De ce Debian nu creează în mod implicit grupul ' wheel '?

Se pare că este tradiția Unix că un grup de roți este creat automat, dar Debian (și copiii, în mod natural) nu o fac. Există vreun motiv undeva? Unde ai mai văzut această tradiție aruncată?

Răspuns

Unele sisteme unix permit numai membrilor grupului wheel să utilizeze su. Alții permit oricui să utilizeze su dacă știu parola utilizatorului țintă. Există chiar sisteme în care grupul wheel oferă acces root fără parolă; Ubuntu face acest lucru, cu excepția faptului că grupul se numește sudo (și nu are id 0).

Cred că wheel este în mare parte un BSD lucru. Linux este un amestec de BSD și System V, iar diferitele distribuții au politici implicite diferite în ceea ce privește acordarea accesului root. În mod implicit, Debian nu implementează un grup de roți; dacă doriți să o activați, decomentați linia auth required pam_wheel.so din /etc/pam.d/su.

Comentarii

  • rhel are grup de roți și, de asemenea, sudo, în care puteți face întregul grup de roți fără parolă. Nu ' nu îți urmez punctul. Îmi pare rău ..
  • În Ubuntu 15.10, necomentarea acestei linii nu restabilește grupul de roți. Însă, puteți duplica rădăcina " rădăcină " din / etc / group wheel:x:0:root și modificați fișierul /etc/pam.d/su ca auth required pam_wheel.so group=wheel, (eliminând comentariul anterior).
  • Nu trebuie să creați wheel grup pentru a utiliza grupul sudo în locul său în scopuri pam. Doar adăugați group=sudo după declarație. de exemplu. pentru a permite membrilor din grupul sudosu fără parolă, pur și simplu decomentați / modificați linia din /etc/pam.d/su după cum urmează: auth sufficient pam_wheel.so trust group=sudo
  • Toate sunt adevărate și există în Ubuntu 16.04 LTS, dar pare să nu fie la fel ca înainte. sudoers este modalitatea de a controla acest lucru acum (septembrie 2017).
  • @SDsolar Acest lucru nu a fost ' schimbat în Ubuntu: /etc/sudoers a fost întotdeauna modalitatea de a controla accesul root. Dar, din moment ce sudoers implicit permite oricărei persoane din grupul sudo să devină root, puteți controla accesul root gestionând lista de utilizatori care sunt în grupul sudo.

Răspuns

Deoarece roata este un instrument de asuprire! De la info su:

De ce GNU „su” nu acceptă grupul „roată”

(Această secțiune este de Richard Stallman.)

Uneori câțiva dintre utilizatori încearcă să dețină puterea totală asupra tuturor celorlalți. De exemplu, în 1984, câțiva utilizatori de la laboratorul MIT AI au decis să profite de energie schimbând parola operatorului din sistemul Twenex și păstrând-o secretă față de toți ceilalți. (Am reușit să zădărnicesc această lovitură de stat și să redau puterea utilizatorilor prin patch-ul nucleului, dar nu aș ști cum să fac asta în Unix.)

Cu toate acestea, uneori conducătorii spun cuiva. În cadrul mecanismului obișnuit „su”, odată ce cineva învață parola de root care simpatizează cu utilizatorii obișnuiți, el sau ea poate spune restul. Funcția „grup de roți” ar face acest lucru imposibil și, prin urmare, va cimenta puterea conducătorilor.

Eu sunt pe partea maselor, nu pe cea a conducătorilor. Dacă sunteți obișnuiți să susțineți șefilor și administratorilor în orice fac, s-ar putea să vi se pară ciudată această idee la început.

Vedeți și Referință Debian . Oricum, grupul sudo este încorporat, deci cine are nevoie de wheel?

Comentarii

  • Nu ' nu cunosc istoria, dar mă îndoiesc că acest citat este adevăratul motiv pentru care Debian nu ' t implementați implicit grupul wheel. (Debian ' s su acceptă grupul wheel, ' nu este activat implicit.) Oricum rms ' raționamentul s-ar putea aplica MIT în anii 1980, dar nu nu se aplică în majoritatea locurilor în care nu toți utilizatorii pot avea încredere, iar accesibilitatea la internet omniprezentă înseamnă securitate care trebuie protejată împotriva atacatorilor din întreaga lume.
  • Destul de bine. Hah.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *