Meniu

Grupul wheel in Slackware Linux

Scopul acestui ghid este de a prezenta modul de stabilire diferentiata a drepturilor utilizatorilor de a rula comenzile su si sudo, folosind grupul wheel si fisierele de configurare: /etc/group, /etc/sudoers si /etc/suauth (ultimul fiind un fisier de configurare care nu exista implicit in distributia Slackware Linux, fiind specific sistemelor de operare de tip BSD). Trecând peste considerentele de ordin istoric sau filosofic (vezi Why GNU su does not support the ‘wheel’ group), utilizatorii distributiei Slackware Linux (administratori de sistem sau nu) au dreptul de a fi informati. Acesta este singurul motiv pentru care am scris acest ghid. Nici o informatie din acest ghid nu poate si nu trebuie interpretata in sensul restrângerii arbitrare sau nejustificate a unor drepturi de acces.

Introducere

În orice distributie Linux nu este recomandata folosirea contului root decât pentru sarcini de configurare sau intretinere a sistemului de operare. Chiar si in acest caz nu este recomandata utilizarea directa a contului root, ci obtinerea de drepturi de administrare folosind un cont de utilizator, cu ajutorul comenzilor su sau sudo.

Comanda su permite deschiderea unei sesiuni de lucru cu drepturile altui utilizator (inclusiv root) - pentru detalii vezi: man su. Comanda sudo permite rularea unei comenzi cu drepturile altui utilizator (inclusiv root) - pentru detalii vezi: man sudo.

În distributia Slackware Linux 12.0, in mod implicit (imediat dupa instalare), orice utilizator (posesor al unui cont valid) are dreptul de a utiliza comanda su si nici un utilizator nu are dreptul de a utiliza comanda sudo.

gnulinux@MyVirtualBox:~$ sudo konqueror
 
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
 
    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.
 
Password:
gnulinux is not in the sudoers file.  This incident will be reported.

Grupul wheel exista, dar din el face parte doar root, iar fisierul /etc/suauth (pentru configurarea detaliata a utilizatorilor care au dreptul de a utiliza comanda su, folosind grupul wheel) nu exista.

gnulinux@MyVirtualBox:~$ cat /etc/group | grep wheel
wheel:x:10:root

Grupul wheel

Adaugarea unui utilizator la grupul wheel (in fisierul de configurare /etc/group) este o metoda mai veche pentru configurarea diferentiata a drepturilor utilizatorilor de a obtine drepturi de administrare (root) prin rularea comenzilor su sau sudo.

wheel:x:10:root,andrei

Utilizatorul care nu face parte din grupul wheel nu va avea dreptul de a rula comada su:

gnulinux@MyVirtualBox:~$ su
Access to su to that account DENIED.
You are not authorized to su root

si nici sudo:

gnulinux@MyVirtualBox:~$ sudo mc
Password:
gnulinux is not in the sudoers file.  This incident will be reported.

Pentru editarea fisierului /etc/group este recomandata comanda vigr.

O alta comanda pentru administrarea fisierului /etc/group este gpasswd:

gpasswd -a andrei wheel

/etc/sudoers

Pentru a permite utilizatorilor din grupul wheel sa ruleze comanda sudo trebuie decomentata linia:

%wheel  ALL=(ALL)       ALL

Pentru utilizatorii care nu fac parte din grupul wheel pot fi stabilite reguli de acces la unele comenzi cu caracter administrativ, de exemplu:

%users ALL=/sbin/mount /cdrom,/sbin/umount /cdrom

Pentru editarea fisierului /etc/sudoers este recomandata comanda visudo.

/etc/suauth

Crearea fisierului de configurare:

touch /etc/suauth
chmod 0600 /etc/suauth

Exemplu de fisier /etc/suauth:

#
# /etc/suauth file
#
# A couple of privileged usernames may
# su to root with their own password.
#
# root:andrei:OWNPASS
#
# Anyone else may not su to root unless in
# group wheel. This is how BSD does things.
#
root:ALL EXCEPT GROUP wheel:DENY
#
gnulinux:andrei:NOPASS

În acest exemplu sunt stabilite urmatoarele reguli pentru rularea comenzii su:

Numai utilizatorii care fac parte din grupul wheel au dreptul de a obtine drepturi de root prin rularea comenzii su.
Utilizatorul andrei poate obtine drepturile contului gnulinux fara a i se solicita parola acestui cont:

andrei@MyVirtualBox:~$ su - gnulinux
Password authentication bypassed.

Concluzii

Pentru utilizarea in scop personal a distributiei Slackware Linux, unele reguli de acces sunt inutile sau prea restrictive. Pentru utilizarea intr-un mediu profesional (de productie) unele reguli sunt prea generale pentru a avea efectul scontat in realitate. Important este faptul ca aceste reguli de acces pot fi atât de flexibile si de complexe, cât este necesar pentru a asigura un mediu de lucru optim si sigur pentru utilizatori si administratorii de sistem, fara a limita nimanui dreptul de a utiliza corect puterea, stabilitatea, flexibilitatea si siguranta specifice acestei distributii Linux.

Nota: Fisierele de configurare /etc/login.access si /etc/login.defs folosesc aparent grupul wheel:

SU_WHEEL_ONLY   no

De fapt, utilizatorul trebuie adaugat la grupul root, nu la grupul wheel

root:x:0:root

lucru care este in afara subiectului acestui tutorial.

Andreea

"Rome wasn't built in a day" !
  • | 120 articole

Nici un comentariu inca. Fii primul!
  • powered by Verysign