Debian이 기본적으로 ' wheel ' 그룹을 생성하지 않는 이유는 무엇입니까?

휠 그룹이 자동으로 생성되는 것은 Unix 전통 으로 보이지만 데비안 (그리고 아이들은 당연히) 그렇게하지 않습니다. 어딘가에 근거가 있습니까?이 전통이 폐기되는 것을 다른 곳에서 본 적이 있습니까?

답변

일부 Unix 시스템에서는 wheel 그룹의 구성원 만 su를 사용할 수 있습니다. 다른 시스템에서는 누구나 대상 사용자의 비밀번호를 알고있는 경우. wheel 그룹에 속해 있으면 비밀번호없는 루트 액세스 권한이 부여되는 시스템도 있습니다. Ubuntu는이를 수행합니다. 그룹은 sudo (ID 0이 없음)라고합니다.

wheel는 대부분 BSD라고 생각합니다. 맡은 일. Linux는 BSD와 System V가 혼합되어 있으며 다양한 배포판에는 루트 액세스 권한 부여와 관련하여 다른 기본 정책이 있습니다. 데비안은 기본적으로 휠 그룹을 구현하지 않습니다. 사용 설정하려면 /etc/pam.d/su에서 auth required pam_wheel.so 줄의 주석 처리를 제거하십시오.

설명

  • rhel에는 wheel 그룹과 sudo가 있습니다. 여기에서 전체 wheel 그룹을 암호없이 만들 수 있습니다. 저는 ' 당신의 요점을 따르지 않습니다.
  • Ubuntu 15.10에서이 줄의 주석 처리를 제거해도 휠 그룹이 복원되지 않습니다. 그러나 / etc / group wheel:x:0:root에서 " root " 그룹을 복제 할 수 있습니다. /etc/pam.d/su 파일을 auth required pam_wheel.so group=wheel로 수정합니다 (이전에 주석 제거).
  • 그룹은 pam 목적으로 sudo 그룹을 대신 사용합니다. 문 뒤에 group=sudo를 추가하면됩니다. 예 : sudo 그룹의 구성원이 비밀번호없이 su에 액세스 할 수 있도록 허용하려면 /etc/pam.d/su 다음과 같이 : auth sufficient pam_wheel.so trust group=sudo
  • 모두 사실이며 Ubuntu 16.04 LTS에 존재하지만 이전과 동일하지 않은 것 같습니다. sudoers는 지금 이것을 제어하는 방법입니다 (2017 년 9 월).
  • @SDsolar 이것은 '에서 변경되지 않았습니다. Ubuntu : /etc/sudoers는 항상 루트 액세스를 제어하는 방법이었습니다. 그러나 기본 sudoers를 사용하면 sudo 그룹의 모든 사용자가 루트가 될 수 있으므로 다음 사용자 목록을 관리하여 루트 액세스를 제어 할 수 있습니다. sudo 그룹에 있습니다.

답변

휠이 억압의 도구! info su :

GNU “su”가 “wheel”그룹을 지원하지 않는 이유

(이 섹션은 Richard Stallman이 작성했습니다.)

때로는 일부 사용자가 나머지 전체에 걸쳐 전체 전력을 유지하려고합니다. 예를 들어, 1984 년에 MIT AI 연구소의 일부 사용자는 Twenex 시스템의 운영자 비밀번호를 변경하고 다른 모든 사람에게 비밀로 유지하여 권력을 장악하기로 결정했습니다. (나는이 쿠데타를 막고 커널을 패치함으로써 사용자에게 권력을 되돌려 줄 수 있었지만, 유닉스에서는 어떻게해야할지 모르겠습니다.)

그러나 때때로 통치자들은 누군가에게 말을합니다. 일반적인 su메커니즘 하에서 누군가가 일반 사용자와 공감하는 루트 암호를 알게되면 나머지는 말할 수 있습니다. “휠 그룹”기능은 이것을 불가능하게 만들어 통치자의 힘을 공고히합니다.

나는 통치자의 편이 아니라 대중의 편에 있습니다. 상사와 시스템 관리자가 무엇을하든 처음에는이 아이디어가 이상 할 수 있습니다.

Debian Reference . 어쨌든 sudo 그룹이 내장되어 있으므로 누가 wheel를 필요로합니까?

댓글

  • 내가 ' 역사를 모르지만이 인용문이 데비안이 모르는 진짜 이유가 아닌 것 같습니다 ' 기본적으로 wheel 그룹을 구현하지 않습니다. (Debian ' s suwheel 그룹을 지원하지만 '는 기본적으로 활성화되어 있지 않습니다.) 어쨌든 rms '의 추론은 1980 년대 MIT에 적용될 수 있지만 그렇지 않습니다. ' 모든 사용자를 신뢰할 수없는 대부분의 장소에는 적용되지 않으며 유비쿼터스 인터넷 접근성은 보안이 전 세계의 공격자로부터 보호해야 함을 의미합니다.
  • 꽤 좋습니다. 하.

답글 남기기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다