Quelle est la différence entre les groupes "sudo" et "admin"?

69

J'ai remarqué que deux groupes bénéficient d'autorisations similaires dans /etc/sudoers:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Mon compte d'utilisateur avec les privilèges "Administrer le système" se trouve dans le admingroupe et il ne semble pas y avoir d'utilisateur dans le sudogroupe. A quoi servent ces deux groupes?

permissions sudo ændrük
la source

Réponses:

55

Ubuntu 12.04 LTS et ultérieur

Les administrateurs sont ajoutés au sudogroupe, mais le admingroupe est pris en charge pour la compatibilité descendante. À partir des notes de publication :

Jusqu'à Ubuntu 11.10, l'accès administrateur à l'aide de l'outil sudo était accordé via le admingroupe Unix. Dans Ubuntu 12.04, l'accès administrateur sera accordé via le sudogroupe. Cela rend Ubuntu plus cohérent avec l'implémentation en amont et Debian. Pour des raisons de compatibilité, le admingroupe continuera à fournir un accès sudo / administrateur dans 12.04.

Il n'est pas créé lors d'une nouvelle installation, bien qu'il soit toujours présent si vous avez mis à niveau à partir de distributions précédentes. Dans les deux cas, le admingroupe apparaît dans le /etc/sudoersfichier.

Voir les détails de la mise en œuvre et la documentation officielle .

jordicm
la source
Cool. Merci! Pourriez-vous s'il vous plaît ajouter une explication sur la différence entre ALL=(ALL)et ALL=(ALL:ALL)?
wedi
Peu importe, je viens de voir la réponse dans la réponse d'Aleksandr ci-dessous ...
mercredi
21

Ubuntu 11.10 et versions antérieures

Par défaut, le sudogroupe n'est pas utilisé dans Ubuntu :

  • l'utilisateur créé lors de l'installation appartient au admingroupe, pas sudo;
  • pas de guide ou de manuel, j'ai jamais lu des conseils pour utiliser le sudogroupe;
  • personne ne ressent le besoin d'utiliser le sudogroupe, car le admingroupe peut faire tout ce dont on a besoin.

Inversement, sous Debian, le groupe activé /etc/sudoersest le sudogroupe et il n’existe aucun admingroupe. Mais l'utilisateur créé lors de l'installation n'est pas placé dans ce groupe, car le compte est activé dans Debianroot . Vous devriez le faire explicitement, si vous le souhaitez.

En outre, Fedora est similaire à Debian , avec l’ rootactivation et l’absence de privilèges par défaut pour l’utilisateur lors de l’installation. Mais le groupe administratif configuré dans /etc/sudoersest le groupe plus traditionnel wheel.

En conclusion, je pense qu’il n’est pas utile d’utiliser un sudogroupe dans Ubuntu , c’est simplement un héritage Debian .

enzotib
la source
Sur mon système Ubuntu, aucun utilisateur n'est membre de sudo: grep '^sudo:' /etc/group(vient d'installer). Pas sûr de Debian, je viens d’ajouter mon propre nom au /etc/sudoersfichier.
Lekensteyn
1
@Lekensteyn: comme je l'ai dit, sur Debian, vous devez explicitement ajouter un utilisateur au sudogroupe pour obtenir les privilèges d'administrateur: su -c "gpasswd -a $USER sudo"inutile de modifier /etc/sudoers. Ou vous pouvez utiliser Debian de manière à utiliser directement le rootcompte.
enzotib
16

Aucune différence de sécurité.

Les deux ont un accès illimité à 100% à tout ce qui est fourni par le système d'exploitation.

La différence dans / etc / sudoers est (ALL)vs (ALL:ALL). Le premier signifie que vous pouvez exécuter des commandes en tant qu’utilisateur . La seconde - vous pouvez exécuter la commande en tant que n'importe quel utilisateur et en tant que groupe .

La manière indiquée dans votre / etc / sudoers que les deux groupes devront entrer leur propre mot de passe pour exécuter les commandes en tant que root.

Les deux peuvent un shell racine comme ceci:

sudo su
Aleksandr Levchuk
la source
9
Qu'est-ce que je ne peux pas faire sans le bit "en tant que groupe"?
tudor
Si un programme est spécifiquement autorisé à être exécuté uniquement par un groupe spécifique, un utilisateur dont le nom (ALL)n'appartient pas à ce groupe ne peut pas exécuter cette commande. Tout comme ici , les utilisateurs qui sont dans le groupe adminet non dans le webusergroupe ne peuvent pas s'exécuter firefox.
Stam Kaly