Se pare că este tradiția Unix că un grup de roți este creat automat, dar Debian (și copiii, în mod natural) nu o fac. Există vreun motiv undeva? Unde ai mai văzut această tradiție aruncată?
Răspuns
Unele sisteme unix permit numai membrilor grupului wheel
să utilizeze su
. Alții permit oricui să utilizeze su
dacă știu parola utilizatorului țintă. Există chiar sisteme în care grupul wheel
oferă acces root fără parolă; Ubuntu face acest lucru, cu excepția faptului că grupul se numește sudo
(și nu are id 0).
Cred că wheel
este în mare parte un BSD lucru. Linux este un amestec de BSD și System V, iar diferitele distribuții au politici implicite diferite în ceea ce privește acordarea accesului root. În mod implicit, Debian nu implementează un grup de roți; dacă doriți să o activați, decomentați linia auth required pam_wheel.so
din /etc/pam.d/su
.
Comentarii
Răspuns
Deoarece roata este un instrument de asuprire! De la info su
:
De ce GNU „su” nu acceptă grupul „roată”
(Această secțiune este de Richard Stallman.)
Uneori câțiva dintre utilizatori încearcă să dețină puterea totală asupra tuturor celorlalți. De exemplu, în 1984, câțiva utilizatori de la laboratorul MIT AI au decis să profite de energie schimbând parola operatorului din sistemul Twenex și păstrând-o secretă față de toți ceilalți. (Am reușit să zădărnicesc această lovitură de stat și să redau puterea utilizatorilor prin patch-ul nucleului, dar nu aș ști cum să fac asta în Unix.)
Cu toate acestea, uneori conducătorii spun cuiva. În cadrul mecanismului obișnuit „su”, odată ce cineva învață parola de root care simpatizează cu utilizatorii obișnuiți, el sau ea poate spune restul. Funcția „grup de roți” ar face acest lucru imposibil și, prin urmare, va cimenta puterea conducătorilor.
Eu sunt pe partea maselor, nu pe cea a conducătorilor. Dacă sunteți obișnuiți să susțineți șefilor și administratorilor în orice fac, s-ar putea să vi se pară ciudată această idee la început.
Vedeți și Referință Debian . Oricum, grupul sudo
este încorporat, deci cine are nevoie de wheel
?
Comentarii
- Nu ' nu cunosc istoria, dar mă îndoiesc că acest citat este adevăratul motiv pentru care Debian nu ' t implementați implicit grupul
wheel
. (Debian ' ssu
acceptă grupulwheel
, ' nu este activat implicit.) Oricum rms ' raționamentul s-ar putea aplica MIT în anii 1980, dar nu nu se aplică în majoritatea locurilor în care nu toți utilizatorii pot avea încredere, iar accesibilitatea la internet omniprezentă înseamnă securitate care trebuie protejată împotriva atacatorilor din întreaga lume. - Destul de bine. Hah.
wheel:x:0:root
și modificați fișierul /etc/pam.d/su caauth required pam_wheel.so group=wheel
, (eliminând comentariul anterior).wheel
grup pentru a utiliza grupulsudo
în locul său în scopuripam
. Doar adăugațigroup=sudo
după declarație. de exemplu. pentru a permite membrilor din grupulsudo
săsu
fără parolă, pur și simplu decomentați / modificați linia din/etc/pam.d/su
după cum urmează:auth sufficient pam_wheel.so trust group=sudo
sudoers
este modalitatea de a controla acest lucru acum (septembrie 2017)./etc/sudoers
a fost întotdeauna modalitatea de a controla accesul root. Dar, din moment cesudoers
implicit permite oricărei persoane din grupulsudo
să devină root, puteți controla accesul root gestionând lista de utilizatori care sunt în grupulsudo
.