Похоже, в Unix существует традиция, что группа колес создается автоматически, но Debian (и дети, естественно) этого не делает. Есть ли где-нибудь обоснование? Где еще вы видели эту традицию отброшенной?
Похоже, в Unix существует традиция, что группа колес создается автоматически, но Debian (и дети, естественно) этого не делает. Есть ли где-нибудь обоснование? Где еще вы видели эту традицию отброшенной?
Ответы:
Некоторые системы Unix разрешают использовать только членам wheelгруппы su. Другие позволяют любому использовать, suесли они знают пароль целевого пользователя. Существуют даже системы, в которых присутствие в wheelгруппе предоставляет root-доступ без пароля; Ubuntu делает это, за исключением того, что группа вызывается sudo(и не имеет идентификатора 0).
Я думаю, что wheelэто в основном вещь BSD. Linux представляет собой сочетание BSD и System V, и различные дистрибутивы имеют разные политики по умолчанию в отношении предоставления корневого доступа. В Debian по умолчанию не реализована группа колес; если вы хотите включить его, раскомментируйте auth required pam_wheel.soстроку в /etc/pam.d/su.
wheel:x:0:rootи изменить файл /etc/pam.d/su как auth required pam_wheel.so group=wheel(удалив комментарий ранее).
wheelгруппу, чтобы использовать sudoее вместо своих pamцелей. Просто добавьте group=sudoпосле утверждения. Например, чтобы разрешить членам sudoгруппы suбез пароля, просто раскомментируйте / измените строку /etc/pam.d/suследующим образом:auth sufficient pam_wheel.so trust group=sudo
sudoersэто способ контролировать это сейчас (сентябрь 2017 года).
/etc/sudoersвсегда был способ контроля корневого доступа. Но так как по умолчанию sudoersлюбой пользователь в sudoгруппе становится пользователем root, вы можете управлять доступом root, управляя списком пользователей, входящих в sudoгруппу.
Потому что колесо - это инструмент угнетения! От info su:
Почему GNU 'su' не поддерживает группу 'wheel'
(Этот раздел Ричард Столлман.)
Иногда несколько пользователей пытаются удержать полную власть над всеми остальными. Например, в 1984 году несколько пользователей в лаборатории MIT AI решили отключить питание, изменив пароль оператора в системе Twenex и сохранив его в тайне от всех остальных. (Я смог предотвратить этот переворот и вернуть власть пользователям, исправив ядро, но я не знаю, как это сделать в Unix.)
Однако иногда правители говорят кому-то. При обычном механизме `su ', когда кто-то узнает пароль root, который симпатизирует обычным пользователям, он или она может сказать остальным. Функция «колесной группы» сделает это невозможным и, таким образом, укрепит власть правителей.
Я на стороне масс, а не правителей. Если вы привыкли поддерживать боссов и сисадминов во всем, что бы они ни делали, сначала вам может показаться странной эта идея.
Смотрите также Справочник по Debian . В любом случае, sudoгруппа встроена, так кому это нужно wheel?
wheelгруппу по умолчанию. (Debian suподдерживает wheelгруппу, просто она не включена по умолчанию.) В любом случае рассуждения rms могут относиться к MIT в 1980-х, но это не относится к большинству мест, где не всем пользователям можно доверять, а повсеместная доступность Интернета означает, что безопасность должна защитить от злоумышленников со всего мира.