Was ist der Unterschied zwischen der Gruppe "sudo" und "admin"?

69

Ich habe festgestellt, dass zwei Gruppen ähnliche Berechtigungen erhalten in /etc/sudoers:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Mein Benutzerkonto mit den Berechtigungen "System verwalten" befindet sich in der adminGruppe, und es scheinen sich keine Benutzer in der sudoGruppe zu befinden. Wofür sind diese beiden Gruppen?

permissions sudo ændrük
quelle

Antworten:

55

Ubuntu 12.04 LTS und höher

Administratoren werden der sudoGruppe hinzugefügt, die Gruppe wird jedoch adminaus Gründen der Abwärtskompatibilität unterstützt. Aus den Release Notes :

Bis Ubuntu 11.10 wurde der Administratorzugriff mit dem sudo-Tool über die adminUnix-Gruppe gewährt . In Ubuntu 12.04 wird der Administratorzugriff über die sudoGruppe gewährt . Dies macht Ubuntu konsistenter mit der Upstream-Implementierung und Debian. Aus Kompatibilitätsgründen gewährt die adminGruppe in 12.04 weiterhin sudo / administrator-Zugriff.

Es wird nicht erstellt, wenn Sie eine Neuinstallation durchführen. Es ist jedoch weiterhin vorhanden, wenn Sie ein Upgrade von früheren Distributionen durchgeführt haben. In beiden Fällen wird die adminGruppe in der /etc/sudoersDatei angezeigt .

Siehe Implementierungsdetails und die offizielle Dokumentation .

jordicm
quelle
Cool. Vielen Dank! Könnten Sie bitte eine Erklärung für den Unterschied zwischen ALL=(ALL)und hinzufügen ALL=(ALL:ALL)?
Mittwoch,
Egal, ich
21

Ubuntu 11.10 und früher

Standardmäßig wird die sudoGruppe in Ubuntu nicht verwendet :

  • Der während der Installation erstellte Benutzer gehört zur adminGruppe, nicht zur Gruppe sudo.
  • Ich habe nie einen Leitfaden oder ein Handbuch gelesen, um die sudoGruppe zu benutzen .
  • niemand hat das Bedürfnis, die sudoGruppe zu benutzen , weil die adminGruppe alles kann, was man braucht.

Umgekehrt ist die unter Debian aktivierte Gruppe /etc/sudoersdie sudoGruppe, und es gibt keine adminGruppe. Der während der Installation erstellte Benutzer wird jedoch nicht in diese Gruppe aufgenommen, da Debian das rootKonto aktiviert hat. Sie sollten es explizit tun, wenn Sie möchten.

Auch Fedora ähnlich wie ist Debian , nachdem er rootaktiviert ist und keine Standardberechtigungen für den Benutzer bei der Installation erstellen. Die in konfigurierte administrative Gruppe /etc/sudoersist jedoch die traditionellere Gruppe wheel.

Zusammenfassend kann ich sagen, dass es sudoin Ubuntu keinen Sinn macht , eine Gruppe zu bilden. Es ist einfach ein Debian- Erbe.

Enzotib
quelle
Auf meinem Ubuntu-System sind keine Benutzer Mitglied von sudo: grep '^sudo:' /etc/group(gerade installiert). Ich bin mir bei Debian nicht sicher, aber ich habe der /etc/sudoersDatei meinen eigenen Namen hinzugefügt .
Lekensteyn,
1
@Lekensteyn: Wie ich bereits sagte, sollten Sie unter Debian explizit einen Benutzer zur sudoGruppe hinzufügen , um Administratorrechte su -c "gpasswd -a $USER sudo"zu erhalten /etc/sudoers. Oder Sie können mit der Debian-Methode stehen, das rootKonto direkt zu verwenden .
Enzotib
16

Kein Sicherheitsunterschied.

Beide haben 100% uneingeschränkten Zugriff auf alles, was vom Betriebssystem bereitgestellt wird.

Der Unterschied in / etc / sudoers ist (ALL)vs (ALL:ALL). Das erste bedeutet, dass Sie Befehle als jeder Benutzer ausführen können . Die zweite - Sie können den Befehl als jeder Benutzer und als jede Gruppe ausführen .

Wie in Ihrer / etc / sudoers angegeben, müssen beide Gruppen ihr eigenes Passwort eingeben, um Befehle als root auszuführen.

Beides kann eine Root-Shell wie folgt sein:

sudo su
Aleksandr Levchuk
quelle
9
Was kann ich nicht ohne das "as any group" -Bit machen?
Tudor
Wenn ein Programm speziell nur von einer bestimmten Gruppe ausgeführt werden darf, kann ein Benutzer mit (ALL), der nicht zu dieser Gruppe gehört, diesen Befehl nicht ausführen. Genau wie hier können Benutzer, die sich in der Gruppe adminund nicht in der webuserGruppe befinden, nicht ausgeführt werden firefox.
Stam Kaly