Warum erstellt Debian nicht standardmäßig die 'wheel'-Gruppe?
24
Es scheint Unix-Tradition zu sein, dass eine Radgruppe automatisch erstellt wird, aber Debian (und natürlich Kinder) tun dies nicht. Gibt es irgendwo eine Begründung? Wo sonst haben Sie gesehen, dass diese Tradition verworfen wurde?
Bei einigen Unix-Systemen können nur Mitglieder der wheelGruppe verwendet werden su. Andere erlauben jedem die Verwendung, suwenn er das Passwort des Zielbenutzers kennt. Es gibt sogar Systeme, in denen das wheelMitglied der Gruppe einen kennwortlosen Root-Zugriff gewährt. Ubuntu tut dies mit der Ausnahme, dass die Gruppe aufgerufen wird sudo(und keine ID 0 hat).
Ich denke, wheelist meistens eine BSD-Sache. Linux ist eine Mischung aus BSD und System V, und die verschiedenen Distributionen haben unterschiedliche Standardrichtlinien für die Gewährung des Root-Zugriffs. Debian implementiert standardmäßig keine Wheel-Gruppe. Wenn Sie es aktivieren möchten, kommentieren Sie die auth required pam_wheel.soZeile in /etc/pam.d/su.
rhel hat wheel group und auch sudo, in dem du ganze wheel group kennwortlos machen kannst. Entschuldigung, ich
verfolge
1
In Ubuntu 15.10 wird die Wheel-Gruppe nicht wiederhergestellt, wenn diese Zeile aus dem Kommentar entfernt wird. Sie können jedoch die "root" -Gruppe in / etc / group duplizieren wheel:x:0:rootund die Datei /etc/pam.d/su wie folgt ändern auth required pam_wheel.so group=wheel(vorher den Kommentar entfernen).
Elika Kohen
Sie müssen die wheelGruppe nicht erstellen , um die sudoGruppe an ihrer Stelle für pamZwecke zu verwenden. Füge einfach group=sudofolgendes hinzu: Zum Beispiel, um Mitgliedern der sudoGruppe die Möglichkeit zu geben, suohne Passwort zu arbeiten, müssen Sie die Zeile einfach /etc/pam.d/suwie folgt auskommentieren / ändern :auth sufficient pam_wheel.so trust group=sudo
David C. Rankin
Alles wahr, und es existiert in Ubuntu 16.04 LTS, scheint aber nicht das gleiche zu sein wie zuvor. sudoersist der Weg, dies jetzt zu kontrollieren (September 2017).
SDsolar
@SDsolar Dies hat sich in Ubuntu nicht geändert: Es war /etc/sudoersschon immer der Weg, den Root-Zugriff zu kontrollieren. Da die Standardeinstellung jedoch sudoerszulässt, dass jeder in der sudoGruppe Root wird, können Sie den Root-Zugriff steuern, indem Sie die Liste der Benutzer in der sudoGruppe verwalten.
Gilles SO - hör auf böse
18
Weil das Rad ein Werkzeug der Unterdrückung ist! Von info su:
Warum GNU 'su' die 'wheel'-Gruppe nicht unterstützt
(Dieser Abschnitt ist von Richard Stallman.)
Manchmal versuchen einige der Benutzer, den Rest unter Kontrolle zu halten. Beispielsweise beschlossen 1984 einige Benutzer des MIT AI-Labors, die Stromversorgung zu nutzen, indem sie das Bedienerkennwort des Twenex-Systems änderten und es vor allen anderen geheim hielten. (Ich konnte diesen Coup vereiteln und den Benutzern die Macht zurückgeben, indem ich den Kernel gepatcht habe, aber ich wusste nicht, wie das unter Unix geht.)
Gelegentlich erzählen die Herrscher es jedoch jemandem. Nach dem üblichen su-Mechanismus kann jemand, der das root-Passwort kennt und mit den normalen Benutzern sympathisiert, den Rest mitteilen. Die Funktion "Radgruppe" würde dies unmöglich machen und somit die Macht der Herrscher festigen.
Ich bin auf der Seite der Massen, nicht der Herrscher. Wenn Sie es gewohnt sind, die Chefs und Sysadmins bei allem, was sie tun, zu unterstützen, finden Sie diese Idee vielleicht zuerst seltsam.
Siehe auch die Debian-Referenz . Wie auch immer, die sudoGruppe ist eingebaut, wer braucht das wheel?
Ich kenne die Geschichte nicht, aber ich bezweifle, dass dieses Zitat der wahre Grund ist, warum Debian die wheelGruppe nicht standardmäßig implementiert . (Debian suunterstützt die wheelGruppe, sie ist nur nicht standardmäßig aktiviert.) Wie auch immer, die Überlegungen von rms gelten möglicherweise für das MIT in den 1980er Jahren, aber nicht für die meisten Orte, an denen nicht allen Benutzern vertraut werden kann und allgegenwärtige Internetzugänglichkeit dies erfordert Schützen Sie sich vor Angreifern aus der ganzen Welt.
wheel:x:0:root
und die Datei /etc/pam.d/su wie folgt ändernauth required pam_wheel.so group=wheel
(vorher den Kommentar entfernen).wheel
Gruppe nicht erstellen , um diesudo
Gruppe an ihrer Stelle fürpam
Zwecke zu verwenden. Füge einfachgroup=sudo
folgendes hinzu: Zum Beispiel, um Mitgliedern dersudo
Gruppe die Möglichkeit zu geben,su
ohne Passwort zu arbeiten, müssen Sie die Zeile einfach/etc/pam.d/su
wie folgt auskommentieren / ändern :auth sufficient pam_wheel.so trust group=sudo
sudoers
ist der Weg, dies jetzt zu kontrollieren (September 2017)./etc/sudoers
schon immer der Weg, den Root-Zugriff zu kontrollieren. Da die Standardeinstellung jedochsudoers
zulässt, dass jeder in dersudo
Gruppe Root wird, können Sie den Root-Zugriff steuern, indem Sie die Liste der Benutzer in dersudo
Gruppe verwalten.Weil das Rad ein Werkzeug der Unterdrückung ist! Von
info su
:Siehe auch die Debian-Referenz . Wie auch immer, die
sudo
Gruppe ist eingebaut, wer braucht daswheel
?quelle
wheel
Gruppe nicht standardmäßig implementiert . (Debiansu
unterstützt diewheel
Gruppe, sie ist nur nicht standardmäßig aktiviert.) Wie auch immer, die Überlegungen von rms gelten möglicherweise für das MIT in den 1980er Jahren, aber nicht für die meisten Orte, an denen nicht allen Benutzern vertraut werden kann und allgegenwärtige Internetzugänglichkeit dies erfordert Schützen Sie sich vor Angreifern aus der ganzen Welt.