Mistä saa tietää käyttäjäryhmien tarkoituksen?

unixxxi

/etc/group tiedosto kertoo ryhmät ja keitä ryhmään on liitetty, mutta mistään ei selviä ryhmien tarkoitusta. Wheel ja operator on tietysti selviä, mutta mitä nuo muut ovat?

Olen googlettanut ja lukenut lukemattomia unix-oppaita, mutta missään ei avata ryhmiä enempää.

4

50

Vastaukset

  • Järjestelmävalvoja eli root määrittelee ne käyttäjäryhmät eli ne ryhmäoikeudet. Jokainen käyttäjä kuuluu aina johonkin ryhmään vaikka niitä ryhmäoikeuksia ei olisi erikseen määritelty.

    Tätä pitää kysyä jokaisen tietokoneen järjestelmävalvojalta eli rootilta. Jos ryhmäoikeuksia ei ole erikseen määritelty niin kaikki tavalliset käyttäjät kuuluu samaan tavallisten käyttäjien ryhmää eli yleiset oikeudet kaikille.

    Minä olen järjestelmävalvojana noudattanut tälläistä jakoa:

    1. Järjestelmävalvoja, root, jolla kaikki oikeudet (myös vara rootti on nimetty)
    2. Edistyneet käyttäjät joilla on laajemmat oikeudet tarvitsemiinsa sovelluksiin
    3. Aloittelijat ja tavalliset käyttäjät joilla on rajoitetut käyttöoikeudet.

    Tuosta 2. ryhmästä sen verran tarkemmin, että tässä yrityskäytännössä noudatetaan ns. osastojakoa eli millä osastolla kukin henkilö toimii. Tuotekehittelytehtävissä oleva henkilö ei tarvitse taloushallinnon kirjanpitotietoja. Lomasijaisen ei tarvitse päästä muiihin tietoihin kuin mitä sijaisen tarvitsee tietää työnsä hoitamiseksi.
    Tämä nyt lyhyesti kuvailtuna.
    Yrityksessä noudatetaan käyttäjien avointa seurantaa eli mitä he yrittävät touhuta intranetissä eli sisäisessä verkossa. Tätä seurantaa ei olla salattu vaan se tehdään selväksi jo rekrytointivaiheessa. Käyttöoikeuksien omavaltaista korotttamista ei sallita. Myös työajan ulkopuolelta tulevia kirjautumisyrityksiä valvotaan, Vuosilomalaisen ei tartte tulla intranettiin eli yrityksen sisäiseen verkkoon tietojen "kalastus" mielessä. Kalastakoon omallaan ajallaan missä kalastaakin.

    Työssä onkin periaate: Keskity omaan työhösi josta saat palkkasi. Kaikkia ei olla palkattu kaikkien tietojen kerääjiksi. Saat ne käyttöoikeudet joita tarvitset työsi hoitamiseen.
    Tämä toimii hyvin.

    • Hyvä kommentti.

      Unix ja sen varianttien käyttäjäryhmät on aika pitkälti myös teoria tasolla "mielivaltaisia", jos sitä absoluuttista totuutta etsit.

      Tällä tarkoitan sitä, että esimerkiksi audio ryhmään voi kuulua Jari ja Jori. Jari ja Jori voivat luukuttaa ja säätää äänikortin volumensäätöjä, mutta audio-ryhmän nimi voisi yhtä hyvin olla sound tai multimedia.

      Itse en tiedä mistä nämä ryhmän nimet määräytyvät, mutta osa tulee ohjelmien nimistä ja osa taas "/etc/services"-listasta kuvaava nimi ryhmälle ja taas osa on "hatusta heitettyjä", kuten Jari voi kuulua ryhmään "jari"

      /etc/services löytyy freebsd:stä ja ubuntusta ainakin (ja googlella).


  • Järjestelmävalvoja eli rootti ne ryhmät määrittelee. Ellei määrittele niin jokainen uusi käyttäjä kuuluu tavallisten käyttäjien "oletus" ryhmään ellei toisin ole määritelty.

    Käyttöjärjestelmässä on "oletuksena" se, että sinulla on täydet oikeudet tai sinulla ei ole täysiä oikeuksia.

    Rootti joka ei kykene määrittämään käyttäjien ryhmäoikeuksia on kehno kelvoton rootti. Tämän vuoksi hän jakaa kaikille käyttäjille tunnuksensa jotta nämä voivat mielin määrin "sudotella" milloin vain.

    Sudo-oikeudet eivät edes kuulu kaikille.

  • Hyvä selostus. Alkujaan Red Hatissa ei ollut käyttäjällä oikeuksia kuunnella musiikkia, kirjoittaa CD-levyja tai liittää & lukea muita levyjä. Hieman ärsyttää kun Ubuntussa saa helposti kaikki levyt auki ja jos käyttöoikeudet sallii niin sisältöjä pääsee myös lukemaan.

    Sudo-oikeudet kuuluvat vain systeemin ylläpitäjille tai jollekin ohjelmalle joka tarvitsee korotettuja oikeuksia esim. koneen sammutus. Sudo oikeus ei ole oletuksena. Joissakin jakeluissa sudo pitää asentaa erikseen. Silloin ylläpito tehdään kirjautumalla root-tilille tai vastaavalle jolla enemmän oikeuksia. Root tilille kirjaudutaan yleensä su - komennolla. Ainakin etänä root-tilille ei pääse kirjautumaan. Eikä ole järkevää paikallisestikaan X systeemiin. Merkkipohjaiseen virtuaalikonsoliin kyllä.

Ketjusta on poistettu 0 sääntöjenvastaista viestiä.