Scopul acestui ghid este de a prezenta modul de stabilire diferentiata a drepturilor utilizatorilor de a rula comenzile su si sudo, folosind grupul wheel si fisierele de configurare: /etc/group, /etc/sudoers si /etc/suauth (ultimul fiind un fisier de configurare care nu exista implicit in distributia Slackware Linux, fiind specific sistemelor de operare de tip BSD).

Trecând peste considerentele de ordin istoric sau filosofic (vezi [http://www.gnu.org/software/coreutils/manual/html_node/su-invocation.html#index-Twenex-2100 Why GNU su does not support the ‘wheel’ group]), utilizatorii distributiei Slackware Linux (administratori de sistem sau nu) au dreptul de a fi informati.

Acesta este singurul motiv pentru care am scris acest ghid. Nici o informatie din acest ghid nu poate si nu trebuie interpretata in sensul restrângerii arbitrare sau nejustificate a unor drepturi de acces.

Introducere

În orice distributie Linux nu este recomandata folosirea contului root decât pentru sarcini de configurare sau intretinere a sistemului de operare. Chiar si in acest caz nu este recomandata utilizarea directa a contului root, ci obtinerea de drepturi de administrare folosind un cont de utilizator, cu ajutorul comenzilor su sau sudo. Comanda su permite deschiderea unei sesiuni de lucru cu drepturile altui utilizator (inclusiv root) - pentru detalii vezi: man su.

Comanda sudo permite rularea unei comenzi cu drepturile altui utilizator (inclusiv root) - pentru detalii vezi: man sudo.

În distributia Slackware Linux 12.0, in mod implicit (imediat dupa instalare), orice utilizator (posesor al unui cont valid) avea dreptul de a utiliza comanda su si nici un utilizator nu are dreptul de a utiliza comanda sudo.

gnu-Linux@MyVirtualBox:~$ sudo konqueror We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.

#2) Think before you type.

#3) With great power comes great responsibility. Password: gnu-Linux is not in the sudoers file. This incident will be reported.

Grupul wheel exista, dar din el face parte doar root, iar fisierul /etc/suauth (pentru configurarea detaliata a utilizatorilor care au dreptul de a utiliza comanda su, folosind grupul wheel) nu exista.

gnu-Linux@MyVirtualBox:~$ cat /etc/group | grep wheel wheel:x:10:root

Grupul wheel

Adaugarea unui utilizator la grupul wheel (in fisierul de configurare /etc/group) este o metoda mai veche pentru configurarea diferentiata a drepturilor utilizatorilor de a obtine drepturi de administrare (root) prin rularea comenzilor su sau sudo.

wheel:x:10:root,andrei

Utilizatorul care nu face parte din grupul wheel nu va avea dreptul de a rula comada su:

gnu-Linux@MyVirtualBox:~$ su Access to su to that account DENIED. You are not authorized to su root

si nici sudo:

gnu-Linux@MyVirtualBox:~$ sudo mc Password: gnu-Linux is not in the sudoers file. This incident will be reported.

Pentru editarea fisierului /etc/group este recomandata comanda vigr. O alta comanda pentru administrarea fisierului /etc/group este gpasswd:

gpasswd -a gnu wheel

/etc/sudoers

Pentru a permite utilizatorilor din grupul wheel sa ruleze comanda sudo trebuie decomentata linia:

%wheel ALL=(ALL) ALL

Pentru utilizatorii care nu fac parte din grupul wheel pot fi stabilite reguli de acces la unele comenzi cu caracter administrativ, de exemplu:

%users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom

Pentru editarea fisierului /etc/sudoers este recomandata comanda visudo.

/etc/suauth

Crearea fisierului de configurare:

touch /etc/suauth chmod 0600 /etc/suauth

Exemplu de fisier /etc/suauth:

# # /etc/suauth file

# # A couple of privileged usernames may

# su to root with their own password.

# # root:gnu:OWNPASS

# # Anyone else may not su to root unless in # group wheel. This is how BSD does things.

# root:ALL EXCEPT GROUP wheel:DENY

# gnu-Linux:gnu:NOPASS

În acest exemplu sunt stabilite urmatoarele reguli pentru rularea comenzii su:

Numai utilizatorii care fac parte din grupul wheel au dreptul de a obtine drepturi de root prin rularea comenzii su.

Utilizatorul gnu poate obtine drepturile contului gnu-Linux fara a i se solicita parola acestui cont:

gnu@MyVirtualBox:~$ su - gnu-Linux Password authentication bypassed.

Concluzii

Pentru utilizarea in scop personal a distributiei Slackware Linux, unele reguli de acces sunt inutile sau prea restrictive. Pentru utilizarea intr-un mediu profesional (de productie) unele reguli sunt prea generale pentru a avea efectul scontat in realitate. Important este faptul ca aceste reguli de acces pot fi atât de flexibile si de complexe, cât este necesar pentru a asigura un mediu de lucru optim si sigur pentru utilizatori si administratorii de sistem, fara a limita nimanui dreptul de a utiliza corect puterea, stabilitatea, flexibilitatea si siguranta specifice acestei distributii Linux.

Nota: Fisierele de configurare /etc/login.access si /etc/login.defs folosesc ''aparent'' grupul wheel:

SU_WHEEL_ONLY no

De fapt, utilizatorul trebuie adaugat la grupul root, nu la grupul wheel

root:x:0:root

lucru care este in afara subiectului acestui tutorial.

Bibliografie - http://alien.slackbook.org/dokuwiki/doku.php?id=linux:admin Eric Hameleers (Alien)’s Wiki

Slackware Linux - GNU/Linux.ro Cititi mai multe stiri/noutati despre Slackware Linux aici ...

Trimite-ne o stire
  • Care este reactia ta?
  • powered by Verysign
  • like GNU/Linux.ro
    Like
  • unmoved GNU/Linux.ro
    unmoved
  • amused GNU/Linux.ro
    amused
  • excited GNU/Linux.ro
    excited
  • angry GNU/Linux.ro
    angry
  • sad GNU/Linux.ro
    sad
TENDINTA  |  Xubuntu este acum pe GitHub!
John Doe                   GNU/Linux.ro
John Doe
Articole publicate de la contributori ce nu detin un cont pe gnulinux.ro. Continutul este verificat sumar, iar raspunderea apartine contributorilor.
64 articole



  • Comenteaza
  • powered by Verysign

Nici un comentariu inca. Fii primul!