Por que o Debian não está criando o grupo 'wheel' por padrão?

24

Parece que é tradição do Unix que um grupo de roda seja criado automaticamente, mas o Debian (e filhos, naturalmente) não o faz. Existe uma justificativa em algum lugar? Onde mais você viu essa tradição descartada?

tshepang
fonte

Respostas:

23

Alguns sistemas unix permitem que apenas membros do wheelgrupo usem su. Outros permitem que qualquer pessoa use suse souber a senha do usuário de destino. Existem até sistemas em que estar no wheelgrupo concede acesso root sem senha; O Ubuntu faz isso, exceto que o grupo é chamado sudo(e não tem o ID 0).

Eu acho que wheelé principalmente uma coisa BSD. O Linux é uma mistura de BSD e System V, e as várias distribuições têm políticas padrão diferentes com relação à concessão de acesso root. O Debian não implementa um grupo de roda por padrão; se você deseja habilitá-lo, remova o comentário da auth required pam_wheel.solinha /etc/pam.d/su.

Gilles 'SO- parar de ser mau'
fonte
1
O rhel tem grupo de roda e também sudo, no qual você pode tornar o grupo de roda inteiro sem senha. Eu não estou seguindo o seu ponto desculpe ..
holms
1
No Ubuntu 15.10, descomentar esta linha não restaura o grupo de roda. Porém, você pode duplicar o grupo "raiz" no / etc / group wheel:x:0:roote modificar o arquivo /etc/pam.d/su como auth required pam_wheel.so group=wheel(removendo o comentário antes).
Elika kohen
Você não precisa criar o wheelgrupo para utilizá-lo sudoem seu lugar para pamfins. Basta adicionar group=sudoapós a declaração. por exemplo, para permitir que os membros do sudogrupo susem senha, simplesmente descomente / modifique a linha da /etc/pam.d/suseguinte maneira:auth sufficient pam_wheel.so trust group=sudo
David C. Rankin
Tudo verdade, e existe no Ubuntu 16.04 LTS, mas parece não ser o mesmo de antes. sudoersé a maneira de controlar isso agora (setembro de 2017).
SDsolar
@SDsolar Isso não mudou no Ubuntu: /etc/sudoerssempre foi o caminho para controlar o acesso root. Mas como o padrão sudoerspermite que qualquer pessoa no sudogrupo se torne raiz, você pode controlar o acesso raiz gerenciando a lista de usuários que estão no sudogrupo.
Gilles 'SO- stop be evil' (
18

Porque a roda é uma ferramenta de opressão! De info su:

Por que o GNU 'su' não suporta o grupo 'wheel'

(Esta seção é de Richard Stallman.)

Às vezes, alguns usuários tentam manter o poder total sobre todo o resto. Por exemplo, em 1984, alguns usuários no laboratório do MIT AI decidiram tomar o poder alterando a senha do operador no sistema Twenex e mantendo-a em segredo de todos os outros. (Consegui impedir esse golpe e devolver o poder aos usuários corrigindo o kernel, mas não saberia como fazer isso no Unix.)

No entanto, ocasionalmente os governantes contam a alguém. Sob o mecanismo usual `su ', uma vez que alguém aprenda a senha root que simpatiza com os usuários comuns, ele ou ela pode dizer o resto. O recurso "grupo de rodas" tornaria isso impossível e, portanto, cimentaria o poder das réguas.

Estou do lado das massas, não dos governantes. Se você está acostumado a apoiar os chefes e administradores de sistemas no que eles fazem, talvez ache essa idéia estranha.

Veja também a Referência Debian . De qualquer forma, o sudogrupo está integrado, então quem precisa wheel?

Janus
fonte
11
Não conheço a história, mas duvido que esta citação seja a verdadeira razão pela qual o Debian não implementa o wheelgrupo por padrão. (O Debian's susuporta o wheelgrupo, apenas não é ativado por padrão.) De qualquer forma, o raciocínio da rms pode se aplicar ao MIT nos anos 80, mas não se aplica à maioria dos lugares onde nem todos os usuários podem ser confiáveis ​​e a onipresença acessibilidade à Internet significa que a segurança precisa proteger contra atacantes de todo o mundo.
Gilles 'SO- stop be evil'
Muito bom. Hah.
SDsolar 11/09/17