Dlaczego Debian domyślnie nie tworzy grupy „koło”?

24

Wydaje się być tradycją uniksową, że grupa kół jest tworzona automatycznie, ale Debian (i dzieci, oczywiście) tego nie robi. Czy jest gdzieś uzasadnienie? Gdzie jeszcze widziałeś tę tradycję odrzuconą?

tshepang
źródło

Odpowiedzi:

23

Niektóre systemy uniksowe zezwalają na korzystanie tylko członkom wheelgrupy su. Inne pozwalają każdemu na użycie, sujeśli znają hasło użytkownika docelowego. Istnieją nawet systemy, w których bycie w wheelgrupie zapewnia dostęp do roota bez hasła; Ubuntu robi to, z tą różnicą, że grupa jest nazywana sudo(i nie ma identyfikatora 0).

Myślę, że wheelto głównie sprawa BSD. Linux jest mieszanką BSD i Systemu V, a różne dystrybucje mają różne domyślne zasady w odniesieniu do udzielania dostępu do konta root. Debian domyślnie nie implementuje grupy kół; jeśli chcesz to włączyć, usuń komentarz z auth required pam_wheel.solinii /etc/pam.d/su.

Gilles „SO- przestań być zły”
źródło
1
rhel ma grupę kół, a także sudo, w której możesz ustawić całą grupę kół bez hasła. Przepraszam, nie
podoba
1
W Ubuntu 15.10 odkomentowanie tej linii nie przywraca grupy kół. Możesz jednak zduplikować grupę „root” w / etc / group wheel:x:0:rooti zmodyfikować plik /etc/pam.d/su jako auth required pam_wheel.so group=wheel(usuwając wcześniej komentarz).
elika kohen
Nie musisz tworzyć wheelgrupy, aby korzystać z sudogrupy w jej miejscu do pamcelów. Wystarczy dodać group=sudonastępujące oświadczenie. np. aby pozwolić członkom sudogrupy na subez hasła, po prostu odkomentuj / zmodyfikuj linię w /etc/pam.d/sunastępujący sposób:auth sufficient pam_wheel.so trust group=sudo
David C. Rankin
Wszystko prawda i istnieje w Ubuntu 16.04 LTS, ale wydaje się, że nie jest takie samo jak poprzednio. sudoersjest sposobem na kontrolowanie tego teraz (wrzesień 2017 r.).
SDsolar
@SDsolar Nie zmieniło się to w Ubuntu: /etc/sudoerszawsze był sposób na kontrolowanie dostępu do roota. Ponieważ jednak domyślnie sudoerszezwala wszystkim użytkownikom sudona stanie się rootem, możesz kontrolować dostęp do roota, zarządzając listą użytkowników należących do sudogrupy.
Gilles „SO- przestań być zły”
18

Ponieważ koło jest narzędziem ucisku! Od info su:

Dlaczego GNU „su” nie obsługuje grupy „koła”

(Ta sekcja autorstwa Richarda Stallmana.)

Czasami kilku użytkowników próbuje utrzymać całkowitą moc nad resztą. Na przykład w 1984 r. Kilku użytkowników laboratorium MIT AI postanowiło przejąć władzę, zmieniając hasło operatora w systemie Twenex i utrzymując je w tajemnicy przed wszystkimi innymi. (Byłem w stanie udaremnić ten zamach stanu i oddać moc użytkownikom z powrotem poprzez łatanie jądra, ale nie wiedziałbym, jak to zrobić w Uniksie).

Jednak czasami władcy komuś o tym mówią. Zgodnie ze zwykłym mechanizmem „su”, gdy ktoś pozna hasło roota, które sympatyzuje ze zwykłymi użytkownikami, może powiedzieć resztę. Funkcja „grupy kół” uniemożliwiłaby to, a tym samym umocniłaby siłę władców.

Jestem po stronie mas, a nie władców. Jeśli jesteś przyzwyczajony do wspierania bossów i sysadminów we wszystkim, co robią, na początku może się to wydawać dziwne.

Zobacz także Debian Reference . W każdym razie sudogrupa jest wbudowana, więc kto potrzebuje wheel?

Janus
źródło
11
Nie znam historii, ale wątpię, aby ten cytat był prawdziwym powodem, dla którego Debian wheeldomyślnie nie implementuje grupy. (Debian suobsługuje wheelgrupę, po prostu domyślnie nie jest włączona.) W każdym razie rozumowanie rms może dotyczyć MIT w latach 80., ale nie dotyczy większości miejsc, w których nie można ufać wszystkim użytkownikom, a powszechny dostęp do Internetu oznacza, że ​​bezpieczeństwo musi chronić przed atakującymi z całego świata.
Gilles „SO- przestań być zły”
Całkiem dobre. Hah
SDsolar