Инструмент администрирования пользователей и групп. Что делают параметры на вкладке "Права пользователя" в разделе "Дополнительные настройки"?

После некоторых исследований я ответил на свой собственный вопрос... Я напишу здесь для справки, может помочь людям с подобным вопросом в будущем:

Я скачал и изучил исходный код gnome-system-utils пакет. Само приложение users-admin, И короткий ответ:

Да, эта вкладка предназначена только для добавления и удаления пользователя из определенных групп.

Длинный ответ:

Существуют некоторые проверки, например, при удалении пользователя из группы администраторов, которые выдают предупреждение о том, является ли пользователь единственным администратором в системе, и не позволяют отозвать эту привилегию. Но, по сути, каждая "привилегия" в списке - это просто псевдоним для группы. Это имеет смысл, поскольку безопасность и привилегии в Linux тесно связаны с тем, принадлежит ли пользователь (или нет) определенным группам.

Но не каждая группа представлена ​​в списке привилегий, только несколько. И, хотите верьте, хотите нет, список жестко закодирован! Группы и описание строк!

Ниже приведен список всех групп, представленных в списке привилегий, начиная с Linux Mint 10 (в этом смысле = Ubuntu Maverick 10.10). Названия групп и описания, показанные в списке, взяты непосредственно из исходного кода, файла src/users/privileges_list.c, Объяснения о некоторых из них (когда отчуждение не говорит само за себя) взяты из этого блога (немного устаревшие) и /usr/share/doc/base-passwd/users-and-groups.html (определенно устаревший)

• adm - Мониторинг системных журналов. Группа adm используется для задач мониторинга системы. Члены этой группы могут читать много файлов журнала в /var/log и могут использовать xconsole. Исторически, /var/log был /usr/adm (и позже /var/adm), таким образом, название группы. СПРАВКА: Возможно, в политике должна быть указана цель этой группы, чтобы пользователи могли быть безопасно добавлены в нее, чтобы быть уверенными, что все, что они смогут сделать, - это прочитать журналы. Не помешало бы переименовать его в "журнал"...

• admin - Администрирование системы. Позволяет участникам управлять административными функциями в системе, такими как добавление программ и новых учетных записей пользователей (другими словами, это группа, которая позволяет пользователю использовать sudo команда). ОБНОВЛЕНИЕ: начиная с Ubuntu 12.04 и далее соответствующая группа называется sudo

• audio - Используйте аудио устройства

• cdrom - Используйте приводы CD-ROM
• cdwrite - Запись CD / DVD

• dialout - Используйте модемы. Полный и прямой доступ к последовательным портам. Члены этой группы могут перенастроить модем, набрать номер где угодно и т. Д.

• dip - Подключение к Интернету с помощью модема. Название группы расшифровывается как "Dialup IP". Находясь в группе dip, вы можете использовать такие инструменты, как pppd, pon и poff, для установления удаленного подключения к другим системам с использованием предварительно определенных файлов конфигурации в каталоге /etc/ppp/peers.

• fax - Отправлять и получать факсы

• floppy - Используйте дисководы

• fuse - Монтировать файловые системы пользовательского пространства (FUSE). Позволяет участникам использовать файловую систему FUSE для подключения съемных носителей в своей домашней папке без прав администратора

• lpadmin - Настроить принтеры. Позволяет пользователю добавлять, изменять и удалять принтеры из foomatic, чашек и, возможно, других баз данных принтеров.

• netdev - Подключение к беспроводным и сетевым сетям. Специальная группа, используемая службами внутренней связи

• plugdev - Доступ к внешним устройствам хранения автоматически. Члены этой группы могут получить доступ к съемным устройствам ограниченным образом без явной настройки в /etc/fstab. Это полезно для локальных пользователей, которые ожидают возможности вставлять и использовать компакт-диски, USB-накопители и т. Д. Поскольку pmount (первоначальный разработчик группы plugdev) всегда монтируется с опциями nodev и nosuid и применяет другие проверки, эта группа не предназначена для использования в качестве root-эквивалента в тех способах, которые обычно допускает возможность монтирования файловых систем. Разработчики семантики, включающие эту группу, должны быть осторожны, чтобы не допустить эквивалентности корня.

• powerdev - приостановить и перевести компьютер в спящий режим

• proc - Access /proc файловая система
• scanner - Используйте сканеры
• tape - Используйте ленточные накопители
• usb - Используйте USB-устройства
• vboxusers - Используйте решение для виртуализации VirtualBox
• video - Используйте видео устройства
• wheel - иметь возможность получить права администратора
• sambashare - делиться файлами с локальной сетью

Привилегия указана только в том случае, если в системе существует соответствующая группа. Таким образом, следующее не отображается здесь, так как Ubuntu не создает их по умолчанию: cdwrite, powerdev, proc, scanner, usb, video а также wheel,

группы vboxusers (и, возможно sambashare) создаются только при установке этого программного обеспечения, создавая ложное впечатление о том, что этот список можно настраивать, а не кодировать жестко.

Это немного странно, так как я могу нормально использовать CD/DVD Writer, USB-порты, Hibernate, Audio и Video. Может быть, это устаревшие группы из Debian, не используемые Ubuntu? Хорошо, тогда что там делает лента?

Обновить: Video группы, кажется, связаны с использованием драйвера кадрового буфера для прямого доступа к видео и графическим режимам. Как выясняется, пользователям без полномочий root не разрешается использовать видео графику, X-сервер Xorg и среда рабочего стола, например Gnome/Unity/KDE, используют X-сервер. В качестве таких, /usr/bin/X установлен как root.

Я думаю, это похоже на usb, cdrom и другие блочные устройства: обычный пользователь может только косвенно получить доступ к тем устройствам, настроенным через udev,