, but for I2C access. 
         Generated after installing i2c-tools.
spi      Similar to the above, but for the SPI bus.

(Schamlos Cross-Posting von meinem Blog .)


Referenz: Debian Wiki .

Apnorton
quelle
Ich habe hier ein Problem untersucht, bei dem ein neuer Benutzer nicht ausgeführt werden konnte startx. Sie mussten in der Videogruppe sein, um auf den Framebuffer zugreifen zu können.
Allen
2

Die pi-Gruppe ist die Standardgruppe, die für den pi-Benutzer erstellt wurde. Jeder Benutzer hat einen passenden Gruppennamen.

  • Dialout ermöglicht den Zugriff auf die seriellen Schnittstellen.
  • adm wird für Systemüberwachungsaufgaben verwendet und ermöglicht den Zugriff auf viele der Protokolldateien in / var / log.
  • netdev-Mitglieder können Netzwerkschnittstellen verwalten.
  • Mitglieder der sudo-Gruppe können jeden Befehl ausführen (Wenn das Ziel darin besteht, einen Benutzer mit niedrigeren Berechtigungen zu haben, würde ich nicht vorschlagen, Ihren neuen Benutzer zu dieser Gruppe hinzuzufügen. Stattdessen würde ich der sudoers-Datei eine auf Befehlen oder Benutzernamen basierende Regel hinzufügen).

Im Allgemeinen können Sie Google verwenden, um den Zweck einer Gruppe zu ermitteln, indem Sie Folgendes tun: Google-Suche , wobei der Name der Gruppe offensichtlich geändert wird.

Ich würde vorschlagen, dass Sie Ihren neuen Benutzer erstellen, ohne ihn zusätzlichen Gruppen hinzuzufügen (wie die Pi-Gruppe werden sie Mitglied der Gruppe mit demselben Namen wie ihr Benutzername).

Und wenn Sie Dinge finden, die der neue Benutzer nicht tun kann, können Sie den Benutzer bestimmten Gruppen hinzufügen. Dies steht im Einklang mit dem Konzept der geringsten Privilegien.

Steve Robillard
quelle
Vielen Dank. Alles, was der Benutzer wirklich tut, ist das Pingen von Dateien von einer Samba-Freigabe. Nebenbei bemerkt benenne ich den pi-Benutzer in meinen Namen um. Wie kann ich diesen Gruppennamen in meinen neuen Benutzernamen ändern?
user173724
Sie können einen Gruppennamen mit groupmod ändern. Ein Beispiel mit weiteren Details computerhope.com/unix/groupmod.htm
Steve Robillard