Systemd and groups

lampslave	# 11 лет, 5 месяцев назад (отредактировано 11 лет, 5 месяцев назад)
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	Это просто попытка подогнать решение под ответ. Из действительно нужных групп могу отметить разве что adm - позволяет читать логи journalctl. Вроде бы ещё audio “включает”/“выключает” звук (как сейчас - не знаю, но так вроде бы было раньше). И ещё один момент. Чем меньше у юзера групп - тем лучше, потому что снижается риск неблагоприятного воздействия на систему, в том числе по невнимательности и по глупости.

# 11 лет, 5 месяцев назад (отредактировано 11 лет, 5 месяцев назад)

Сообщения: 4801

Участник с: 05 июля 2011

Это просто попытка подогнать решение под ответ.

Из действительно нужных групп могу отметить разве что adm - позволяет читать логи journalctl. Вроде бы ещё audio “включает”/“выключает” звук (как сейчас - не знаю, но так вроде бы было раньше).

И ещё один момент. Чем меньше у юзера групп - тем лучше, потому что снижается риск неблагоприятного воздействия на систему, в том числе по невнимательности и по глупости.

Aivar	# 11 лет, 5 месяцев назад
Темы: 4 Сообщения: 6897 Участник с: 17 февраля 2011	Т.е. с таким же успехом можно удалять пользователя чуть ли не изо всех групп, разве что кроме users?

lampslave	# 11 лет, 5 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	Лучше его в эти группы вообще не добавлять :)

Aivar	# 11 лет, 5 месяцев назад
Темы: 4 Сообщения: 6897 Участник с: 17 февраля 2011	Два года назад, когда ставил Арч, в вики глаголилось иначе: $ groups user lp network video audio optical storage scanner power users vboxusers Время меняется?

sleepycat	# 11 лет, 5 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	колесная группа обычно предназначена для “авторизации” грубо говоря пользователей с правами переключения на рута. Но в таких дистрах как арч такое вполне может делать любой пользователь. Причин тому несколько, может банально пам модуля нет. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 11 лет, 5 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

колесная группа обычно предназначена для “авторизации” грубо говоря пользователей с правами переключения на рута. Но в таких дистрах как арч такое вполне может делать любой пользователь. Причин тому несколько, может банально пам модуля нет.

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

F@stor	# 11 лет, 5 месяцев назад
Темы: 5 Сообщения: 130 Участник с: 14 марта 2012	Господа, а как же polkit, который рулит доступом к большинству операций посредством групп? По крайней мере если выкинуть юзера из групп usb и storage, то хрен доступ будет к усб устройствам. Тоже самое и с kvm, а еще есть wheel для sudo, если конечно в настройках sudo используется доступ по группе, а не по юзеру. Насчет power не уверен, т.к. systemd будет вырубать машину при логине одного юзера, но shutdown скорее всего станет недоступен.

F@stor

# 11 лет, 5 месяцев назад

Темы: 5

Сообщения: 130

Участник с: 14 марта 2012

Господа, а как же polkit, который рулит доступом к большинству операций посредством групп? По крайней мере если выкинуть юзера из групп usb и storage, то хрен доступ будет к усб устройствам. Тоже самое и с kvm, а еще есть wheel для sudo, если конечно в настройках sudo используется доступ по группе, а не по юзеру. Насчет power не уверен, т.к. systemd будет вырубать машину при логине одного юзера, но shutdown скорее всего станет недоступен.

lampslave	# 11 лет, 5 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	По крайней мере если выкинуть юзера из групп usb и storage, то хрен доступ будет к усб устройствам. В usb я никогда не состоял, насчёт storage - надо проверить. Тоже самое и с kvm Часто серверные технологии на десктопе применяете? а еще есть wheel для sudo, если конечно в настройках sudo используется доступ по группе, а не по юзеру Вот то-то и оно, что “если”. По дефолту там вообще всё закомментировано. Насчет power не уверен, т.к. systemd будет вырубать машину при логине одного юзера, но shutdown скорее всего станет недоступен. То же самое, что и с usb. Всё нормально работает и без этой группы.

lampslave

# 11 лет, 5 месяцев назад

Темы: 32

Сообщения: 4801

Участник с: 05 июля 2011

По крайней мере если выкинуть юзера из групп usb и storage, то хрен доступ будет к усб устройствам.

В usb я никогда не состоял, насчёт storage - надо проверить.

Тоже самое и с kvm

Часто серверные технологии на десктопе применяете?

а еще есть wheel для sudo, если конечно в настройках sudo используется доступ по группе, а не по юзеру

Вот то-то и оно, что “если”. По дефолту там вообще всё закомментировано.

Насчет power не уверен, т.к. systemd будет вырубать машину при логине одного юзера, но shutdown скорее всего станет недоступен.

То же самое, что и с usb. Всё нормально работает и без этой группы.

epro	# 11 лет, 5 месяцев назад
Темы: 2 Сообщения: 48 Участник с: 10 февраля 2012	lampslave По крайней мере если выкинуть юзера из групп usb и storage, то хрен доступ будет к усб устройствам. В usb я никогда не состоял, насчёт storage - надо проверить. И я нигде никогда ее не прописывал, и проблем не было, странно … А storage возвращаясь к нашему скрипту из соседней темы - она нужна как для отфильтровки тех кому доступ нельзя давать (когда проверка идет в polkit), я так себе понимаю ))

epro

# 11 лет, 5 месяцев назад

Темы: 2

Сообщения: 48

Участник с: 10 февраля 2012

lampslave
По крайней мере если выкинуть юзера из групп usb и storage, то хрен доступ будет к усб устройствам.
В usb я никогда не состоял, насчёт storage - надо проверить.

И я нигде никогда ее не прописывал, и проблем не было, странно …

А storage возвращаясь к нашему скрипту из соседней темы - она нужна как для отфильтровки тех кому доступ нельзя давать (когда проверка идет в polkit), я так себе понимаю ))

lampslave	# 11 лет, 5 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	Ну естественно, если кто-то написал правило, которое разрешает доступ только членам группы, то он должен в эту группу добавить кого надо.

F@stor	# 11 лет, 5 месяцев назад
Темы: 5 Сообщения: 130 Участник с: 14 марта 2012	lampslave Тоже самое и с kvm Часто серверные технологии на десктопе применяете? А без KVM Qemu малопроизводительна. Или Qemu по вашему тоже серверная технология? lampslave Насчет power не уверен, т.к. systemd будет вырубать машину при логине одного юзера, но shutdown скорее всего станет недоступен. То же самое, что и с usb. Всё нормально работает и без этой группы. Нужна для доступа к самим портам/устройствам, а не только томам в случае с флешкой. Программаторы и usb-эмуляторы различных портов без этого работать не будут.

F@stor

# 11 лет, 5 месяцев назад

Темы: 5

Сообщения: 130

Участник с: 14 марта 2012

lampslave
Тоже самое и с kvm
Часто серверные технологии на десктопе применяете?

А без KVM Qemu малопроизводительна. Или Qemu по вашему тоже серверная технология?

lampslave
Насчет power не уверен, т.к. systemd будет вырубать машину при логине одного юзера, но shutdown скорее всего станет недоступен.
То же самое, что и с usb. Всё нормально работает и без этой группы.

Нужна для доступа к самим портам/устройствам, а не только томам в случае с флешкой. Программаторы и usb-эмуляторы различных портов без этого работать не будут.

Systemd and groups - ?