web-dev-qa-db-fra.com

Outil d'administration des utilisateurs et des groupes - À quoi servent les options de l'onglet Privilèges des utilisateurs des paramètres avancés?

Comment fonctionne l'onglet "Privilèges utilisateur" dans l'interface graphique Paramètres avancés de Utilisateurs et groupes? Je veux dire cette fenêtre:

User Settings

Est-ce simplement ajouter ou supprimer l'utilisateur de certains groupes, ou y a-t-il autre chose? Si oui, pourquoi seuls quelques groupes y sont représentés? Je veux dire, comment Ubuntu/Gnome/Quels que soient les groupes qui apparaissent dans cette liste? Et d'où vient la "description" de chaque "privilège"?

En passant, j'ai toujours été étonné de l'incroyable horreur de cette interface graphique: la documentation est risible, pour le moins qu'on puisse dire (cliquez sur Aide et voir: seulement 3 pages, captures d'écran très obsolètes, obsolètes et des instructions incomplètes, et pas un seul mot sur les paramètres avancés du tout), également la conception est complètement contre-intuitive: il n'y a pas de liste du tout des groupes auxquels un utilisateur appartient. Il faut cliquer sur "Gérer les groupes" et cliquer sur les propriétés pour chaque groupe pour voir ses utilisateurs. Allons! Comment se fait-il qu'une chose aussi importante et ancienne telle que la gestion des utilisateurs et des groupes n'ait toujours pas d'interface graphique décente?

guiusersprivileges
2
MestreLion

Après quelques recherches, j'ai répondu à ma propre question ... Ill post ici pour référence, peut aider les gens avec une question similaire à l'avenir:

J'ai téléchargé et étudié le code source à partir du package gnome-system-utils. L'application elle-même est users-admin. Et la réponse courte est:

Oui, cet onglet concerne uniquement l'ajout et la suppression de l'utilisateur de certains groupes.

Longue réponse:

Certaines vérifications, par exemple, lors de la suppression de l'utilisateur du groupe admin, déclenchent un avertissement indiquant si l'utilisateur est le seul administrateur du système et empêche de révoquer ce privilège. Mais, fondamentalement, chaque "privilège" dans la liste est juste un alias pour un groupe. Cela a du sens, étant donné que la sécurité et les privilèges sous Linux sont étroitement liés à un utilisateur appartenant (ou non) à certains groupes.

Mais tous les groupes ne sont pas représentés dans la liste des privilèges, seuls quelques-uns. Et, croyez-le ou non, la liste est codée en dur! Groupes et ​​chaînes de description!

Vous trouverez ci-dessous une liste de tous les groupes représentés dans la liste des privilèges, à partir de Linux Mint 10 (= Ubuntu Maverick 10.10 dans ce sens). Les noms de groupes et les descriptions figurant dans la liste proviennent directement du code source, fichier src/users/privileges_list.c. Les explications sur certaines d’entre elles (lorsque la description n’est pas explicite) sont tirées de ce blog (un peu obsolète) et /usr/share/doc/base-passwd/users-and-groups.html (définitivement obsolète)

  • adm - Surveille les journaux du système. Groupe adm est utilisé pour les tâches de surveillance du système. Les membres de ce groupe peuvent lire de nombreux fichiers journaux dans/var/log et utiliser xconsole. Historiquement,/var/log était/usr/adm (et plus tard/var/adm), d'où le nom du groupe. HELP: Peut-être que la politique devrait indiquer l'objectif de ce groupe afin que les utilisateurs puissent y être ajoutés en toute sécurité, en sachant que tout ce qu'ils pourront faire est de lire les journaux. Cela ne ferait pas de mal de le renommer 'log' non plus ...

  • admin - Administrer le système. Permet aux membres de contrôler les fonctions administratives sur le système, telles que l'ajout de programmes et de nouveaux comptes d'utilisateurs (en d'autres termes, c'est le groupe qui permet à un utilisateur d'utiliser la commande Sudo.). UPDATE: à partir de Ubuntu 12.04 et ultérieur, le groupe correspondant est nommé Sudo =

  • audio - Utiliser des périphériques audio

  • cdrom - Utiliser des lecteurs de CD-ROM
  • cdwrite - Graver des CD/DVD

  • dialout - Utilisez des modems. Accès complet et direct aux ports série. Les membres de ce groupe peuvent reconfigurer le modem, composer un numéro n'importe où, etc.]

  • dip - Connectez-vous à Internet à l'aide d'un modem. Le ​​nom du groupe signifie "Dialup IP". Être dans un groupe dip vous permet d’utiliser des outils tels que pppd, pon et poff pour établir des connexions par numérotation avec d’autres systèmes à l’aide de fichiers de configuration prédéfinis situés dans le répertoire/etc/ppp/peers.

  • fax - Envoi et réception de fax

  • floppy - Utiliser des lecteurs de disquettes

  • Fuse - Monter les systèmes de fichiers de l'espace utilisateur (Fuse). Permet aux membres d'utiliser le système de fichiers Fuse pour monter un support amovible dans leur dossier personnel sans privilèges administratifs

  • lpadmin - Configurez les imprimantes. Permet à un utilisateur d'ajouter, de modifier et de supprimer des imprimantes de foomatic, de cups et éventuellement d'autres bases de données d'imprimantes.

  • netdev - Connectez-vous aux réseaux sans fil et Ethernet. Groupe spécial utilisé par les services de communication interne

  • plugdev - Accède automatiquement aux périphériques de stockage externes. Les membres de ce groupe peuvent accéder aux périphériques amovibles de manière limitée sans configuration explicite dans/etc/fstab. Ceci est utile pour les utilisateurs locaux qui souhaitent pouvoir insérer et utiliser des CD, des clés USB, etc. Puisque pmount (l'implémenteur d'origine du groupe plugdev) monte toujours avec les options nodev et nosuid et applique d'autres contrôles, ce groupe n'est pas conçu pour être équivalent à la racine, de la manière que la capacité de monter des systèmes de fichiers est normalement autorisée. Les développeurs de sémantique impliquant ce groupe doivent veiller à ne pas autoriser l'équivalence racine.

  • powerdev - Suspendre et mettre en veille l'ordinateur

  • proc - Système de fichiers Access/proc
  • scanner - Utiliser des scanners
  • tape - Utilisez des lecteurs de bande
  • usb - Utiliser des périphériques USB
  • vboxusers - Utiliser la solution de virtualisation VirtualBox
  • video - Utiliser des périphériques vidéo
  • wheel - Pouvoir obtenir les privilèges d'administrateur
  • sambashare - Partager des fichiers avec le réseau local

Un privilège n'est répertorié que si son groupe de correspondants existe dans le système. Donc ce qui suit ne s'affiche pas ici car Ubuntu ne les crée pas par défaut: cdwrite, powerdev, proc, scanner, usb, video et wheel.

Les groupes vboxusers (et peut-être sambashare) ne sont créés que lorsque vous installez ce logiciel, ce qui donne une fausse impression que cette liste est configurable et non codée en dur.

C'est un peu bizarre, car je peux utiliser très bien mon graveur de CD/DVD, mes ports USB, Hibernate, audio et vidéo. Peut-être que ce sont des groupes obsolètes de Debian non utilisés par Ubuntu? Alors que fait la bande fait-elle ici?

Mise à jour: les groupes Video semblent liés à l'utilisation du pilote de framebuffer pour l'accès direct à la vidéo et les modes graphiques. En fin de compte, les utilisateurs non root ne sont pas autorisés à utiliser les graphismes vidéo. Xorg X server est activé et l'environnement de bureau, tel que Gnome/Unity/KDE, utilise le serveur X. En tant que tel, /usr/bin/X est setuid en tant que racine.

Je suppose que cela ressemble à usb, cdrom et à d’autres périphériques en mode bloc: un utilisateur normal ne peut accéder que de manière indirecte aux périphériques configurés via udev.

3
MestreLion