Proč Debian ve výchozím nastavení nevytváří skupinu ' wheel '?

Zdá se, že unixová tradice je skupina kol vytvářena automaticky, ale Debian (a děti, přirozeně), nedělá to. Existuje někde důvod? Kde jinde jste viděli tuto tradici zavrhovanou?

Odpověď

Některé unixové systémy umožňují použití su pouze členům skupiny wheel. Jiné umožňují použití pokud znají heslo cílového uživatele. Existují dokonce systémy, kde je ve skupině wheel přístup root bez hesla; Ubuntu to dělá, kromě toho, že skupina se jmenuje sudo (a nemá ID 0).

Myslím, že wheel je většinou BSD věc. Linux je směsí BSD a System V a různé distribuce mají různé výchozí zásady, pokud jde o udělení přístupu root. Debian implicitně neimplementuje skupinu kol; chcete-li jej povolit, odkomentujte řádek auth required pam_wheel.so v /etc/pam.d/su.

Komentáře

  • rhel má skupinu kol a také sudo, ve kterém můžete nastavit celou skupinu kol bez hesla. ' Nesleduji váš bod, omlouvám se.
  • V Ubuntu 15.10 odkomentování tohoto řádku neobnoví skupinu kol. Můžete však duplikovat " kořenovou " skupinu v / etc / group wheel:x:0:root a upravte soubor /etc/pam.d/su jako auth required pam_wheel.so group=wheel (odstranění komentáře dříve).
  • skupina, která místo ní používá sudo skupinu pro účely pam. Stačí přidat group=sudo za výpisem. např. Chcete-li členům skupiny sudo povolit su bez hesla, jednoduše odkomentujte / upravte řádek v /etc/pam.d/su takto: auth sufficient pam_wheel.so trust group=sudo
  • Je to pravda a existuje v Ubuntu 16.04 LTS, ale zdá se, že to není stejné jako dříve. sudoers je způsob, jak to nyní ovládat (září 2017).
  • @SDsolar Toto se ' nezměnilo v Ubuntu: /etc/sudoers byl vždy způsob, jak řídit přístup root. Ale protože výchozí sudoers umožňuje komukoli ve skupině sudo, aby se stal rootem, můžete ovládat root přístup spravováním seznamu uživatelů, kteří jsou ve skupině sudo.

Odpovědět

Protože kolo je nástroj útlaku! Z info su:

Proč GNU „su“ nepodporuje skupinu „wheel“

(Tato část je od Richarda Stallmana.)

Někdy se několik uživatelů snaží udržet veškerou moc nad všemi ostatními. Například v roce 1984 se několik uživatelů v laboratoři MIT AI rozhodlo chopit se energie změnou hesla operátora v systému Twenex a jeho utajením před všemi ostatními. (Byl jsem schopen zmařit tento převrat a dát moc zpět uživatelům opravou jádra, ale nevěděl bych, jak to udělat v Unixu.)

Vládci to však občas někomu řeknou. Podle obvyklého mechanismu „su“, jakmile se někdo naučí heslo root, který sympatizuje s běžnými uživateli, může říci zbytek. Funkce „skupina koleček“ by to znemožnila, a tím by upevnila moc vládců.

Jsem na straně mas, nikoli vládců. Pokud jste zvyklí podporovat šéfové a administrátoři ať už dělají cokoli, může se vám tento nápad zdát divný.

Viz také Reference k Debianu . V každém případě je skupina sudo integrována, takže kdo potřebuje wheel?

Komentáře

  • Neznám ' historii, ale pochybuji, že tento citát je skutečným důvodem, proč Debian ' Ve výchozím nastavení není implementována skupina wheel. (Debian ' s su nepodporuje skupinu wheel, je ' ve výchozím nastavení povolena.) Každopádně rms se může vztahovat na MIT v 80. letech, ale ' neplatí pro většinu míst, kde nelze důvěřovat všem uživatelům a všudypřítomná přístupnost k internetu znamená, že je třeba zabezpečit ochranu před útočníky z celého světa.
  • Docela dobře. Hah.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *