Det ser ud til at være Unix-tradition , at en hjulgruppe oprettes automatisk, men Debian (og børn, naturligvis) gør det ikke. Er der en begrundelse et eller andet sted? Hvor har du ellers set denne tradition kasseret?
Svar
Nogle unix-systemer tillader kun medlemmer af wheel
-gruppen at bruge su
. Andre tillader alle at bruge su
hvis de kender adgangskoden til målbrugeren. Der er endda systemer, hvor det at være i wheel
-gruppen giver adgangskodeløs rodadgang; Ubuntu gør dette, bortset fra at gruppe hedder sudo
(og har ikke id 0).
Jeg tror wheel
er for det meste en BSD ting. Linux er en blanding af BSD og System V, og de forskellige distributioner har forskellige standardpolitikker med hensyn til at give rootadgang. Debian implementerer ikke som standard en hjulgruppe; hvis du vil aktivere det, skal du fjerne kommentar til auth required pam_wheel.so
linjen i /etc/pam.d/su
.
Kommentarer
Svar
Fordi hjulet er et redskab til undertrykkelse! Fra info su
:
Hvorfor GNU “su” ikke understøtter “hjul” -gruppen
(Dette afsnit er af Richard Stallman.)
Nogle gange prøver nogle få af brugerne at have total magt over resten. For eksempel besluttede et par brugere på MIT AI-laboratoriet i 1984 at tage magten ved at ændre operatøradgangskoden på Twenex-systemet og holde det hemmeligt for alle andre. (Jeg var i stand til at modarbejde dette kup og give magten tilbage til brugerne ved at lappe kernen, men jeg ville ikke vide, hvordan man gør det i Unix.)
Imidlertid fortæller herskerne undertiden nogen. Under den sædvanlige “su” -mekanisme, når nogen lærer rodadgangskoden, der sympatiserer med de almindelige brugere, kan han eller hun fortælle resten. “Hjulgruppefunktionen” ville gøre dette umuligt og dermed cementere herskernes magt.
Jeg er på siden af masserne, ikke herskernes. Hvis du er vant til at støtte bosser og sysadmins, uanset hvad de gør, kan du måske finde denne idé underlig i starten.
Se også Debian-reference . Under alle omstændigheder er sudo
-gruppen indbygget, så hvem har brug for wheel
?
Kommentarer
- Jeg kender ikke ' historien, men jeg tvivler på, at dette citat er den virkelige grund til, at Debian ikke ' t implementerer
wheel
-gruppen som standard. (Debian ' ssu
understøtterwheel
-gruppen, den ' er bare ikke aktiveret som standard.) Alligevel er rms ' s ræsonnement gælder muligvis for MIT i 1980erne, men det ' t gælder for de fleste steder, hvor ikke alle brugere kan stole på, og allestedsnærværende internetadgang betyder, at sikkerhed skal beskyttes mod angribere fra hele verden. - Ret godt. Hah.
wheel:x:0:root
og rediger /etc/pam.d/su-filen somauth required pam_wheel.so group=wheel
, (fjern kommentaren før).wheel
-gruppen for at gøre brug afsudo
-gruppen i stedet forpam
-formål. Bare tilføjgroup=sudo
efter udsagnet. for eksempel. for at tillade medlemmer afsudo
-gruppen atsu
uden adgangskode, skal du blot kommentere / ændre linjen i/etc/pam.d/su
som følger:auth sufficient pam_wheel.so trust group=sudo
sudoers
er måden at kontrollere dette på nu (september 2017)./etc/sudoers
har altid været måden at kontrollere rodadgang på. Men da standardsudoers
tillader, at nogen isudo
-gruppen bliver rod, kan du kontrollere rodadgang ved at administrere listen over brugere, der er isudo
-gruppen.