¿Por qué Debian no crea el grupo ' wheel ' de forma predeterminada?

Parece ser tradición Unix que un grupo de rueda se crea automáticamente, pero Debian (y los niños, naturalmente) no lo hacen. ¿Hay alguna justificación en alguna parte? ¿Dónde más has visto descartada esta tradición?

Respuesta

Algunos sistemas Unix permiten que solo los miembros del wheel usen su. Otros permiten que cualquiera use su si conocen la contraseña del usuario de destino. Incluso hay sistemas en los que estar en el grupo wheel otorga acceso de root sin contraseña; Ubuntu hace esto, excepto que el el grupo se llama sudo (y no tiene id 0).

Creo que wheel es principalmente un BSD cosa. Linux es una combinación de BSD y System V, y las diversas distribuciones tienen diferentes políticas predeterminadas con respecto a la concesión de acceso root. Debian no implementa un grupo de rueda por defecto; si desea habilitarlo, descomente la línea auth required pam_wheel.so en /etc/pam.d/su.

Comentarios

  • rhel tiene un grupo de rueda y también sudo, en el que puede hacer que todo el grupo de rueda no tenga contraseña. ' no estoy siguiendo su punto, lo siento ..
  • En Ubuntu 15.10, descomentar esta línea no restaura el grupo de rueda. Sin embargo, puede duplicar el grupo " raíz " en / etc / group wheel:x:0:root y modificar el archivo /etc/pam.d/su como auth required pam_wheel.so group=wheel, (eliminando el comentario anterior).
  • No es necesario crear el wheel grupo para hacer uso del grupo sudo en su lugar para pam propósitos. Simplemente agregue group=sudo después de la declaración. p.ej. para permitir que los miembros del sudo grupo su sin contraseña, simplemente elimine el comentario o modifique la línea en /etc/pam.d/su de la siguiente manera: auth sufficient pam_wheel.so trust group=sudo
  • Todo verdadero, y existe en Ubuntu 16.04 LTS pero parece no ser el mismo que antes. sudoers es la forma de controlar esto ahora (septiembre de 2017).
  • @SDsolar Esto no ' t ha cambiado en Ubuntu: /etc/sudoers siempre ha sido la forma de controlar el acceso de root. Pero dado que el sudoers predeterminado permite que cualquier persona del grupo sudo se convierta en root, puede controlar el acceso de root administrando la lista de usuarios que están en el grupo sudo.

Respuesta

Porque la rueda es una herramienta de opresión! De info su:

Por qué GNU «su» no admite el grupo «rueda»

(Esta sección es de Richard Stallman.)

A veces, algunos de los usuarios intentan tener el poder total sobre el resto. Por ejemplo, en 1984, algunos usuarios del laboratorio de inteligencia artificial del MIT decidieron tomar el poder cambiando la contraseña del operador en el sistema Twenex y manteniéndola en secreto para todos los demás. (Pude frustrar este golpe y devolver el poder a los usuarios parcheando el kernel, pero no sabría cómo hacerlo en Unix).

Sin embargo, ocasionalmente los gobernantes se lo dicen a alguien. Bajo el mecanismo habitual de «su», una vez que alguien aprende la contraseña de root que simpatiza con los usuarios normales, puede decirle al resto. La función del «grupo de ruedas» haría esto imposible y, por lo tanto, cimentaría el poder de los gobernantes.

Estoy del lado de las masas, no del de los gobernantes. Si estás acostumbrado a apoyar a los gobernantes jefes y administradores de sistemas en lo que sea que hagan, esta idea puede resultarle extraña al principio.

Consulte también la Referencia de Debian . De todos modos, el grupo sudo está integrado, así que ¿quién necesita wheel?

Comentarios

  • No ' no conozco la historia, pero dudo que esta cita sea la verdadera razón por la que Debian no ' t implementar el grupo wheel de forma predeterminada. (Debian ' s su admite el grupo wheel, ' simplemente no está habilitado de forma predeterminada.) De todos modos, rms ' El razonamiento podría aplicarse al MIT en la década de 1980, pero no ' t se aplica a la mayoría de los lugares donde no se puede confiar en todos los usuarios y la accesibilidad a Internet ubicua significa que la seguridad debe proteger contra atacantes de todo el mundo.
  • Bastante bien. Hah.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *