Wydaje się, że tradycja uniksowa , że grupa kół jest tworzona automatycznie, ale Debian (i oczywiście dzieci) tego nie robią. Czy jest gdzieś jakieś uzasadnienie? Gdzie jeszcze widziałeś odrzucenie tej tradycji?
Odpowiedź
Niektóre systemy uniksowe pozwalają tylko członkom grupy wheel
używać su
. Inne pozwalają każdemu na używanie su
, jeśli znają hasło użytkownika docelowego. Są nawet systemy, w których obecność w grupie wheel
zapewnia uprawnienia roota bez hasła; Ubuntu to robi, z wyjątkiem tego, że nazywa się sudo
(i nie „nie ma identyfikatora 0).
Myślę, że wheel
to głównie BSD rzecz. Linux jest połączeniem BSD i Systemu V, a różne dystrybucje mają różne domyślne zasady dotyczące przyznawania uprawnień roota. Debian nie implementuje domyślnie grupy wheel; jeśli chcesz ją włączyć, odkomentuj wiersz auth required pam_wheel.so
w /etc/pam.d/su
.
Komentarze
Odpowiedź
Ponieważ koło jest narzędzie ucisku! Od info su
:
Dlaczego GNU „su” nie obsługuje grupy „wheel”
(Ta sekcja jest autorstwa Richarda Stallmana.)
Czasami kilku użytkowników próbuje mieć całkowitą władzę nad całą resztą. Na przykład w 1984 r. Kilku użytkowników w laboratorium MIT AI zdecydowało się przejąć władzę, zmieniając hasło operatora w systemie Twenex i utrzymując je w tajemnicy przed wszystkimi innymi. (Udało mi się udaremnić ten zamach stanu i oddać władzę użytkownikom, łatając jądro, ale nie wiedziałbym, jak to zrobić w Uniksie.)
Jednak czasami władcy komuś o tym mówią. Zgodnie ze zwykłym mechanizmem „su”, gdy ktoś pozna hasło roota, które sympatyzuje ze zwykłymi użytkownikami, może powiedzieć resztę. Funkcja „grupy kół” uniemożliwiłaby to, a tym samym scementowała władzę władców.
Jestem po stronie mas, a nie władców. Jeśli jesteś przyzwyczajony do wspierania szefów i sysadminów we wszystkim, co robią, na początku może się wydać dziwny pomysł.
Zobacz także Dokumentacja Debiana . W każdym razie grupa sudo
jest wbudowana, więc kto potrzebuje wheel
?
Komentarze
- Nie ' nie znam historii, ale wątpię, że ten cytat jest prawdziwym powodem, dla którego Debian nie ' t domyślnie zaimplementuj grupę
wheel
. (Debian ' ssu
obsługuje grupęwheel
, ale ' nie jest domyślnie włączona.) W każdym razie rms ' rozumowanie może odnosić się do MIT w latach 80., ale nie nie dotyczy większości miejsc, w których nie wszystkim użytkownikom można ufać, a wszechobecny dostęp do Internetu oznacza, że zabezpieczenia muszą być chronione przed atakującymi z całego świata. - Całkiem nieźle. Ha.
wheel:x:0:root
i zmodyfikuj plik /etc/pam.d/su jakoauth required pam_wheel.so group=wheel
, (usuwając wcześniej komentarz).wheel
, aby wykorzystać grupęsudo
zamiast niej do celówpam
. Po prostu dodajgroup=sudo
po instrukcji. na przykład aby zezwolić członkom grupysudo
nasu
bez hasła, wystarczy odkomentować / zmodyfikować wiersz w/etc/pam.d/su
w następujący sposób:auth sufficient pam_wheel.so trust group=sudo
sudoers
to sposób na kontrolowanie tego teraz (wrzesień 2017 r.)./etc/sudoers
zawsze był sposobem kontrolowania uprawnień roota. Ale ponieważ domyślnasudoers
pozwala każdemu z grupysudo
na uzyskanie uprawnień administratora, możesz kontrolować dostęp roota, zarządzając listą użytkowników, którzy są w grupiesudo
.