Arch Linux

wiki Gruppen

Greg

Ich habe mal diesen Teil vom Forum gelesen:
========
https://forum.archlinux.de/viewtopic.php?id=20915
Insbesondere von T.M.:
Das Problem mit Gruppen ist ihre Intransparenz. Nirgends (!) ist definiert, welche Gruppe welchem Zweck dient, welches Programm sie benutzt und was die Mitgliedschaft in dieser Gruppe konkret für Konsequenzen hat. Es ist nicht einmal klar, wie eine Gruppe heissen muss oder welche Nummer sie hat. Drum können beispielsweise mit tar archivierte Dateien beim Auspacken auf einer anderen Maschine plötzlich eine andere Gruppe haben. Eine Gruppe kann man zudem löschen, auch wenn sie zugehörige Dateien hat. Diese Dateien zeigen dann als Gruppe nur noch eine Nummer an - kein Schimmer mehr davon, was das mal bedeutet hat.

Ein Gruppenkonzept mag seine Bedeutung und Berechtigung haben. Das steht ausser Frage. Die heute noch immer vorzufindende Implementierung ist allerdings steinzeitlich. Sie lässt insbesondere ausser Acht, dass die Maschinen heute vernetzt sind.

Abhilfe: es müsste mindestens ein öffentliches Dokument geben, an das sich alle halten, in dem sämtliche Gruppen aufgeführt, verbindlich nummeriert und hinsichtlich ihres Zwecks klar dokumentiert sind. Das würde viele Dinge wesentlich vereinfachen und zahlreiche, oft sehr schwer zu findende Fehler unterbinden. So viele Gruppen sind es ja nicht - wenn dort vielleicht 20 Stück drinstehen, ist es ja viel ...
========

Das hat bei mir zur Folge gehabt mal die Gruppe power, storage, network, mail, games vom Benutzer zu nehmen.
Nach einem reboot durfte ich immer noch die CDs mounten, für Internet Netzwerk aufbauen, auf lokale Partitionen zugreifen, und den Rechner runterfahren oder reboot machen.

Ich benutze xfce4.
Demzufolge braucht der Benutzer diese Gruppen wohl nicht mehr. Mag sein das das Altlasten sind.

Ich würde gerne einen Artikel dazu im Wiki machen. Es sei denn Ihr sagt "dat nützt nix".
Brauche allerdings von Euch Kennern einige Angaben zu den Gruppen. Könnte ja sein das da einiges zusammenkommt.

Etwas weiß ich selber, fang ich mal an:

lp Um die Parallelschnittstelle /dev/parport0 zu benutzen.
wheel Benutzer darf sudo ausführen. Falls sudo installiert ist. Änderung von sudoers erforderlich. EDITOR=nano visudo
Zeile #%wheel ALL=(ALL) ALL Kommentator "#" entfernen.

uucp Gruppe für die seriellen Schnittstellen (RS232) benutzen. ttyS0...
locate Gruppe für die Datenbank locate aktualisieren. ??? Stimmt das noch?
privoxy Gruppe darf den Proxy privoxy konfigurieren.
video Gruppe darf den Monitor benutzen. Ich glaube das bezieht sich nur auf xserver oder 3D ??
audio Die Gruppe für Soundgeräte.
optical ?? Stimmt das noch für CDs und DVDS?
floppy Gruppe für Floppylaufwerke.
scanner Wenn sane oder xsane installiert ist, so wird die Gruppe scanner erzeugt.
camera Ich glaube das kommt von libgphoto oder ähnlich. camera mounten dürfen oder was???
users Mehrere Benutzer können in die Gruppe users eingetragen werden.
vboxusers Für die Virtualbox.
mail ?? clawsmail funktioniert bei mir noch. Was für'n Mail ist hier gemeint? Welche Programme?
..
..
..

So, jetzt weiß ich erst mal nicht weiter.
Für Eure Mühen bedanke ich mich schon mal. Mit dem Wikiartikel wird aber vor Aschermittwoch nichts.
Muß jetzt wegen Wulf nen Wagen umbauen.

Alaaf!! :lol:

Mucki

Der Artikel ist IMHO ein Schritt in die richtige Richtung, um mal ein bisschen Licht ins Dunkel zu bringen, wir sollten aber auch den ganzen Kram aus dem Wiki korrigieren, wo noch dieser offensichtliche Schwachsinn drinsteht.

GerBra

Greg schrieb So, jetzt weiß ich erst mal nicht weiter.
Für Eure Mühen bedanke ich mich schon mal. Mit dem Wikiartikel wird aber vor Aschermittwoch nichts.
Muß jetzt wegen Wulf nen Wagen umbauen.
Alaaf!! :lol:

Helau!

Ich würde ja eher vorschlagen, den bestehenden Artikel zu aktualisieren als einen neuen zu schreiben (wenn ich dich richtig verstanden habe...)

Ansonsten ist halt die Frage, was so ein Artikel (oder der alte) bezwecken soll. Soll er:
a) Aktuell verwendete Gruppen erklären (a la "Um die Parallelschnittstelle /dev/parport0 zu benutzen") ?
b) Oder soll es ein Artikel werden über: In diese Gruppen gehört dein User auf jede Fälle?

Wenn die Intention eher letzteres wäre, dann fände ich es so eher fehl am Platz. Da wäre die Gruppenzuordnung besser bei dem jeweiligen spezifischen Wikiartikel aufgehoben, wie es ja auch oft zu sehen ist (a la "Füge mit gpasswd -a deinen User der Gruppe xyz zu").

Evtl. könnte man der Tabelle mit den Gruppenerklärungen eine Zusatzspalte gönnen, bei der ein Sternchen(*) signalisiert, daß bei Zugehörigkeit ein normaler User Zusatznutzen hat.
optical ist z.B. so ein Kandidat. Ich *vermute* daß Brennprogramme wie brasero/k3b wegen der Neuerung dbus und dem Eingebettetsein in den jeweiligen WM auch brennen, wenn der User *nicht* in optical ist. Aber z.B. für die Kommandozeilen-Tools wie wodim/cdrecord braucht der User wieder rw-Zugriff auf das Devicefile /dev/srX - also über die gruppe optical.

In mail muß/soll kein Normaluser rein, ebenso locate. Selbst lp muß IMHO nicht fürs Drucken sein, da daß ja i.d.R. über den cupsd geht.
Die meisten Gruppen die entweder per /etc/group an Install vorgegeben sind oder die durch Pakete hinzugefügt würden sind eigentlich nicht für "Normaluser" notwendig.

mannohneschuh

==
kvm → darf qemu-kvm nutzen
power → ?
log → um in /var/log lesen zu dürfen

ein guter Teil wird heute wohl von polkit/ck übernommen zB
herunterfahren/neustarten/suspend [ehemals power?] (mittles dbus-send etc),
optical/storage (zugriff auf wechseldatenträger)
==

Mucki

power brauch man AFAIK nicht, dass geht über dbus und upower oder sudo. storage und otical macht man z.B. über udisks oder pmount

mannohneschuh

Mucki schriebpower brauch man AFAIK nicht, dass geht über dbus und upower oder sudo. storage und otical macht man z.B. über udisks oder pmount

wenn du sudo nimmst brauchen dich Gruppen ja wohl eh kaum zu stören. dann würde es reichen einen Eintrag in der sudoers zu haben und du kannst alles machen. Am Besten noch mit nopasswd…
storage und optical und power und noch einige andere Späße erledige ich persönlich halt über consolekit, aber das war nicht die Frage. Es ging bisher nicht darum was man mit anderen userland-tools macht sonder wofür welche gruppe gedacht/gebraucht ist/wird.

Greg

GerBra schrieb Helau! Ich würde ja eher vorschlagen, den bestehenden Artikel zu aktualisieren als einen neuen zu schreiben (wenn ich dich richtig verstanden habe...)
Ansonsten ist halt die Frage, was so ein Artikel (oder der alte) bezwecken soll. Soll er:
a) Aktuell verwendete Gruppen erklären (a la "Um die Parallelschnittstelle /dev/parport0 zu benutzen") ?
b) Oder soll es ein Artikel werden über: In diese Gruppen gehört dein User auf jede Fälle?
Evtl. könnte man der Tabelle mit den Gruppenerklärungen eine Zusatzspalte gönnen, bei der ein Sternchen(*) signalisiert, daß bei Zugehörigkeit ein normaler User Zusatznutzen hat.
optical ist z.B. so ein Kandidat. Ich *vermute* daß Brennprogramme wie brasero/k3b wegen der Neuerung dbus und dem Eingebettetsein in den jeweiligen WM auch brennen, wenn der User *nicht* in optical ist. Aber z.B. für die Kommandozeilen-Tools wie wodim/cdrecord braucht der User wieder rw-Zugriff auf das Devicefile /dev/srX - also über die gruppe optical.

In mail muß/soll kein Normaluser rein, ebenso locate. Selbst lp muß IMHO nicht fürs Drucken sein, da daß ja i.d.R. über den cupsd geht.
Die meisten Gruppen die entweder per /etc/group an Install vorgegeben sind oder die durch Pakete hinzugefügt würden sind eigentlich nicht für "Normaluser" notwendig.

Den bestehenden Artikel überarbeiten macht am meisten Sinn. Der ist schon in Ordnung. Nur eben die Tabelle erweitern und aktualisieren. Sternchen hinten dran für Zusatznutzen für User, ok.
optical nur interessant für cdrecord, wodim, growisofs, libburn könnte ich vorher ausprobieren. Dann müßte in die Tabelle noch rein welche Programme dafür interesaant sind. Hoffentlich nicht zu viele.

mannohneschuh schrieb==
kvm → darf qemu-kvm nutzen
power → ?
log → um in /var/log lesen zu dürfen

ein guter Teil wird heute wohl von polkit/ck übernommen zB
herunterfahren/neustarten/suspend [ehemals power?] (mittles dbus-send etc),
optical/storage (zugriff auf wechseldatenträger)
==

kvm kenn ich nicht. Muß natürlich mit rein.
power könnte in der Anleitung von xfce4 weg.
log als User lesbar machen? Auch ok.

Mucki schriebpower brauch man AFAIK nicht, dass geht über dbus und upower oder sudo. storage und otical macht man z.B. über udisks oder pmount

Ist das bei kde und gnome auch so?

mannohneschuh schrieb
Mucki schriebpower brauch man AFAIK nicht, dass geht über dbus und upower oder sudo. storage und otical macht man z.B. über udisks oder pmount
wenn du sudo nimmst brauchen dich Gruppen ja wohl eh kaum zu stören. dann würde es reichen einen Eintrag in der sudoers zu haben und du kannst alles machen. Am Besten noch mit nopasswd…
storage und optical und power und noch einige andere Späße erledige ich persönlich halt über consolekit, aber das war nicht die Frage. Es ging bisher nicht darum was man mit anderen userland-tools macht sonder wofür welche gruppe gedacht/gebraucht ist/wird.

Früher wurde das alles mit sudo bzw. sudoers gemacht.

Über hal habe ich mich schon aufgeregt. Aber polkit und cosolekit ist sowas von kompliziert geworden. Wenn man es installiert und alles direkt funktioniert ist es ja gut. Aber wehe nicht. Dann ist das Thema leider nicht so einfach durchzuschauen wie sudoers.

Ist ja schon einiges reingekommen. Ich danke Euch!!

:lol: Alaaf!! :lol:

Mucki

Ich benutze GNOME zwar nicht mehr, aber ich meine mich zu erinnern, dass da auch alles über udev, consolekit und polkit gemacht wird.

Greg

Stimmt das eigentlich noch?
Insbesondere die Tabellen unten.
https://wiki.archlinux.org/index.php/Groups

GerBra

Die "Übersicht" im .org-Wiki steht genau vor dem gleichen Problem wie wir es aktuell haben. So eine Übersicht ist nichts statisches und eben auch im Hauptteil nicht allgemeingültig.
storage ist dort IMHO genauso "falsch" wie wir es diskutierten, über die Plazierung von disk in der oberen Tabelle kann man sich trefflich streiten (in über 20 Jahren mußte ich noch nei irgendeinen User nach disk packen bzw. Zugriff aufs Devicefile geben. Die storage-Gruppe war da die Ausnahme, aber das ist ja weitgehend hinfällig...)

Was haltet ihr von dem Vorschlag:
Wir führen in diesem Artikel nur die Gruppen auf, die direkt nach einer Archlinux-Basisinstallation auch vorhanden sind. Also die im group-File des Paketes filesystem. Aktuell:

root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin
adm:x:4:root,daemon
tty:x:5:
disk:x:6:root
lp:x:7:daemon
mem:x:8:
kmem:x:9:
wheel:x:10:root
ftp:x:11:
mail:x:12:
uucp:x:14:
log:x:19:root
utmp:x:20:
locate:x:21:
rfkill:x:24:
smmsp:x:25:
http:x:33:
games:x:50:
network:x:90:
video:x:91:
audio:x:92:
optical:x:93:
floppy:x:94:
storage:x:95:
scanner:x:96:
power:x:98:
nobody:x:99:
users:x:100:

Zu diesem Zeitpunkt (und mit diesen verfügbaren Gruppen) legt man ja i.d.R. erstmal neue User an, steht der Admin/User ja vor der Frage: in welche ("additional groups") Gruppen bei adduser soll ich meine User denn reinpacken?
Für mich kommen da nur ganz wenige in Frage, in denen User überhaupt Sinn machen würden
a) users = ist der neue User automatsich drin, unterscheidet für mich grob reale Systemuser von z.B. virtuellen Usern (z.B. User für IMAP-Server, die statt über die passwd in SQL-Tabellen gepflegt sind).
b) audio = Zwingend für alsa und Konsorten, es gibt AFAIK kein Framework welches nötige rechte an Devices, Files und Programmen "durchreicht" (pulseaudio?).
c) video = IMHO nicht mehr notwendig, zumindest nicht für X (und damit einhergehend GraKa-Treiber und DRM etc.). Sollte nur noch speziell für video4linux-Bereiche, dvb, Firewire-Geräte u.ä. nötig sein, wäre also im Kontext dieser Artikel besser aufgehoben. Mußman berprüfen, kann ich zum Wochenende hin gerne tun....
d) optical = IMHO nicht mehr notwendig zum Zugriff auf optische Geräte bzw. Vorgänge damit wenn dbus+udisks/gvfs genutzt wird. Sinnvoll und nötig nur wenn Kommandozeilen-Tools wie cdrecord/wodim o.ä. direkt genutzt werden, die User also meist direkt auf das device-File /dev/srX zugreifen müssen (r bzw. rw). Auch manche Audioprogramme/Ripper könnten da noch reinspielen. Ich würde einen User aktuell eher "auf Verdacht" nach optical packen als z.B. nach storage...
e) floppy = Zum Zugriff auf Floppy-Laufwerke, ist heutzutage sicher die Ausnahme...
f) storage = Muß IMHO kein User mehr zwangsweise rein, wird nur noch für manche Tape-Geräte genutzt. Für User, die aktuell noch hal nutzen könnte das noch eine Notwendigkeit sein... (Trinity?)
g) scanner = IMHO immer noch notwendig, für User mit Scannern/Kombigeräten (sane). Es gibt AFAIK kein Framework welches nötige rechte an Devices, Files und Programmen "durchreicht".
h) power = IMHO wenn pm-utils vom User direkt genutzt werden soll (aber auch dafür muß erst über sudo/sudoers gegangen werden). Zugehörigkeit zu dieser Gruppe alleine erlaubt nicht das Runterfahren/Neustarten/Suspend/Hibernate etc. AFAIK nicht notwendig, um heutzutage über das dbus/upower-Framework diese Vorgänge als User auszuführen. Muß man austesten, kann ich zum Wochenende hin wohl auch testen...
i) network = AFAIK nur für NetworkManager, ist in dem speziellen Artikel besser aufgehoben.

Das wars dann wohl aber auch schon, denke ich. Speziell sind halt noch die Gruppen log, wheel, games.
a) log = Nur wenn ein User Logfiles in /var/log lesen können soll.
b) wheel = Wenn ein User administrative Aufgaben erledigen muß, v.a. im Zusammenhang mit sudo (und ist in diesem Artikel besser aufgehoben).
c) games = Spielt AFAIK keine Rolle bei uns, ich sehe nur daß Zugriff auf /var/games diese Gruppe braucht. Evtl. gibt es Spiele, die das benötigen. Die Gruppenerklärung/Hinzufügung ist dann aber bei etwaigen Wiki-Artikeln/apcman-Hints besser aufgehoben...

Ich würde einen User hier und aktuell eigentlich nur noch (neben Hauptgruppe users) nur noch hinzufügen zu: audio,optical wenn nicht spezielle Gegebenheiten weitere Gruppen verlangen.

Wie gesagt, auf diese o.a. Gruppen würde ich mich in der Tabelle beschränken. Und wenn sich im group-File des Paketes etwas ändert, daß dann anpassen.
Alle anderen Gruppen werden ja z.B. von den .install-Skripts der Pakete selbst hinzugefügt, oftmals mit dem pacman-Tip: Füge deinen User der gruppe foobar hinzu um xyz nutzen zu können... Und für diese Gruppen (wie kvm z.B.) wäre eine Erklärung was diese gruppe macht dann besser beim speziellen Wiki-Artikel zum Paket bzw. zum Vorgang aufgehoben. Die würde ich aber in dieser Tabelle hier garnicht erwähnen...

Was schön wäre (keine Anung, ob MediaWiki das hergibt) wäre eine "sich selbst pflegende Tabelle aller verfügbaren Gruppen", die sich z.B. dynamisch aus einzelnen Wiki-Artikeln zusammensetzen würde.
Angenommen wir machen es verbindlich, daß wenn für ein Programm bzw. ein Vorgehen die zugehörigkeit zu einer Gruppe notwendig wäre dies der Author z.B. in einer Art "Kasten" o.ä. anführt (was wir jetzt unverbindlich/ungeordnet a la "Füge mit gpasswd -a user groupname" deinen User der gruppe groupname zu" machen).
Wenn MediaWiki diese Dinge nun parsen könnte und daraus eine Tabelle generiert mit z.B. direkten Links zu den jeweiligen Artikeln, dann würde die Frage: Welche gruppe ist denn eigentlich für was? IMHO besser gelöst und würde ggf. auch nicht so leicht von der Wirklichkeit überholt werden.... Ob sowas geht und welche Vorarbeiten dafür notwendig sind weiß ich nicht...

(Puh ,ist das lang geworden...) ;-)
//Edit2: Und nein, ich bin nicht der Wiki-Mensch (wenn sowas wie: Schreib doch wenn du schon soviel schreibst). Ich habe ein paar Artikel früher gemacht und mich dann nicht mehr gekümmert. Ich kriege es grad noch so hin, meinen eignenen Kram über die Zeit einigermaßen zu dokumentieren...)

//Edit: hilfreiche Befehle um zu sehen welche Gruppen aktuell noch gelten wären z.B. für die network Gruppe:

find /dev -group network
grep network /lib/udev/rules.d/*
find /proc /sys -group network
find / -xdev -group network

mannohneschuh

Daumen hoch für GerBra ('s idee)! Wirklich eine gute idee. Und wiedermal so schlüssig erklärt. einen ähnlichen gedanken hatte ich auch schon.

Greg

Danke GerBra, nicht schlecht.

GerBra schrieb Was haltet ihr von dem Vorschlag:
Wir führen in diesem Artikel nur die Gruppen auf, die direkt nach einer Archlinux-Basisinstallation auch vorhanden sind. Also die im group-File des Paketes filesystem. Aktuell:

Zumindest sollten gerade die gut erklärt sein.

GerBra schrieb Zu diesem Zeitpunkt (und mit diesen verfügbaren Gruppen) legt man ja i.d.R. erstmal neue User an, steht der Admin/User ja vor der Frage: in welche ("additional groups") Gruppen bei adduser soll ich meine User denn reinpacken

Ab da wirds interessant logischerweise.

Tabelle und 1.Zusammenfassung:

root:x:0:root <== würde ich nicht erwähnen, da ein User ganz sicher nicht in dieser Gruppe sein soll.
bin:x:1:root,bin,daemon <== ebenso
daemon:x:2:root,bin,daemon <== ebenso
sys:x:3:root,bin <== ebenso
adm:x:4:root,daemon <== weiß nicht was das ist.
tty:x:5: <== Ein User in dieser Gruppe? was soll das bewirken?
disk:x:6:root Wie du schon geschrieben hast. Ich irgendwo mal gelesen, der user der in disk drin ist hebelt so ziemlich alle Rechte damit aus. Vollzugriff auf alle Disks??
lp:x:7:daemon <== Zugriff als user auf der parallel Schnittstelle.
mem:x:8: <== keine Ahnung
kmem:x:9: <== weiß nicht .
wheel:x:10:root <== sudo Befehle ausführen dürfen. (Was das mit Rädern zu tun hat?).
ftp:x:11: <== Wahrscheinlich nur wenn man einen ftp Server einrichten will.
mail:x:12: <== Welche Mailprogramme damit gemeint sind? Claws Mail funktioniwert auch so ohne Eintrag des Users.
uucp:x:14: <== Serielle Schnittstelle benutzen dürfen.
log:x:19:root <== logdateien als user lesen dürfen.
utmp:x:20:
locate:x:21: <== locate als user benutzen dürfen? Dat geht doch schon so. updatedb geht nicht als user da /var/... keine Schreibrechte für user.
rfkill:x:24: <== keine Ahnung was das ist.
smmsp:x:25: <== keine Ahnung was das ist.
http:x:33: <== Merkwürdig, oder als User mit http Server ???
games:x:50: <== Hab keine games. Man könnte pro Forma denb User hier eintragen, (ähnlich wie bei optical).
network:x:90: <== In den Artikeln für Netzwerkmanager oder nur kurzer Hinweis für Netzwerkmanager.
video:x:91: <== Nicht mehr nötig? Auch nicht für 3D Anwendungen? Video4linux, dvb, Firewire-Geräte ??
audio:x:92: <== Audiohardware benutzen dürfen.
optical:x:93: <== prüfe ich noch mit cdrecord, cdrskin, growisofs. Wird ersetzt durch dbus+udisks/gvfs. "auf Verdacht" nach optical packen kann nicht schaden.
floppy:x:94: <== Sollte man schon aufnehmen. Dier gibt es ja noch. So manch einer wird noch lange darauf angewisen sein. Ist das auch für zip Laufwerke?
storage:x:95: <== Zur Zeit falsch beschrieben? könnte ich mal prüfen ob man Laufwerke oder usb Sticks mounten, lesen,Schreibrechte hat wenn man da als User drin ist. Tape-Geräte
scanner:x:96: <== erklärt sich von selbst, wird durch sane oder xsane erzeugt.
power:x:98: <== Bei xfce4 wird das nicht gebraucht werde ich mal prüfen ob es ohne grafische Oberflächr von Nutzen ist. Wird ersetzt durch pm-utils, bei sudo sudoers eigentlich nicht notwendig. Austesten.
nobody:x:99: <== Ist ja witzig.
users:x:100: <== Ist man da immer automatisch drin? Oder muß man das expliziet angeben?

Dann sind noch welche bei mir zusätzlich drin:
dbus:x:81: <== Ähnelt von früher etwas mit hal Gruppe. Aber was diese Gruppe asoll??
avahi:x:84: <== Ich weiß immer noch nicht was avahi ist.
camera:x:97: <== wird mitgeliefert mit libgphoto
ntp:x:87: <== Wahrscheinlich nur wenn man einen ntp Server einrichten will.
privoxy:x:42: <== Das weiß ich, proxyeinstellungen als User erlauben.
plugdev:x:101: <== keine Ahnung was das ist
vboxusers:x:108: <== alles klar.
utmp:x:20: <== keine Ahnung
cron:x:22: <== interessant für fcron um als user cronjobs macvhen zu können.
usbmux:x:140: <== keine Ahnung.

GerBra schrieb Alle anderen Gruppen werden ja z.B. von den .install-Skripts der Pakete selbst hinzugefügt, oftmals mit dem pacman-Tip: Füge deinen User der gruppe foobar hinzu um xyz nutzen zu können... Und für diese Gruppen (wie kvm z.B.)

Kurzer Hinweis das man darauf achten sollte kann man ja hinschreiben.

GerBra schrieb Was schön wäre (keine Anung, ob MediaWiki das hergibt) wäre eine "sich selbst pflegende Tabelle aller verfügbaren Gruppen", die sich z.B. dynamisch aus einzelnen Wiki-Artikeln zusammensetzen würde.

Da muß ich passen, so gut bin ich dann doch nicht.

GerBra schrieb find /dev -group network
grep network /lib/udev/rules.d/*
find /proc /sys -group network
find / -xdev -group network

Das ist ja mal was.

Das Thema zieht sich noch was. Aber wie soll sonst ein Neuarcher damit zu recht kommen wenn man sowas nicht lesen kann. Bei Ubuntu wird ja alles vorgekaut und da macht keiner mit Gruppen rum.
Leider wird das Ganze noch mit dem Polkit und Co erschwert. Was soll man machen..

Ich danke Euch nochmals und wünsche das Beste Wochende!!!!

Bis denn..
Gruß aus DN
Greg

GerBra

Greg schrieb Aber wie soll sonst ein Neuarcher damit zu recht kommen wenn man sowas nicht lesen kann. Bei Ubuntu wird ja alles vorgekaut und da macht keiner mit Gruppen rum.

Also ich gehe ja eher davon aus, daß jemand, der sich für Archlinux entscheidet, doch schon über Gruppen ("Aufzucht und Hege" <g>) Bescheid weiß...
Als User muß mich das sowieso nicht interessieren, als Administrator (wenn's auch daheim so ist das der User auch root ist) sehr wohl...

Wenn man nicht schon sowieso über ein gewisses Linux-Allgemeinwissen verfügt wird man nach Lesen des Wikiartikels wohl auch nicht schlauer sein in dem Sinne "Soll er nun hinein in lp oder nicht???" Wenn ich nicht weiß was ich tue (bzw. nachschauen kann ob es Sinn macht) dann macht ein wildes Rumgestochere mit Gruppen auch keinen Sinn.
Wenn man sich aktuelle (filesystem-Paket)/etc/group File nimmt dann sind Gruppen doch dazu da um bestimmte Dinge zu organisieren. Das sind dann:
a) Zugriff auf Geräte (spiegelt sich im /dev Verzeichniss wieder)
b) Ausführen von bestimmten Programmen
c) Zugriff auf Verzeichnisse/Dateien im Dateisystem
Die Gruppenrechte sind nun die einzige Möglichkeit um für mehr als einen User das zu regeln/reglementieren (wenn wir others weglassen). Und User heißt ja unter Linux/Unixen erstmal nicht "du und ich, bzw. der michael", sondern jeder Prozess braucht einen "Besitzer". Deswegen geht es ja hier bei unseren Gruppen nicht zwangsläufig darum: Muß/darf Greg oder GerBra nun rein (als "User")?

Viele der o.a. Gruppen sind teils historisch gewachsen und spielen auch heutzutage nicht mehr *die* Rolle. Dinge/Vorgänge ändern sich: Die Zeiten als Benutzer noch über "dumme" Textterminals (TTYs) direkt auf einem Server/Hostsystem arbeiteten - also ohne X-Server - sind in dieser Form zum Glück vorbei; jeder, der noch mit einer 3270-TE auf dem Host rumwerkelte kann ein Lied davon singen...)
Und man muß bei sowas wie unserem Wiki aufpassen, nicht alle aus der "Warte des Desktops" sehen/erklären zu wollen. Die Server-Welt bzw. Dienste ist gerade bzgl. Gruppen viel spannender, und Linux ist nun mal ein System was vom Server/Host-Bereich mittlerweile auch beim Desktop angekommen ist. Viele Gruppen, die man so vorfindet - zumindest existent in der /e/group - kommen auch aus diesem Bereich bzw. machen "dort Sinn".

Ich hatte ja schon einiges geschrieben zu den Gruppen aus filesystem->/etc/group, wo es für "Benutzer/User wie du und ich" Sinn macht reingepackt zu werden - oder eben besser nicht...

Nochmal ein paar Dinge zu Gregs Aufzählung:

1. adm
Kann man nutzen für Admin-Aufgaben. Wird bei uns aktuell nicht genutzt (früher waren die Logfiles mal gruppenzugehörig zu adm, dafür ist ja aktuell die Gruppe log da). Das ist so eine Gruppe wo eher das Motto gilt: es ist dein Linux, mach was du willst. Wenn du Hilfsadmins hast spricht nichts dagegen diesen über die adm Gruppe Zusatzberechtigungen auf Dinge zu geben....)

2. tty
Da muß kein Benutzer rein. Diese Gruppe ist eher für Prozesse (im Sinne von USER-Id des Prozesses), die z.B. direkt auf /dev/tty* lesen/schreiben müssen. Beispiel *könnte* ein syslog-Dienst sein, der unter dem User syslog als Prozeß läuft und nun direkt auf /dev/tty12 schreiben soll. Dann würde man dem "User" syslog durch Mitgliedschaft in der Gruppe tty die Berechtigung dazu geben...

3. disk (und in diesem Sinn auch storage)
Gegeben sei z.B.:

# ls -l /dev/sda2
brw-rw---- 1 root disk 8, 2 23. Feb 23:29 /dev/sda2

User paul hat z.B. im Filesystem des eingehängten /dev/sda2 nur das Recht sagen wir /mnt/paulbilder zu lesen. Wenn paul aber Mitglied der Gruppe disk ist, dann kopiert er z.B. mit dd if=/dev/sda2 ein Image irgendwohin und mountet dieses Image in einer Umgebung in der er root-rechte(uid 0) hat. Daheim z.B. Und voila, schon kommt er auch an /mnt/chefbilder_mit_monika ran.
Oder (entweder besoffen oder mutwillig) er dreht dd um und macht ein dd if=/dev/zero of=/dev/sda2 - weil schreiben darf er ja als disk-Mitglied auch...
Das ist die Gefährlichkeit bei Zugriffe auf Devicefiles - und das eigentliche Ziel der Aktion war einfach nur dem User Paul Zugriff auf "seinen" Ordner zu geben.
Mit der storage Gruppe hatten wir (hal) eine Zeitlang genau sowas als "Notwendigkeit"- Wechselmedien wurden rw als Devicefiles mit der Gruppe storage erstellt, der User mußte da Mitglied sein um (über hal) das Device einhängen zu dürfen. Bei einer Wechselplatte z.B. die innerhalb einer Firma von verschiedenen Leuten benutzt wird (die alle gesonderte Rechte im Filesystem haben) würde/könnte das ausgehebelt werden durch den - an sich unnötigen - Zugriffsmöglichkeit aufs Device-File. (Sicher hinkt as Beispiel, es gibt bei sowas genug ander Möglichkeiten an die Datehn der Platte zu kommen). Ich will damit eher sagen: Aktuell braucht ein Benutzer kein Zugriff auf ein Devicefile für Wechselmedien mehr und das finde ich gut.
(NB: Und man sollte nicht so tun: Pah, ich bin doch mein Benutzer, da kann der Zugriff über disk/storage nicht schaden. "Liederlich" mit Rechten umzugehen sollte man sich garnicht angewöhnen: Was daheim evtl. noch "funzt" wird einem später beruflich vielleicht mal zum Verhängnis...)

4. lp
Gedruckt wird i.d.R. über Dienste wie den CUPSd (und somit müßte nur der User unter dem cupsd gestartet wird ggf. in die lp Gruppe). Ein Benutzer (du und ich) hat mit dem Devicefile /dev/parportX normalerweise nichts am Hut, zumindest nichts was die Gruppe (lp = lineprinter, wer hat noch einen Zeilendrucker<g>) suggeriert. Mittels der Gruppe lp kann ein Admin z.B. sowas wie Druckeradministratoren generieren (Lofgile-Auswertung, Druckdaemon-Wartung....)

5. mem/kmem
Suggeriert schon "irgendwas mit Speicher". Ist wohl eher für (Kernel)-entwickler nötig, bei Debug-Kernel gibt es AFAIK Module oder Devicefiles, die im weitesten Sinn "Speicherabbilder" sind... Für sowas wäre dann diese Gruppe sinnvoll (da man Entwicklern ja nicht unter jeder Umgebung root-Rechte geben will).
Vor einiger Zeit war AFAIK das Abbild des Hauptspeichers im proc-FS /proc/kcore noch root:mem. Vorstellbar wäre z.B. ein Virenscanner, der auch das Speicherabbild scannen soll. Wenn dieser Prozess nun als User avir laufen würde könntem diesem User übr die Gruppe mem/kmem Zugriff darauf gewährt werden... Also auch hier nichts für Benutzer "wie du und ich"...

6. mail, ftp, http
Auch das sind Gruppen die nicht für Benutzer gedacht sind, wohl aber um Dienste zu organisieren. Um z.B. den (System)usern unter denen der postix-MTA (dessen Prozesse) laufen Zugriff auf bestimmte Verzeichnisse geben zu können (und noch dem Virenscanner Prozeß dazu) gibt es die Grupppe mail.
Genauso erstmal http. Nicht alles von der Desktop/Heimrechner-Seite betrachten wollen ("Mein Firefox klappt doch auch ohne Mitgleidschaft in der gruppe!"). Wenn ein Webserver unter dem User apache läuft, dann muß der aktuell in die http-Gruppe da nur Gruppenmitglieder nach /srv/http/htdocs lesen/schreiben dürfen (wenn der Admin es so einrichtet mittels Gruppen). Und wenn es nun noch einen Indexer wie htdig o.ä. gibt, der muß ggf. auch in diese Gruppe damit er überhaupt an die zu indiziernden Dateien "rankommt"...
Und nein: ein FTP-Transfer für einen Benutzer geht nicht schneller, besser, schöner <g> wenn dieser Benutzer in der ftp-gruppe ist ;-)

7. nobody
User und gruppe nobody nimmt man immer für Prozesse die eigentlich "keinerlei Rechte haben" sollen, somit weitgehend unpriviligiert und ein "Niemand" auf dem System sind. Webserver werden gerne unter dem User nobody laufen lassen. Traditionsmäßig sollte man user und gruppe nobody eigentlich von allem auschließen (wo es Ausschluß-Regeln gibt).

8. dbus/hal
Der dbus-Systemdaemon-prozess läuft unter dem benutzer dbus (bei hal war es der User hal). Der dbus-Prozeß legt nun diverse "Dateien" (Files, verzeichnisse, Sockets, FIFOs,...) an - unter Linux ist bekanntlich alles eine "Datei" - die alle "Rechte" haben, also Owner:Gruppe:Others. hal und dbus interagierten nun bei verschiedenen Dingen, da Prozeß-Owner aber nur beschränkten Zugriff hatten (eben keine root-Rechte) mußte der User hal z.B. in der Gruppe dbus sein (oder umgekehrt) um über die Gruppenrechte die Möglichkeit zu haben auf bestimmte Dinge des anderen Daemons Zugriff zu haben.
Das ist ein gutes Beispiel das sich komplexe Systeme (und das ist Linux, nicht unbedingt kompliziert - aber komplex) auch in komplexeren Strukturen neiderschlagen - und das auch Dienste "User" sein können, nicht nur die Benutzer "wie du und ich"...
Aber angenommen: ich als GerBra habe ein geniales Tool was mit dbus "arbeitet". Das will ich nun laufen lassen unter meinem Usernamen. Da kann es dann notwenduig und sinnvoll sein wenn ich meinen Admin (auch mich <g>) bitte mich doch in die dbus-gruppe zu packen. Aber nur um über zig Prozess-OwnerUID-Eskalationen Thunar zu nutzen - dafür ist dbus nicht gedacht und nicht nötig...

Ich habe es deswegen (wieder mal!) sehr ausführlich gemacht um eigentlich nur hier kurz zu sagen:
Nicht jede Gruppe in /e/group ist es "wert" darauf abgeklopft zu werden: Sollen da "du und ich" rein?
Genauso falsch wäre es am Sudoko-Spiele-PC (mit Linux, klar!) zu sitzen und sich über die Jahre entstandenes, bewährtes zu belustigen, zu wundern - oder graue Haare zu kriegen. Die Linux-Welt ist (zum Glück!) größer und spannender als die evtl. 60cm zwischen Kopf und Bildschirm im OSI-Layer8-Bereich ;-))))))

Greg

GerBra du bist ja unermüdlich.!!
Nicht schlecht.

Ich werde demnächst mal einen Versuch starten eine Zusammenfassung zu machen.
Zur lp Gruppe würde ich noch sagen, die bezieht sich nicht mehr alleine auf drucken, wie du schon schreibst macht das cups selber. Sondern wenn einer wie ich ein Programmer hat der mit Parallelschnittstelle arbeitet, dann braucht man die Gruppenrechte lp.

Dann habe ich mal den user aus optical genommen. reboot, mit cdrskin und cdrecord eine cd gebrannt. funktioniert auch ohne optical. Mit wodim kann ich nicht testen, da ich kein cdrkit drauf habe.

Bis denn erst mal.
Schönen Sonntag !!

Dirk

Ich habe mal aufgeräumt 🙂1

$ groups
video audio users abs

Alles funktioniert noch wie vorher (wobei da vorher ja eh nur optical und log noch drin waren, ka. warum ich mal in log war)

mannohneschuh

ich bin in der gruppe log weil ich dann logs lesen kann

T.M.

Ja, die Idee ist gut und lohnenswert. Auf diese Weise lässt sich wenigstens ein bisschen Übersicht ins Chaos bringen.

Wünschenswert wäre noch zu wissen, welches Programm (oder Paket) auf welche Gruppe(n) zugreift. Gerade das ist ja oft eine Fehlerquelle: man installiert etwas und es läuft einfach nicht, weil man nicht mitbekommen hat, dass an irgendeiner Stelle irgendeine verdammte Gruppe notwendig ist. - Aber mir ist klar, das ist verdammt viel verlangt. Das läuft auf echte Forschung hinaus und wird sich gar nicht immer zweifelsfrei ermitteln lassen ...

Greg

T.M. schriebJa, die Idee ist gut und lohnenswert. Auf diese Weise lässt sich wenigstens ein bisschen Übersicht ins Chaos bringen.
Wünschenswert wäre noch zu wissen, welches Programm (oder Paket) auf welche Gruppe(n) zugreift. Gerade das ist ja oft eine Fehlerquelle: man installiert etwas und es läuft einfach nicht, weil man nicht mitbekommen hat, dass an irgendeiner Stelle irgendeine verdammte Gruppe notwendig ist. - Aber mir ist klar, das ist verdammt viel verlangt. Das läuft auf echte Forschung hinaus und wird sich gar nicht immer zweifelsfrei ermitteln lassen ...

Da schrieb GerBra schon was:
find /dev -group network
grep network /lib/udev/rules.d/*
find /proc /sys -group network
find / -xdev -group network

Es zieht sich noch etwas bis ich ans Wiki gehe. Wer mag kann ja schon anfangen.

Bis denn..

mannohneschuh

grep -e "group" -e "Gruppe" /var/log/pacman.log

wäre interessant wenn man verpasst hat das ein programm ein (neue) gruppenzugehörigkeit erfordert.

GerBra

Ich kam am WE nicht zum Testen, mir hat jemand Zeit gestohlen (wer meine Zeit findet, bitte Mail an mich <g>)...

Gerade nochmal kurz durch unsere /var/abs/*/*.install Files gegreppt und bißchen was an Infos rausgeparst welches Paket ggf. welche Gruppe anlegt/löscht bzw. Hinweise gibt doch bitte Benutzer hinzuzufügen...

Diese Infos sollten IMHO *NICHT* zwangsläufig im Wiki-Artikel auftauchen, auf den Wiki-Seiten zum jeweiligen Paket sind die meisten sicher besser aufgehoben. Nur, damit wir mal sehen mit welchen Gruppen wer arbeitet. Und evtl. entscheiden wir uns ja doch für eine Form die alle Gruppen "erklären" will, dann sind die Infos ggf. hilfreich....

Paketname                       Gruppe          GID     Add/Del Recommed for users?
---------------------------------------------------------------------------------------
community/adesklets             adesklets       107     y/y     y
community/bacula                bacula          77      y/y     n
community/boinc                 boinc           *       y/y     n
extra/brltty                    brlapi          *       y/y     y
extra/libgphoto2                camera          97      y/y     y       Löscht auch camera!!!
community/cdemu-daemon          cdemu           *       y/y     n
community/courier-authlib       courier         72      y/y     n
core/dbus-core                  dbus            81      y/y     n
extra/deluge                    deluge          125     y/y     n
community/dkfilter              dkfilter        *       n/n     n       Gruppe wird nicht erstellt
extra/dovecot                   dovecot         76      y/y     n
extra/dovecot                   dovenull        74      y/y     n
community/dspam                 dspam           115     y/n     n
community/exim                  exim            79      y/n     n
community/typespeed             games           20      y/n     n
multilib/dwarffortress          games           -       n/n     y       Hinweis User in gruppe games
community/bad-games             games           -       n/n     y       Nur Hinweis auf add
community/btanks                games           -       n/n     y       Nur Hinweis auf add
extra/gdm                       gdm             120     y/y     n
community/incron                incron          *       y/y     n
community/ircservices           irc             *       y/n     n
community/ultimate-ircd         irc             *       y/y     n
community/ejabberd              jabber          *       y/y     n
extra/kdebase-workspace         kdm             135     y/y     n
extra/kismet                    kismet          315     y/y     y
extra/qemu                      kvm             78      y/y     y
extra/qemu-kvm                  kvm             78      y/y     y
core/openldap                   ldap            439     y/y     n
community/libvirt               libvirt         *       n/n     n       Wird nicht erstellt im Paket?
core/mlocate                    locate          21      y/y     n       Entfernt auch slocate,mlocate
extra/systemd                   lock            54      y/y     n
community/lxdm                  lxdm            121     y/y     n
extra/mailman                   mailman         80      y/y     n
community/minbif                minbif          67      y/y     n
extra/mpd                       mpd             45      y/y     n(y)
extra/munin                     munin           *       y/n     n
community/murmur                murmur          86      y/y     n
community/percona-server        mysql           89      y/y     n       
extra/mysql                     mysql           89      y/y     n
community/bind-geodns           named           40      y/y     n
community/nbd                   nbd             44      y/y     n
community/hsolink               network         -       n/n     y       Nur Hinweis auf add
community/leafnode              news            13      y/n     n
community/inn                   news            13      y/n     n
extra/networkmanager-openconnect nm-openconnect 104     y/y     n
extra/fssos-nsvs                nsvsd           83      y/y     n
community/openntpd              ntp             87      y/n     n
extra/freenx                    nx              -       n/y     -       Löscht nur beim Entfernen?
extra/pulseaudio                -               -       n/y     n       Löscht nur alte pulse-access,pulse-rt,pulse
extra/oprofile                  oprofile        492     y/y     n
community/osec                  osecgroup       *       y/y     n
community/osiris                osiris          18      y/y     n
community/partimage             partimag        110     y/y     n
extra/postgres                  postgres        88      y/y     n
community/postgrey              postgrey        314     y/y     n
community/privoxy               privoxy         42      y/y     n
community/prosody               prosody         412     y/n     n
extra/squid                     proxy           15      y/y     n
community/quagga                quagga          *       y/y     n
community/freeradius            radiusd         *       y/y     n
extra/rtkit                     rtkit           133     y/y     n
community/sauerbraten           sauerbraten     *       y/n     n
extra/sane                      scanner         -       n/n     y       Hinweis auf Gruppe scanner
community/snort                 snort           29      y/y     n
community/stunnel               stunnel         16      y/y     n
community/tenshi                tenshi          *       y/y     n
extra/tomcat6                   tomcat          66      y/y     n
extra/tomcat7                   tomcat          66      y/y     n
extra/tomcat                    tomcat          66      y/y     n
community/tor                   tor             43      y/y     n
extra/usbmuxd                   usbmux          140     y/y     n
community/ushare                ushare          *       y/y     n
extra/hylafax                   uucp            14      y/y     n       Löscht auch uucp!!!
community/virtualbox            vboxusers       108     y/y     n(y)
community/vlock                 vlock           129     y/y     n
community/gufw                  wheel           -       n/n     n       Nur Hinweis auf sudo
extra/wireshark                 wireshark       150     y/y     y

Infos erhalten durch:

grep group /var/abs/*/*/*.install

Aufgeführt sind also hier nur Gruppen, die durch pacman bei der Paketsinstallation/Löschung bearbeitet werden (im jeweiligen *.install File).
Sternchen(*) in der GID-Spalte bedeutet, daß die Gruppe mit der nächstfreien GID angelegt wird. Also ohne feste UID...
Welcher Maintainer/Paket welche UID bei Archlinux belegt ist im Developer-Wiki hier nachlesbar:
https://wiki.archlinux.org/index.php/DeveloperWiki:UID_/_GID_Database

In der o.a. Tabelle sind nun keine Pakete aus dem AUR aufgeführt, ich habe keinen Zugriff auf alle *.install-Files dort. Ob man über Tools wie yaourt (ähnlich wie über abs) an die Infos käme - ohne ein Paket installiert/gebaut zu haben - weiß ich nicht...

//Edit: durch das Paket core/filesystem wird ja das Basis-/etc/group File mitgebracht. Weiterhin wird durch dieses Paket sichergestellt, daß folgende Gruppen vorhanden sind:

/var/abs/core/filesystem/filesystem.install:    _addgroup optical -g 93
/var/abs/core/filesystem/filesystem.install:    _addgroup audio   -g 92
/var/abs/core/filesystem/filesystem.install:    _addgroup video   -g 91
/var/abs/core/filesystem/filesystem.install:    _addgroup floppy  -g 94
/var/abs/core/filesystem/filesystem.install:    _addgroup storage -g 95
/var/abs/core/filesystem/filesystem.install:    _addgroup log     -g 19
/var/abs/core/filesystem/filesystem.install:    _addgroup utmp    -g 20
/var/abs/core/filesystem/filesystem.install:    _addgroup power   -g 98
/var/abs/core/filesystem/filesystem.install:    _addgroup network -g 90
/var/abs/core/filesystem/filesystem.install:    _addgroup games   -g 50
/var/abs/core/filesystem/filesystem.install:    _addgroup uucp    -g 14
/var/abs/core/filesystem/filesystem.install:    _addgroup http    -g 33
/var/abs/core/filesystem/filesystem.install:    _addgroup scanner -g 96
/var/abs/core/filesystem/filesystem.install:    _addgroup rfkill  -g 24

Greg schrieb users:x:100: <== Ist man da immer automatisch drin? Oder muß man das expliziet angeben?

Vergessen was zu zu schreiben....
Das ist geregelt über /etc/default/useradd (GROUP=100). Hier ließen sich auch weitere Gruppen angeben, in denen neue User reinkämen. Durch gesonderte Konfigfiles lassen sich so auch recht einfach neue Benutzer nach "Klasse" anlegen, z.B. Buchhaltung oder Lager (die jeweils dann andere Gruppen hätten).... Siehe: man useradd

Nächste Seite »