1.2.5. 一组用户的权限(组)

为了使组权限应用到一个特定用户,这个用户需要通过使用 “sudo vigr” 编辑 /etc/group 以及使用 “sudo vigr -s” 编辑 /etc/gshadow 成为该组的成员。你需要注销之后重新登录(或运行 “exec newgrp”)以启用新的组配置。

[注意]注意

或者,你可以通过添加一行 “auth optional pam_group.so”到 “/etc/pam.d/common-auth” 以及配置 “/etc/security/group.conf” ,使得在身份验证过程动态添加用户到组。(参见第 4 章 认证。)

在 Debian 系统中,硬件设备是另一种文件。如果你从一个用户账户访问某些设备出现问题,例如CD-ROM和USB记忆棒,你需要使这个用户成为相关组的成员。

一些著名的由系统提供的组允许其成员不需要 root 权限访问某些特定的文件和设备。

表 1.7. 关于文件访问的由系统提供的著名组列表

可访问文件和设备的描述
dialout完全及直接的访问串口端口(“/dev/ttyS[0-3]”)
dip有限的访问串口,创建到信任点的拨号 IP 连接
cdromCD-ROM, DVD+/-RW 驱动器
audio音频设备
video视频设备
scanner扫描仪
adm系统监控日志
staff一些用于初级管理工作的目录:“/usr/local”,“/home
[提示]提示

你需要属于 dialout 组才能重配置调制解调器、拨号到任意地方,等等。但如果root 用户在 “/etc/ppp/peers/” 为受信任点创建了预定义配置文件的话,你只需要属于dip 组,就可以创建拨号 IP来连接到那些受信任的点上,需使用的命令行工具包括 pppd(8)、pon(1)以及poff(1)。

某些著名的由系统提供的组允许它们的成员不带 root 权限运行特定的命令。

表 1.8. 著名的由系统提供用于特定命令运行的组列表

可访问命令
sudo不带它们的密码运行 sudo
lpadmin执行命令以从打印机数据库添加、修改、移除打印机

由系统提供的用户和组的完整列表,参见由 base-passwd包提供的“/usr/share/doc/base-passwd/users-and-groups.html”中,当前版本的“用户和组”。

用户和组系统的管理命令,参见passwd(5),group(5),shadow(5),newgrp(1),vipw(8),vigr(8),以及pam_group(8)。