Dlaczego Debian nie tworzy domyślnie grupy ' koła '?

Wydaje się, że tradycja uniksowa , że grupa kół jest tworzona automatycznie, ale Debian (i oczywiście dzieci) tego nie robią. Czy jest gdzieś jakieś uzasadnienie? Gdzie jeszcze widziałeś odrzucenie tej tradycji?

Odpowiedź

Niektóre systemy uniksowe pozwalają tylko członkom grupy wheel używać su. Inne pozwalają każdemu na używanie su, jeśli znają hasło użytkownika docelowego. Są nawet systemy, w których obecność w grupie wheel zapewnia uprawnienia roota bez hasła; Ubuntu to robi, z wyjątkiem tego, że nazywa się sudo (i nie „nie ma identyfikatora 0).

Myślę, że wheel to głównie BSD rzecz. Linux jest połączeniem BSD i Systemu V, a różne dystrybucje mają różne domyślne zasady dotyczące przyznawania uprawnień roota. Debian nie implementuje domyślnie grupy wheel; jeśli chcesz ją włączyć, odkomentuj wiersz auth required pam_wheel.so w /etc/pam.d/su.

Komentarze

  • rhel ma grupę kół, a także sudo, w którym można pozbawić hasła całej grupy kół. I ' nie podążam za twoim punktem, przepraszam ..
  • W Ubuntu 15.10 odkomentowanie tej linii nie przywraca grupy kół. Możesz jednak zduplikować grupę " root " w / etc / group wheel:x:0:root i zmodyfikuj plik /etc/pam.d/su jako auth required pam_wheel.so group=wheel, (usuwając wcześniej komentarz).
  • Nie musisz tworzyć wheel, aby wykorzystać grupę sudo zamiast niej do celów pam. Po prostu dodaj group=sudo po instrukcji. na przykład aby zezwolić członkom grupy sudo na su bez hasła, wystarczy odkomentować / zmodyfikować wiersz w /etc/pam.d/su w następujący sposób: auth sufficient pam_wheel.so trust group=sudo
  • Wszystko prawda i istnieje w Ubuntu 16.04 LTS, ale wydaje się, że nie jest taki sam jak wcześniej. sudoers to sposób na kontrolowanie tego teraz (wrzesień 2017 r.).
  • @SDsolar Nie zmieniło się to ' w Ubuntu: /etc/sudoers zawsze był sposobem kontrolowania uprawnień roota. Ale ponieważ domyślna sudoers pozwala każdemu z grupy sudo na uzyskanie uprawnień administratora, możesz kontrolować dostęp roota, zarządzając listą użytkowników, którzy są w grupie sudo.

Odpowiedź

Ponieważ koło jest narzędzie ucisku! Od info su:

Dlaczego GNU „su” nie obsługuje grupy „wheel”

(Ta sekcja jest autorstwa Richarda Stallmana.)

Czasami kilku użytkowników próbuje mieć całkowitą władzę nad całą resztą. Na przykład w 1984 r. Kilku użytkowników w laboratorium MIT AI zdecydowało się przejąć władzę, zmieniając hasło operatora w systemie Twenex i utrzymując je w tajemnicy przed wszystkimi innymi. (Udało mi się udaremnić ten zamach stanu i oddać władzę użytkownikom, łatając jądro, ale nie wiedziałbym, jak to zrobić w Uniksie.)

Jednak czasami władcy komuś o tym mówią. Zgodnie ze zwykłym mechanizmem „su”, gdy ktoś pozna hasło roota, które sympatyzuje ze zwykłymi użytkownikami, może powiedzieć resztę. Funkcja „grupy kół” uniemożliwiłaby to, a tym samym scementowała władzę władców.

Jestem po stronie mas, a nie władców. Jeśli jesteś przyzwyczajony do wspierania szefów i sysadminów we wszystkim, co robią, na początku może się wydać dziwny pomysł.

Zobacz także Dokumentacja Debiana . W każdym razie grupa sudo jest wbudowana, więc kto potrzebuje wheel?

Komentarze

  • Nie ' nie znam historii, ale wątpię, że ten cytat jest prawdziwym powodem, dla którego Debian nie ' t domyślnie zaimplementuj grupę wheel. (Debian ' s su obsługuje grupę wheel, ale ' nie jest domyślnie włączona.) W każdym razie rms ' rozumowanie może odnosić się do MIT w latach 80., ale nie nie dotyczy większości miejsc, w których nie wszystkim użytkownikom można ufać, a wszechobecny dostęp do Internetu oznacza, że zabezpieczenia muszą być chronione przed atakującymi z całego świata.
  • Całkiem nieźle. Ha.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *