Det verkar vara Unix-tradition att en hjulgrupp skapas automatiskt, men Debian (och barn, naturligtvis) gör inte det. Finns det någon anledning någonstans? Var har du annars sett denna tradition kasseras?
Svar
Vissa unix-system tillåter bara medlemmar i wheel
-gruppen att använda su
. Andra tillåter vem som helst att använda su
om de känner till målanvändarens lösenord. Det finns till och med system där det finns i wheel
-gruppen ger lösenfri root-åtkomst. Ubuntu gör detta, förutom att gruppen heter sudo
(och har inte id 0).
Jag tror wheel
är mestadels en BSD sak. Linux är en blandning av BSD och System V, och de olika distributionerna har olika standardpolicyer när det gäller att ge root-åtkomst. Debian råkar inte implementera en hjulgrupp som standard; om du vill aktivera det, avmarkera auth required pam_wheel.so
-raden i /etc/pam.d/su
.
Kommentarer
Svar
Eftersom hjulet är ett verktyg för förtryck! Från info su
:
Varför GNU ”su” inte stöder ”hjul” -gruppen
(Det här avsnittet är av Richard Stallman.)
Ibland försöker några av användarna att hålla total makt över resten. 1984 bestämde till exempel några användare vid MIT AI-labbet att ta makten genom att ändra operatörslösenordet på Twenex-systemet och hålla det hemligt för alla andra. (Jag kunde hindra denna kupp och ge tillbaka makten till användarna genom att lappa kärnan, men jag skulle inte veta hur man gör det i Unix.)
Ibland berättar dock härskarna någon. Under den vanliga ”su” -mekanismen, när någon lär sig rotlösenordet som sympatiserar med vanliga användare, kan han eller hon berätta för resten. Funktionen ”hjulgrupp” skulle göra detta omöjligt och därmed cementera styrenhetens makt.
Jag är på massornas sida, inte härskarnas. Om du är van vid att stödja bossar och sysadmins i vad de än gör, kanske du tycker att den här idén är konstig först.
Se även Debianreferens . Hur som helst, sudo
-gruppen är inbyggd så vem behöver wheel
?
Kommentarer
- Jag vet inte ' men jag tvivlar på att detta citat är den verkliga anledningen till att Debian inte ' t implementerar
wheel
-gruppen som standard. (Debian ' ssu
stöderwheel
-gruppen, den ' är bara inte aktiverad som standard.) Hur som helst rms ' resonemang kan tillämpas på MIT på 1980-talet, men det ' t gäller de flesta platser där inte alla användare kan lita på och allestädes närvarande tillgänglighet till Internet innebär att säkerhetsbehov måste skyddas mot angripare från hela världen. - Ganska bra. Hah.
wheel:x:0:root
och ändra filen /etc/pam.d/su somauth required pam_wheel.so group=wheel
, (ta bort kommentaren innan).wheel
-gruppen för att användasudo
-gruppen i stället förpam
-ändamål. Lägg bara tillgroup=sudo
efter uttalandet. t.ex. för att tillåta medlemmar isudo
-gruppen attsu
utan lösenord, helt enkelt avmarkera / ändra raden i/etc/pam.d/su
enligt följande:auth sufficient pam_wheel.so trust group=sudo
sudoers
är sättet att kontrollera detta nu (september 2017)./etc/sudoers
har alltid varit sättet att kontrollera root-åtkomst. Men eftersom standardsudoers
tillåter att någon isudo
-gruppen blir root kan du styra root-åtkomst genom att hantera listan över användare som är isudo
-gruppen.