Warum erstellt Debian nicht standardmäßig die ' Rad ' -Gruppe?

Es scheint Unix-Tradition zu sein, dass eine Radgruppe automatisch erstellt wird, aber Debian (und Kinder natürlich) tun dies nicht. Gibt es irgendwo eine Begründung? Wo sonst haben Sie diese Tradition verworfen gesehen?

Antwort

Einige Unix-Systeme erlauben nur Mitgliedern der Gruppe wheel die Verwendung von su. Andere erlauben jedem die Verwendung von su, wenn sie das Kennwort des Zielbenutzers kennen. Es gibt sogar Systeme, in denen die wheel -Gruppe einen kennwortlosen Root-Zugriff gewährt Die Gruppe heißt sudo (und hat keine ID 0).

Ich denke, wheel ist meistens eine BSD Ding. Linux ist eine Mischung aus BSD und System V, und die verschiedenen Distributionen haben unterschiedliche Standardrichtlinien hinsichtlich der Gewährung des Root-Zugriffs. Debian implementiert standardmäßig keine Radgruppe. Wenn Sie es aktivieren möchten, kommentieren Sie die Zeile auth required pam_wheel.so in /etc/pam.d/su aus.

Kommentare

  • rhel hat eine Radgruppe und auch sudo, in dem Sie die gesamte Radgruppe passwortlos machen können. Ich ' folge Ihrem Standpunkt leider nicht.
  • In Ubuntu 15.10 wird die Radgruppe nicht wiederhergestellt, wenn Sie diese Zeile auskommentieren. Sie können jedoch die " root " -Gruppe in / etc / group wheel:x:0:root und duplizieren Ändern Sie die Datei /etc/pam.d/su als auth required pam_wheel.so group=wheel (entfernen Sie den Kommentar zuvor).
  • Sie müssen die Gruppe, um die sudo Gruppe an ihrer Stelle für pam Zwecke zu verwenden. Fügen Sie einfach group=sudo nach der Anweisung hinzu. z.B. Um Mitgliedern der Gruppe sudo zu erlauben, su ohne Passwort zu verwenden, kommentieren / ändern Sie einfach die Zeile in /etc/pam.d/su wie folgt: auth sufficient pam_wheel.so trust group=sudo
  • Alles wahr, und es existiert in Ubuntu 16.04 LTS, scheint aber nicht dasselbe zu sein wie zuvor. sudoers ist die Möglichkeit, dies jetzt (September 2017) zu steuern.
  • @SDsolar Dies hat ' nicht geändert Ubuntu: /etc/sudoers war schon immer die Möglichkeit, den Root-Zugriff zu steuern. Da die Standardeinstellung sudoers es jedem in der Gruppe sudo ermöglicht, root zu werden, können Sie den Root-Zugriff steuern, indem Sie die Liste der Benutzer verwalten in der Gruppe sudo.

Antwort

Weil Rad ist ein Werkzeug der Unterdrückung! Von info su:

Warum GNU „su“ die „Rad“ -Gruppe

nicht unterstützt

(Dieser Abschnitt stammt von Richard Stallman.)

Manchmal versuchen einige Benutzer, die gesamte Macht über den Rest zu behalten. Zum Beispiel beschlossen 1984 einige Benutzer des MIT AI-Labors, die Stromversorgung zu nutzen, indem sie das Bedienerkennwort auf dem Twenex-System änderten und es vor allen anderen geheim hielten. (Ich konnte diesen Coup vereiteln und den Benutzern durch Patchen des Kernels die Macht zurückgeben, aber ich würde nicht wissen, wie das unter Unix geht.)

Gelegentlich erzählen die Herrscher es jedoch jemandem. Nach dem üblichen „su“ -Mechanismus kann jemand, der das Root-Passwort gelernt hat und mit den normalen Benutzern sympathisiert, den Rest mitteilen. Die Funktion „Radgruppe“ würde dies unmöglich machen und somit die Macht der Herrscher festigen.

Ich bin auf der Seite der Massen, nicht auf der Seite der Herrscher. Wenn Sie es gewohnt sind, die zu unterstützen Chefs und Systemadministratoren finden diese Idee zunächst seltsam.

Siehe auch Debian-Referenz . Wie auch immer, die Gruppe sudo ist integriert. Wer benötigt also wheel?

Kommentare

  • Ich kenne die Geschichte nicht ', aber ich bezweifle, dass dieses Zitat der wahre Grund ist, warum Debian nicht ' implementiert die Gruppe wheel standardmäßig nicht. (Debian ' s su unterstützt die Gruppe wheel, ' ist nur standardmäßig nicht aktiviert.) Wie auch immer, rms könnte in den 1980er Jahren auf das MIT zutreffen, aber nicht ' gilt nicht für die meisten Orte, an denen nicht allen Benutzern vertraut werden kann. Durch die allgegenwärtige Zugänglichkeit des Internets muss die Sicherheit vor Angreifern aus der ganzen Welt geschützt werden.
  • Ziemlich gut. Hah.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.