Здається, традицією Unix є те, що колесна група створюється автоматично, але Debian (і діти, природно) цього не робить. Чи є десь обґрунтування? Де ще ви бачили, як цю традицію відкинули?
Здається, традицією Unix є те, що колесна група створюється автоматично, але Debian (і діти, природно) цього не робить. Чи є десь обґрунтування? Де ще ви бачили, як цю традицію відкинули?
Відповіді:
Деякі системи Unix дозволяють користуватися лише членам wheelгрупи su. Інші дозволяють користуватися будь-кому, suякщо вони знають пароль цільового користувача. Існують навіть системи, де перебуваючи в wheelгрупі, надається безкористувацький кореневий доступ; Ubuntu робить це за винятком того, що група викликається sudo(і не має ідентифікатора 0).
Я думаю, що wheelце здебільшого BSD річ. Linux - це поєднання BSD та System V, і різні дистрибутиви мають різні політики за замовчуванням щодо надання доступу до коренів. Debian за умовчанням не реалізує групу колеса; якщо ви хочете ввімкнути це, скасуйте auth required pam_wheel.soрядок у /etc/pam.d/su.
wheel:x:0:rootта змінити файл /etc/pam.d/su як auth required pam_wheel.so group=wheel(видалення коментаря раніше).
wheelгрупу, щоб використовувати sudoгрупу на її місці в pamцілях. Просто додайте group=sudoнаступні заяви. наприклад, щоб дозволити членам sudoгрупи suбез пароля, просто відмініть / змінити рядок /etc/pam.d/suтаким чином:auth sufficient pam_wheel.so trust group=sudo
sudoersце спосіб контролювати це зараз (вересень 2017 року).
/etc/sudoersзавжди було способом контролю кореневого доступу. Але оскільки за замовчуванням sudoersдозволяє будь-хто в sudoгрупі отримати root, ви можете керувати кореневим доступом, керуючи списком користувачів, які перебувають у sudoгрупі.
Тому що колесо - це інструмент гніту! Від info su:
Чому GNU "su" не підтримує групу "колеса"
(Цей розділ - Річард Сталлман.)
Іноді кілька користувачів намагаються утримувати загальну владу над усіма іншими. Наприклад, у 1984 році декілька користувачів у лабораторії MIT AI вирішили захопити владу, змінивши пароль оператора в системі Twenex і зберігаючи її в таємниці від усіх інших. (Мені вдалося перешкодити цьому перевороту і повернути користувачам живлення шляхом виправлення ядра, але я не знаю, як це зробити в Unix.)
Однак інколи правителі це комусь говорять. За звичайного механізму `su ', коли хтось дізнається пароль root, який співчуває звичайним користувачам, він може сказати інше. Особливість "групи коліс" зробила б це неможливим і, таким чином, цементувала владу правителів.
Я на боці мас, а не в правителях. Якщо ви звикли підтримувати начальників та сисадмінів у будь-чому, що вони роблять, спочатку ця ідея може здатися дивною.
Див. Також Довідку про Debian . У будь-якому випадку sudoгрупа побудована так, кому потрібно wheel?
wheelгрупу за замовчуванням. (Debian's suпідтримує wheelгрупу, вона просто не включена за замовчуванням.) У будь-якому випадку міркування rms можуть застосовуватися до MIT у 1980-х, але це не стосується більшості місць, де не всі користувачі можуть довіряти, а всюди доступність Інтернету означає, що безпеці потрібно захист від зловмисників з усього світу.