Debianがデフォルトで' Wheel 'グループを作成しないのはなぜですか?

ホイールグループが自動的に作成されるのは Unixの伝統のようですが、Debian (そして当然のことながら、子供たちは)そうしません。どこかに論理的根拠がありますか?この伝統が捨てられているのを見たことがありますか?

回答

一部のUNIXシステムでは、wheelグループのメンバーのみがsuを使用できます。その他のシステムでは誰でもターゲットユーザーのパスワードを知っている場合。wheelグループに属していると、パスワードなしのルートアクセスが許可されるシステムもあります。ただし、Ubuntuはこれを行います。グループはsudoと呼ばれます(ID 0はありません)。

wheelはほとんどがBSDだと思います事。 LinuxはBSDとSystemVを組み合わせたものであり、さまざまなディストリビューションには、ルートアクセスの許可に関して異なるデフォルトポリシーがあります。 Debianはデフォルトでホイールグループを実装していません。有効にする場合は、/etc/pam.d/suauth required pam_wheel.so行のコメントを解除します。

コメント

  • rhelにはホイールグループとsudoがあり、ホイールグループ全体をパスワードなしにすることができます。 'ごめんなさい。
  • Ubuntu 15.10では、この行のコメントを外してもホイールグループは復元されません。ただし、/ etc / group wheel:x:0:rootの" root "グループを複製して/etc/pam.d/suファイルをauth required pam_wheel.so group=wheelとして変更します(前のコメントを削除します)。
  • グループは、pamの目的で代わりにsudoグループを使用します。ステートメントの後にgroup=sudoを追加するだけです。例えばsudoグループのメンバーがパスワードなしでsuにアクセスできるようにするには、/etc/pam.d/su次のようになります:auth sufficient pam_wheel.so trust group=sudo
  • すべてtrueで、Ubuntu 16.04 LTSに存在しますが、以前と同じではないようです。 sudoersは、これを制御する方法です(2017年9月)。
  • @SDsolarこれは変更されていません' Ubuntu:/etc/sudoersは常にルートアクセスを制御する方法でした。ただし、デフォルトのsudoersでは、sudoグループのすべてのユーザーがrootになることができるため、rootアクセスを制御するには、ユーザーのリストを管理します。 sudoグループ内。

回答

ホイールは抑圧の道具! info suから:

GNU「su」が「wheel」グループをサポートしない理由

(このセクションはRichard Stallmanによるものです。)

一部のユーザーは、残りのすべてに対して総力を維持しようとすることがあります。たとえば、1984年に、MIT AIラボの数人のユーザーが、Twenexシステムのオペレーターパスワードを変更し、他の人から秘密にしておくことで権力を掌握することを決定しました。 (カーネルにパッチを適用することで、このクーデターを阻止し、ユーザーに電力を戻すことができましたが、Unixでそれを行う方法がわかりません。)

ただし、支配者が誰かに言うこともあります。通常の「su」メカニズムでは、一般ユーザーに共感するルートパスワードを誰かが知ったら、残りのことを伝えることができます。 「ホイールグループ」機能はこれを不可能にし、したがって支配者の力を固めます。

私は支配者の側ではなく大衆の側にいます。あなたが支持することに慣れているなら上司やシステム管理者が何をしていても、最初はこのアイデアがおかしいと感じるかもしれません。

Debianリファレンス。とにかく、sudoグループが組み込まれているので、誰がwheelを必要としますか?

コメント

  • 私は'歴史を知りませんが、この引用がDebianが

tはデフォルトでwheelグループを実装します。(Debian ' s suwheelグループをサポートしますが、'はデフォルトでは有効になっていません。)とにかくrms 'の推論は1980年代のMITに適用される可能性がありますが、'すべてのユーザーが信頼できるわけではなく、ユビキタスなインターネットアクセシビリティは、セキュリティが世界中からの攻撃者から保護する必要があることを意味するほとんどの場所に適用されません。

  • かなり良いです。ハァッ。
  • コメントを残す

    メールアドレスが公開されることはありません。 * が付いている欄は必須項目です