Zdá se, že unixová tradice je skupina kol vytvářena automaticky, ale Debian (a děti, přirozeně), nedělá to. Existuje někde důvod? Kde jinde jste viděli tuto tradici zavrhovanou?
Odpověď
Některé unixové systémy umožňují použití su
pouze členům skupiny wheel
. Jiné umožňují použití pokud znají heslo cílového uživatele. Existují dokonce systémy, kde je ve skupině wheel
přístup root bez hesla; Ubuntu to dělá, kromě toho, že skupina se jmenuje sudo
(a nemá ID 0).
Myslím, že wheel
je většinou BSD věc. Linux je směsí BSD a System V a různé distribuce mají různé výchozí zásady, pokud jde o udělení přístupu root. Debian implicitně neimplementuje skupinu kol; chcete-li jej povolit, odkomentujte řádek auth required pam_wheel.so
v /etc/pam.d/su
.
Komentáře
Odpovědět
Protože kolo je nástroj útlaku! Z info su
:
Proč GNU „su“ nepodporuje skupinu „wheel“
(Tato část je od Richarda Stallmana.)
Někdy se několik uživatelů snaží udržet veškerou moc nad všemi ostatními. Například v roce 1984 se několik uživatelů v laboratoři MIT AI rozhodlo chopit se energie změnou hesla operátora v systému Twenex a jeho utajením před všemi ostatními. (Byl jsem schopen zmařit tento převrat a dát moc zpět uživatelům opravou jádra, ale nevěděl bych, jak to udělat v Unixu.)
Vládci to však občas někomu řeknou. Podle obvyklého mechanismu „su“, jakmile se někdo naučí heslo root, který sympatizuje s běžnými uživateli, může říci zbytek. Funkce „skupina koleček“ by to znemožnila, a tím by upevnila moc vládců.
Jsem na straně mas, nikoli vládců. Pokud jste zvyklí podporovat šéfové a administrátoři ať už dělají cokoli, může se vám tento nápad zdát divný.
Viz také Reference k Debianu . V každém případě je skupina sudo
integrována, takže kdo potřebuje wheel
?
Komentáře
- Neznám ' historii, ale pochybuji, že tento citát je skutečným důvodem, proč Debian ' Ve výchozím nastavení není implementována skupina
wheel
. (Debian ' ssu
nepodporuje skupinuwheel
, je ' ve výchozím nastavení povolena.) Každopádně rms se může vztahovat na MIT v 80. letech, ale ' neplatí pro většinu míst, kde nelze důvěřovat všem uživatelům a všudypřítomná přístupnost k internetu znamená, že je třeba zabezpečit ochranu před útočníky z celého světa. - Docela dobře. Hah.
wheel:x:0:root
a upravte soubor /etc/pam.d/su jakoauth required pam_wheel.so group=wheel
(odstranění komentáře dříve).sudo
skupinu pro účelypam
. Stačí přidatgroup=sudo
za výpisem. např. Chcete-li členům skupinysudo
povolitsu
bez hesla, jednoduše odkomentujte / upravte řádek v/etc/pam.d/su
takto:auth sufficient pam_wheel.so trust group=sudo
sudoers
je způsob, jak to nyní ovládat (září 2017)./etc/sudoers
byl vždy způsob, jak řídit přístup root. Ale protože výchozísudoers
umožňuje komukoli ve skupiněsudo
, aby se stal rootem, můžete ovládat root přístup spravováním seznamu uživatelů, kteří jsou ve skupiněsudo
.