Pourquoi Debian ne crée-t-il pas le groupe «roue» par défaut?

24

Il semble être la tradition Unix qu'un groupe de roues est créé automatiquement, mais Debian (et les enfants, naturellement) ne le font pas. Y a-t-il une justification quelque part? Où avez-vous vu cette tradition abandonnée?

debian group tshepang
la source

Réponses:

23

Certains systèmes Unix n'autorisent que les membres du wheelgroupe à utiliser su. D'autres autorisent n'importe qui à utiliser sus'il connaît le mot de passe de l'utilisateur cible. Il existe même des systèmes où le fait d'être dans le wheelgroupe accorde un accès root sans mot de passe; Ubuntu fait cela, sauf que le groupe est appelé sudo(et n'a pas d'ID 0).

Je pense que wheelc'est surtout une chose BSD. Linux est un mélange de BSD et de System V, et les différentes distributions ont des politiques par défaut différentes en ce qui concerne l'octroi de l'accès root. Debian n'arrive pas à implémenter un groupe de roues par défaut; si vous souhaitez l'activer, décommentez la auth required pam_wheel.soligne /etc/pam.d/su.

Gilles 'SO- arrête d'être méchant'
la source
1
rhel a un groupe de roues et également sudo, dans lequel vous pouvez rendre le groupe de roues entier sans mot de passe. Je ne suis pas sur votre point désolé ..
holms
1
Dans Ubuntu 15.10, la mise en commentaire de cette ligne ne restaure pas le groupe de roues. Mais, vous pouvez dupliquer le groupe "racine" dans / etc / group wheel:x:0:rootet modifier le fichier /etc/pam.d/su comme auth required pam_wheel.so group=wheel, (en supprimant le commentaire avant).
elika kohen
Vous n'avez pas besoin de créer le wheelgroupe pour utiliser le sudogroupe à sa place à des pamfins. Ajoutez simplement group=sudoaprès la déclaration. Par exemple, pour permettre aux membres du sudogroupe de sune pas avoir de mot de passe, décommentez / modifiez simplement la ligne /etc/pam.d/sucomme suit:auth sufficient pam_wheel.so trust group=sudo
David C. Rankin
Tout cela est vrai, et il existe dans Ubuntu 16.04 LTS mais ne semble pas être le même qu'avant. sudoersest le moyen de contrôler cela maintenant (septembre 2017).
SDsolar
@SDsolar Cela n'a pas changé dans Ubuntu: /etc/sudoersa toujours été le moyen de contrôler l'accès root. Mais comme la valeur par défaut sudoerspermet à tout membre du sudogroupe de devenir root, vous pouvez contrôler l'accès root en gérant la liste des utilisateurs qui font partie du sudogroupe.
Gilles 'SO- arrête d'être méchant'
18

Parce que la roue est un outil d'oppression! De info su:

Pourquoi GNU 'su' ne prend pas en charge le groupe 'wheel'

(Cette section est de Richard Stallman.)

Parfois, quelques-uns des utilisateurs essaient de détenir le pouvoir total sur tout le reste. Par exemple, en 1984, quelques utilisateurs du laboratoire d'IA du MIT ont décidé de prendre le pouvoir en modifiant le mot de passe de l'opérateur sur le système Twenex et en le gardant secret pour tout le monde. (J'ai pu déjouer ce coup et redonner du pouvoir aux utilisateurs en corrigeant le noyau, mais je ne saurais pas comment faire cela sous Unix.)

Cependant, de temps en temps, les dirigeants le disent à quelqu'un. Dans le cadre du mécanisme habituel «su», une fois que quelqu'un apprend le mot de passe root qui sympathise avec les utilisateurs ordinaires, il peut dire le reste. La fonction "groupe de roues" rendrait cela impossible et cimenterait ainsi la puissance des règles.

Je suis du côté des masses, pas de celui des dirigeants. Si vous avez l'habitude de soutenir les patrons et les administrateurs système dans tout ce qu'ils font, vous pourriez trouver cette idée étrange au début.

Voir aussi la référence Debian . Quoi qu'il en soit, le sudogroupe est intégré, alors qui en a besoin wheel?

Janus
la source
11
Je ne connais pas l'historique, mais je doute que cette citation soit la vraie raison pour laquelle Debian n'implémente pas le wheelgroupe par défaut. (Debian suprend en charge le wheelgroupe, il n'est tout simplement pas activé par défaut.) Quoi qu'il en soit, le raisonnement de rms pourrait s'appliquer au MIT dans les années 1980, mais il ne s'applique pas à la plupart des endroits où tous les utilisateurs ne peuvent pas faire confiance et l'accessibilité omniprésente à Internet signifie que la sécurité doit protéger contre les attaquants de partout dans le monde.
Gilles 'SO- arrête d'être méchant'
Assez bon. Hah.
SDsolar