Почему Debian по умолчанию не создает группу 'wheel'?

24

Похоже, в Unix существует традиция, что группа колес создается автоматически, но Debian (и дети, естественно) этого не делает. Есть ли где-нибудь обоснование? Где еще вы видели эту традицию отброшенной?

debian group tshepang
источник

Ответы:

23

Некоторые системы Unix разрешают использовать только членам wheelгруппы su. Другие позволяют любому использовать, suесли они знают пароль целевого пользователя. Существуют даже системы, в которых присутствие в wheelгруппе предоставляет root-доступ без пароля; Ubuntu делает это, за исключением того, что группа вызывается sudo(и не имеет идентификатора 0).

Я думаю, что wheelэто в основном вещь BSD. Linux представляет собой сочетание BSD и System V, и различные дистрибутивы имеют разные политики по умолчанию в отношении предоставления корневого доступа. В Debian по умолчанию не реализована группа колес; если вы хотите включить его, раскомментируйте auth required pam_wheel.soстроку в /etc/pam.d/su.

Жиль "ТАК - перестань быть злым"
источник
1
У rhel есть группа wheel, а также sudo, в которой вы можете сделать всю группу wheel без пароля. Я не слежу за твоей точкой, извини ..
Холмс
1
В Ubuntu 15.10 раскомментирование этой строки не восстанавливает группу колес. Но вы можете продублировать «корневую» группу в / etc / group wheel:x:0:rootи изменить файл /etc/pam.d/su как auth required pam_wheel.so group=wheel(удалив комментарий ранее).
Элика Кохен
Вам не нужно создавать wheelгруппу, чтобы использовать sudoее вместо своих pamцелей. Просто добавьте group=sudoпосле утверждения. Например, чтобы разрешить членам sudoгруппы suбез пароля, просто раскомментируйте / измените строку /etc/pam.d/suследующим образом:auth sufficient pam_wheel.so trust group=sudo
Дэвид С. Ранкин,
Все верно, и это существует в Ubuntu 16.04 LTS, но, похоже, не так, как раньше. sudoersэто способ контролировать это сейчас (сентябрь 2017 года).
SDsolar
@Sdsolar Это не изменилось в Ubuntu: /etc/sudoersвсегда был способ контроля корневого доступа. Но так как по умолчанию sudoersлюбой пользователь в sudoгруппе становится пользователем root, вы можете управлять доступом root, управляя списком пользователей, входящих в sudoгруппу.
Жиля SO- перестать быть злом "
18

Потому что колесо - это инструмент угнетения! От info su:

Почему GNU 'su' не поддерживает группу 'wheel'

(Этот раздел Ричард Столлман.)

Иногда несколько пользователей пытаются удержать полную власть над всеми остальными. Например, в 1984 году несколько пользователей в лаборатории MIT AI решили отключить питание, изменив пароль оператора в системе Twenex и сохранив его в тайне от всех остальных. (Я смог предотвратить этот переворот и вернуть власть пользователям, исправив ядро, но я не знаю, как это сделать в Unix.)

Однако иногда правители говорят кому-то. При обычном механизме `su ', когда кто-то узнает пароль root, который симпатизирует обычным пользователям, он или она может сказать остальным. Функция «колесной группы» сделает это невозможным и, таким образом, укрепит власть правителей.

Я на стороне масс, а не правителей. Если вы привыкли поддерживать боссов и сисадминов во всем, что бы они ни делали, сначала вам может показаться странной эта идея.

Смотрите также Справочник по Debian . В любом случае, sudoгруппа встроена, так кому это нужно wheel?

Янус
источник
11
Я не знаю историю, но я сомневаюсь, что эта цитата - реальная причина, по которой Debian не реализует wheelгруппу по умолчанию. (Debian suподдерживает wheelгруппу, просто она не включена по умолчанию.) В любом случае рассуждения rms могут относиться к MIT в 1980-х, но это не относится к большинству мест, где не всем пользователям можно доверять, а повсеместная доступность Интернета означает, что безопасность должна защитить от злоумышленников со всего мира.
Жиль "ТАК - перестань быть злым"
Вполне нормально. Хах.
SDsolar