Personal tools

Difference between revisions of "Grupul 'wheel' în Slackware Linux"

From linux360

Jump to: navigation, search
m (Mutat la categoria 'Slackware Linux')
m
 
Line 124: Line 124:
 
[http://alien.slackbook.org/dokuwiki/doku.php?id=linux:admin Eric Hameleers (Alien)’s Wiki]
 
[http://alien.slackbook.org/dokuwiki/doku.php?id=linux:admin Eric Hameleers (Alien)’s Wiki]
  
[[Category:HowTo]]
 
[[Category:System]]
 
 
[[Category:Slackware Linux]]
 
[[Category:Slackware Linux]]

Latest revision as of 23:32, 4 February 2008

Scopul acestui ghid este de a prezenta modul de stabilire diferenţiată a drepturilor utilizatorilor de a rula comenzile su şi sudo, folosind grupul wheel și fişierele de configurare: /etc/group, /etc/sudoers şi /etc/suauth (ultimul fiind un fișier de configurare care nu există implicit în distribuția Slackware Linux, fiind specific sistemelor de operare de tip BSD). Trecând peste considerentele de ordin istoric sau filosofic (vezi Why GNU su does not support the ‘wheel’ group), utilizatorii distribuţiei Slackware Linux (administratori de sistem sau nu) au dreptul de a fi informaţi. Acesta este singurul motiv pentru care am scris acest ghid. Nici o informaţie din acest ghid nu poate şi nu trebuie interpretată în sensul restrângerii arbitrare sau nejustificate a unor drepturi de acces.

Introducere

În orice distribuție Linux nu este recomandată folosirea contului root decât pentru sarcini de configurare sau întreținere a sistemului de operare. Chiar și în acest caz nu este recomandată utilizarea directă a contului root, ci obținerea de drepturi de administrare folosind un cont de utilizator, cu ajutorul comenzilor su sau sudo.

Comanda su permite deschiderea unei sesiuni de lucru cu drepturile altui utilizator (inclusiv root) - pentru detalii vezi: man su. Comanda sudo permite rularea unei comenzi cu drepturile altui utilizator (inclusiv root) - pentru detalii vezi: man sudo.

În distribuţia Slackware Linux 12.0, în mod implicit (imediat după instalare), orice utilizator (posesor al unui cont valid) are dreptul de a utiliza comanda su şi nici un utilizator nu are dreptul de a utiliza comanda sudo.

gabel@MyVirtualBox:~$ sudo konqueror

We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: 

   #1) Respect the privacy of others.
   #2) Think before you type.
   #3) With great power comes great responsibility.

Password: gabel is not in the sudoers file. This incident will be reported.

Grupul wheel există, dar din el face parte doar root, iar fişierul /etc/suauth (pentru configurarea detaliată a utilizatorilor care au dreptul de a utiliza comanda su, folosind grupul wheel) nu există.

gabel@MyVirtualBox:~$ cat /etc/group | grep wheel wheel:x:10:root

Grupul wheel

Adăugarea unui utilizator la grupul wheel (în fișierul de configurare /etc/group) este o metodă mai veche pentru configurarea diferenţiată a drepturilor utilizatorilor de a obține drepturi de administrare (root) prin rularea comenzilor su sau sudo. wheel:x:10:root,andrei

Utilizatorul care nu face parte din grupul wheel nu va avea dreptul de a rula comada su: gabel@MyVirtualBox:~$ su Access to su to that account DENIED. You are not authorized to su root

și nici sudo:

gabel@MyVirtualBox:~$ sudo mc Password: gabel is not in the sudoers file. This incident will be reported.

Pentru editarea fișierului /etc/group este recomandată comanda vigr.

O altă comandă pentru administrarea fișierului /etc/group este gpasswd: gpasswd -a andrei wheel

/etc/sudoers

  • Pentru a permite utilizatorilor din grupul wheel să ruleze comanda sudo trebuie decomentată linia:

%wheel ALL=(ALL) ALL

  • Pentru utilizatorii care nu fac parte din grupul wheel pot fi stabilite reguli de acces la unele comenzi cu caracter administrativ, de exemplu:

%users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom Pentru editarea fișierului /etc/sudoers este recomandată comanda visudo.

/etc/suauth

  • Crearea fişierului de configurare:

touch /etc/suauth chmod 0600 /etc/suauth

Exemplu de fișier /etc/suauth:

  2. /etc/suauth file
  4. A couple of privileged usernames may
  5. su to root with their own password.
  7. root:andrei:OWNPASS
  9. Anyone else may not su to root unless in
  10. group wheel. This is how BSD does things.

root:ALL EXCEPT GROUP wheel:DENY

gabel:andrei:NOPASS

În acest exemplu sunt stabilite următoarele reguli pentru rularea comenzii su:

  • Numai utilizatorii care fac parte din grupul wheel au dreptul de a obține drepturi de root prin rularea comenzii su.
  • Utilizatorul andrei poate obține drepturile contului gabel fără a i se solicita parola acestui cont:

andrei@MyVirtualBox:~$ su - gabel Password authentication bypassed.

Concluzii

Pentru utilizarea în scop personal a distribuţiei Slackware Linux, unele reguli de acces sunt inutile sau prea restrictive. Pentru utilizarea într-un mediu profesional (de producţie) unele reguli sunt prea generale pentru a avea efectul scontat în realitate. Important este faptul că aceste reguli de acces pot fi atât de flexibile şi de complexe, cât este necesar pentru a asigura un mediu de lucru optim şi sigur pentru utilizatori şi administratorii de sistem, fără a limita nimănui dreptul de a utiliza corect puterea, stabilitatea, flexibilitatea şi siguranţa specifice acestei distribuţii Linux.

Notă: Fișierele de configurare /etc/login.access și /etc/login.defs folosesc aparent grupul wheel:

SU_WHEEL_ONLY no

De fapt, utilizatorul trebuie adăugat la grupul root, nu la grupul wheel root:x:0:root

lucru care este în afara subiectului acestui tutorial.

Bibliografie

Eric Hameleers (Alien)’s Wiki

Retrieved from "http://wiki.linux360.ro/index.php?title=Grupul_%27wheel%27_în_Slackware_Linux&oldid=3503"