[groupes] besoin d'éclairage dans la brume (résolu)

[RoKN]

Salut !

Voilà, je suis un peu perdu dans un truc que j'ai jamais vraiment pigé comment ça fonctionnait et que c'est pas bien parce que c'est une des bases de Linux : LES GROUPES *tadaaaa*

Par déduction, j'imagine que les groupes servent à gérer les applications qui appartiennet à ces groupes, par exemple "VLC" appartient aux groupes "audio" et "videos" au moins... dans ce cas, comment connaitre les groupes auquels appartiennent les applications ?
Où gérer ça ?

De plus, j'ai une application, Puredata (pd-extended pour etre plus précis). Celle-ci, sur une autre machine, me permet d'utiliser un objet qui me permet d'utiliser les ports USB sans privilèges root, chose quie m'est impossible avec mon installation actuelle de Arch qui me force à lancer pd-extended en root pour pouvoir accéder aux ports USB.
J'imagine que ça se règle en ajoutant pd-extended au groupe ayant la permission d'accéder aux ports USB ?

Merci

[waitnsea]

Bonjour RoKN,
Tout est dans le(s) wiki...
Précisons quand même :
1) Ne pas modifier "en force" le fichier /etc/groups, car ça va créer des conflits avec la gestion par shadow, donc utiliser impérativement la commande :

Code : Tout sélectionner

# usermod -a -G <noms de tous les groupes avec virgule> <ton_nom_d_user>

(le -G sert à ne pas supprimer les groupes dans lesquels tu es déjà)
2) systemd dispense de mettre l'user dans de nombreux groupes, et il vaut mieux ne pas le faire, donc bien lire https://wiki.archlinux.org/index.php/Us ... emd_groups

[FoolEcho]

Salut,

Voilà, je suis un peu perdu dans un truc que j'ai jamais vraiment pigé comment ça fonctionnait et que c'est pas bien parce que c'est une des bases de Linux : LES GROUPES *tadaaaa*

Par déduction, j'imagine que les groupes servent à gérer les applications qui appartiennet à ces groupes, par exemple "VLC" appartient aux groupes "audio" et "videos" au moins... dans ce cas, comment connaitre les groupes auquels appartiennent les applications ?
Où gérer ça ?

De plus, j'ai une application, Puredata (pd-extended pour etre plus précis). Celle-ci, sur une autre machine, me permet d'utiliser un objet qui me permet d'utiliser les ports USB sans privilèges root, chose quie m'est impossible avec mon installation actuelle de Arch qui me force à lancer pd-extended en root pour pouvoir accéder aux ports USB.
J'imagine que ça se règle en ajoutant pd-extended au groupe ayant la permission d'accéder aux ports USB ?

Tes déductions me semblent prises à l'envers...

Déjà les applications n'appartiennent pas à des groupes.
Ce sont les utilisateurs qui font partie de groupes, ce qui leur donne ainsi accès à plus ou moins de choses. Sous Linux, «tout est fichier» et les droits d'accès en lecture/écriture et modification sont déterminés par 3 ensemble: les droits pour un utilisateur donné, les droits pour un groupe donné et les droits pour le reste du monde. Ainsi un utilisateur (groupe user) pourra lancer de nombreuses applications mais pas d'outils d'administration (réservé à root) ou uniquement de manière limitée.

L'erreur commune (issue du fait que les gens sont chez eux à la fois utilisateurs et administrateurs de leur pc + habitude windows + manque de connaissance) est que les utilisateurs sous Linux ont tendance à tout lancer en root dès lors qu'une application leur résiste...

[oktoberfest]

Les groupes, comme les utilisateurs, ont comme intérêt principal la gestion des droits d'accès aux fichiers. Car n'oublions pas que sous Linux, tout est fichier.

De façon traditionnelle l'accès à un périphérique se fait via un fichier spécial dans /dev. Si tu trouves le fichier dont a besoin l'application et que tu regardes ses droits via un ls, tu sauras vite de quoi tu as besoin.

Par exemple si je prends /dev/sda, je vois :

Code : Tout sélectionner

$ ls -l /dev/sda
brw-rw---- 1 root disk 8, 0 28 sept. 09:15 /dev/sda

Si tu lances maintenant la commande 'fdisk /dev/sda', tu as deux comportements possibles :
- tu ne fais pas partie du groupe disk --> fdisk va râler en te disant 'fdisk: impossible d'ouvrir /dev/sda: Permission non accordée'
- tu fais partie du groupe disk --> tu peux t'amuser à tout casser, fdisk est content.

Plus haut j'indique 'de façon traditionnelle', car maintenant certains droits sont gérés via polkit.

Il reste maintenant à voir pour ton application à quels fichiers spéciaux elle veut accéder et voir quels sont les permissions positionnées dessus. Tu peux utiliser ton autre machine pour faire un état des lieux.

[RoKN]

Ok d'accord, déjà ça remet ce que je pensai en place.
Par contre, qu'est-ce qui explique qu'une application peut sans problème accéder aux périphériques USB sur un système et ne peux pas le faire hors droits root sur un autre ?
Ça dépends des permissions de l'utilisateur qui lance la dite application ?

[benjarobin]

Ça dépends des permissions de l'utilisateur qui lance la dite application ?

Oui, en faite cela dépend de 2 choses :
- Des groupes possédés par l'utilisateur
- Du groupe nécessaire sur le "device", groupe souvent fixé par une règle udev

Mais il faudrait savoir ce que tu entends par périphérique USB, l'application à besoin de quoi ?

[RoKN]

Ben en fait, avec pd-extended, il existe un objet "comport" qui permet d'envoyer des données aux périphériques connectés (en USB pour ma part, je ne sais pas si ça fonctionne pour d'autres type de brahcnement genre Firewire).
Il n'y a pour le moment que sous Arch ou ça me retourne une erreur comme quoi comport n'as pas la permission requise :

Code : Tout sélectionner

[comport] ** ERROR ** could not open device /dev/ttyS0:
 failure(13): Permission denied

[comport] opening serial port 0 failed!

J'ai donc essayé de m'ajouter au groupe "tty" :

Code : Tout sélectionner

[ronan@dv7 ~]$ groups ronan
tty video audio storage users

mais rien à faire.

[benjarobin]

Tu ne dois pas appartenir au groupe tty... Donc ici il suffit de regarder le groupe associé à /dev/ttyS0,

Code : Tout sélectionner

ls -l /dev/ttyS0

Normalement c'est uucp

[RoKN]

Code : Tout sélectionner

[ronan@dv7 ~]$ ls -l /dev/ttyS0
crw-rw---- 1 root uucp 4, 64 28 sept. 13:59 /dev/ttyS0

Bien joué

Ça ne me retourne plus d'erreur de permission, seulement :

Code : Tout sélectionner

[comport] ** ERROR ** could not get termios-structure of device /dev/ttyS0

... mais j'imagine que ça n'as rien à voir directement avec le sujet présent.

Merci beaucoup !