Vaikuttaa olevan Unix-perinne , että rengasryhmä luodaan automaattisesti, mutta Debian (ja lapset, luonnollisesti) eivät tee niin. Onko jossain perustetta? Missä muualla olet nähnyt tämän perinteen hylätyn?
Vastaa
Jotkin unix-järjestelmät sallivat vain wheel
-ryhmän jäsenten käyttää su
-toimia. Toiset sallivat kenenkään käyttää su
jos he tietävät kohdekäyttäjän salasanan. On jopa järjestelmiä, joissa wheel
-ryhmässä oleminen antaa salasanattomalle pääkäyttäjälle; Ubuntu tekee tämän, paitsi että ryhmää kutsutaan nimellä sudo
(eikä sillä ole tunnusta 0).
Luulen, että wheel
on enimmäkseen BSD asia. Linux on sekoitus BSD: tä ja System V: tä, ja eri jakeluilla on erilaiset oletuskäytännöt juuripääsyn myöntämisessä. Debian sattuu olemaan ottamatta pyöräryhmää käyttöön oletuksena; jos haluat ottaa sen käyttöön, poista kommentti auth required pam_wheel.so
-riviltä /etc/pam.d/su
.
Kommentit
Vastaa
Koska pyörä on sorron työkalu! Alkaen info su
:
Miksi GNU ”su” ei tue ”pyörä” -ryhmää
(Tämän osan on kirjoittanut Richard Stallman.)
Joskus harvat käyttäjät yrittävät pitää hallussaan kaikkea muuta. Esimerkiksi vuonna 1984 muutamat MIT AI -laboratorion käyttäjät päättivät tarttua sähköön vaihtamalla Twenex-järjestelmän käyttäjän salasanan ja pitämällä sen salassa kaikkien muiden edessä. (Pystyin estämään vallankaappauksen ja antamaan valtaa käyttäjille korjaamalla ytimen, mutta en tiedä miten se tehdään Unixissa.)
Toisinaan hallitsijat kuitenkin kertovat jollekin. Tavanomaisessa su-mekanismissa, kun joku oppii tavallisille käyttäjille myötätuntoisen juurisalasanan, hän voi kertoa loput. ”Pyöräryhmä” -ominaisuus tekisi tämän mahdottomaksi ja vahvistaisi siten hallitsijoiden voimaa.
Olen ”massojen puolella, en hallitsijoiden puolella. Jos olet tottunut tukemaan pomot ja järjestelmänvalvojat kaikessa toiminnassaan, saatat löytää tämän idean aluksi oudolta.
Katso myös Debian-viite . Joka tapauksessa sudo
-ryhmä on rakennettu, joten kuka tarvitsee wheel
?
Kommentit
- En tunne ' en tiedä historiaa, mutta epäilen, että tämä lainaus on todellinen syy, miksi Debian ei ' t ota
wheel
-ryhmä käyttöön oletuksena. (Debian ' ssu
tukeewheel
-ryhmää, se ' ei ole vain oletusarvoisesti käytössä.) Joka tapauksessa rms ' perustelut saattavat koskea MIT: ää 1980-luvulla, mutta se ei ole ' ei koske useimpia paikkoja, joissa kaikkia käyttäjiä ei voida luottaa, ja Internetin yleinen käytettävyys tarkoittaa, että turvallisuuden on suojauduttava hyökkääjiltä kaikkialta maailmasta. - Melko hyvä. Hah.
wheel:x:0:root
ja muokkaa /etc/pam.d/su -tiedostoa nimelläauth required pam_wheel.so group=wheel
, (poistamalla kommentin aikaisemmin).wheel
-ryhmäsudo
-ryhmän käyttämiseksi sen sijaanpam
-tarkoituksiin. Lisää vain lauseen jälkeengroup=sudo
. esimerkiksi. jottasudo
-ryhmän jäsenet voisivatsu
ilman salasanaa, yksinkertaisesti kommentoi / muokkaa riviä kohdassa/etc/pam.d/su
seuraavasti:auth sufficient pam_wheel.so trust group=sudo
sudoers
on tapa hallita tätä nyt (syyskuu 2017)./etc/sudoers
on aina ollut tapa hallita pääkäyttäjiä. Mutta koska oletusarvoinensudoers
sallii kenen tahansasudo
-ryhmän tulla rootiksi, voit hallita pääkäyttäjiä hallitsemalla niiden käyttäjien luetteloa, jotka ovatsudo
-ryhmässä.