Perché Debian non crea il gruppo ' wheel ' per impostazione predefinita?

Sembra essere tradizione Unix che un gruppo wheel venga creato automaticamente, ma Debian (e ai bambini, naturalmente) non lo fa. Cè una logica da qualche parte? In quale altro luogo hai visto questa tradizione scartata?

Risposta

Alcuni sistemi unix consentono solo ai membri del gruppo wheel di utilizzare su. Altri consentono a chiunque di utilizzare su se conoscono la password dellutente di destinazione. Ci sono persino sistemi in cui essere nel gruppo wheel garantisce laccesso root senza password; Ubuntu lo fa, tranne che il il gruppo è chiamato sudo (e non “ha id 0).

Penso che wheel sia principalmente un BSD cosa. Linux è un mix di BSD e System V e le varie distribuzioni hanno politiche predefinite diverse per quanto riguarda la concessione dellaccesso root. Debian sembra non implementare un gruppo wheel per impostazione predefinita; se vuoi abilitarlo, rimuovi il commento dalla riga auth required pam_wheel.so in /etc/pam.d/su.

Commenti

  • rhel ha un gruppo di ruote e anche sudo, in cui puoi rendere lintero gruppo di ruote senza password. ' non sto seguendo il tuo punto scusa ..
  • In Ubuntu 15.10, la rimozione del commento da questa riga non ripristina il gruppo wheel. Tuttavia, puoi duplicare il gruppo " root " in / etc / group wheel:x:0:root e modificare il file /etc/pam.d/su come auth required pam_wheel.so group=wheel, (rimuovendo il commento prima).
  • Non è necessario creare il wheel per utilizzare il gruppo sudo al suo posto per pam scopi. Aggiungi semplicemente group=sudo dopo la dichiarazione. per esempio. per consentire ai membri del gruppo sudo di su senza password, è sufficiente rimuovere il commento / modificare la riga in /etc/pam.d/su come segue: auth sufficient pam_wheel.so trust group=sudo
  • Tutto vero, ed esiste in Ubuntu 16.04 LTS ma sembra non essere lo stesso di prima. sudoers è il modo per controllarlo ora (settembre 2017).
  • @SDsolar Questo ' non è cambiato in Ubuntu: /etc/sudoers è sempre stato il modo per controllare laccesso root. Tuttavia, poiché il sudoers consente a chiunque nel gruppo sudo di diventare root, puoi controllare laccesso come root gestendo lelenco degli utenti che sono nel gruppo sudo.

Rispondi

Perché la ruota è uno strumento di oppressione! Da info su:

Perché GNU “su” non supporta il gruppo “wheel”

(Questa sezione è di Richard Stallman.)

A volte alcuni utenti cercano di mantenere il potere totale su tutto il resto. Ad esempio, nel 1984, alcuni utenti del laboratorio MIT AI decisero di prendere il potere cambiando la password delloperatore sul sistema Twenex e tenendola segreta a tutti gli altri. (Sono stato in grado di contrastare questo colpo di stato e ridare potere agli utenti applicando una patch al kernel, ma non saprei come farlo in Unix.)

Tuttavia, a volte i governanti lo dicono a qualcuno. Secondo il solito meccanismo “su”, una volta che qualcuno impara la password di root che simpatizza con gli utenti ordinari, può dire il resto. La funzione “gruppo ruota” renderebbe questo impossibile e quindi cementerebbe il potere dei governanti.

Io “sono dalla parte delle masse, non da quella dei governanti. Se sei abituato a sostenere capi e amministratori di sistema in qualunque cosa facciano, potresti trovare questa idea strana allinizio.

Vedi anche il Debian Reference . Ad ogni modo, il gruppo sudo è integrato, quindi chi ha bisogno di wheel?

Commenti

  • Non ' non conosco la storia, ma dubito che questa citazione sia il vero motivo per cui Debian non ' t implementare il gruppo wheel per impostazione predefinita (Debian ' s su supporta il gruppo wheel, ' semplicemente non è abilitato per impostazione predefinita.) Comunque rms ' Il ragionamento potrebbe applicarsi al MIT negli anni 80, ma non ' t si applica alla maggior parte dei luoghi in cui non tutti gli utenti possono essere affidabili e laccessibilità a Internet onnipresente significa che la sicurezza deve proteggersi dagli aggressori di tutto il mondo.
  • Abbastanza buono. Ah.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *