LINUX.ORG.RU
ФорумGeneral

Сделать Sudo в Убунте как в Opensuse

 , ,


0

1

Всем привет, подскажите, смешной вопрос но все же, как то юзал опенсузю и там была такая фишка (наверно она раньше когда то во всех линуксах была) - созданный пользователь по которым сам юзер работает к выполнению админских действий непричастен, зато есть нормальный рут пользователь с отдельным паролем, т.е. когда юзер выполняет sudo надо ввести пароль рута, собственный пароль пользователя некатит, как в убунте. В убунте рут-пользователь по умолчанию после установки выключен, но даже если его включить то при выполнении sudo запрашивает пароль текущего пользователя (не рута). Чессно говоря не первый год юзаю убунту но все руки не доходили до этого, хочу в убунте сделать также, т.е. - для выполнения sudo - только пароль рута, достаточно загуглить, казалось бы все просто, надо удалить своего юзера в /etc/group из группы админов, но включится ли в sudo после этого запрос пароля рута? к тому же что странно - в sudoers я вижу строку: 

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
но в /etc/group я не вижу группы admin, из похожего есть группы adm и sudo, и кстати для sudo от рута надо ли рута добавить в группу sudo?

root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:syslog,user
tty:x:5:syslog
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:user
floppy:x:25:
tape:x:26:
sudo:x:27:user
audio:x:29:pulse
dip:x:30:user
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:user
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
systemd-journal:x:101:
systemd-network:x:102:
systemd-resolve:x:103:
systemd-timesync:x:104:
crontab:x:105:
messagebus:x:106:
input:x:107:
kvm:x:108:
render:x:109:
syslog:x:110:
tss:x:111:
bluetooth:x:112:
ssl-cert:x:113:
uuidd:x:114:
tcpdump:x:115:
avahi-autoipd:x:116:
rtkit:x:117:
ssh:x:118:
netdev:x:119:
lpadmin:x:120:user
avahi:x:121:
scanner:x:122:saned
saned:x:123:
nm-openvpn:x:124:
whoopsie:x:125:
colord:x:126:
geoclue:x:127:
pulse:x:128:
pulse-access:x:129:
gdm:x:130:
lxd:x:131:user
user:x:1000:
sambashare:x:132:user
nvidia-persistenced:x:133:
systemd-coredump:x:999:


Последнее исправление: barmaley99 (всего исправлений: 1)

Задать пароль руту, убрать текущего пользователя из группы судоеров (в этой последовательности)?

Nervous ★★★★★
()

т.е. когда юзер выполняет sudo надо ввести пароль рута, собственный пароль пользователя некатит

Ты не путаешь с su?

zemidius
()
Последнее исправление: zemidius (всего исправлений: 1)

Всем привет, подскажите, смешной вопрос но все же, как то юзал опенсузю и там была такая фишка (наверно она раньше когда то во всех линуксах была) - созданный пользователь по которым сам юзер работает к выполнению админских действий непричастен, зато есть нормальный рут пользователь с отдельным паролем, т.е. когда юзер выполняет sudo надо ввести пароль рута

чтоб такой эффект - ввод пароля рута,а не пользователя, был в убунте, надо:

sudo visudo

добавь

Defaults targetpw

targetpw          If set, sudo will prompt for the password of the user specified by the -u option (defaults to root) instead of the password of the invoking user when running a command or editing a file.  Note that this flag precludes the use of a user-ID not listed in the passwd database as an argument to the -u option.  This flag is off by default.
vtVitus ★★★★★
()
Последнее исправление: vtVitus (всего исправлений: 1)
Ответ на: комментарий от vtVitus

добавь Defaults targetpw

Да спасибо сработало, теперь sudo спрашивает пароль рута, но все равно если текущий пользователь в группе sudo, если его из sudo убрать то и пароль рута не запрашивает - пишет текущ.пользователь не в группе sudo, уже не помню так же ли было в опенсузе но вот хотелось бы сделать вообще как в винде - работать только под ограниченным пользователем, без всяких лишних (админских в винде) прав, и наличия в группе sudo и прочих админских группах, а при необходимости вводить пароль рута (админа в винде) и все, возможно ли это в линухе, и в убунте в частности?

barmaley99
() автор топика
Ответ на: комментарий от barmaley99

дык работаешь под своим пользователем, которого ограничиваешь как хочешь и для расширения прав используешь sudo.

внедрение пароля пользователя вместо пароля root сделано для того, чтобы не светить паролем root на всю одессу. и совершенно правильно сделано - пользователю в принципе до лампочки что вводить - свой пароль или пароль root, важно само требование на повышение прав.

наличие или отсутствие пользователя в группе sudo это просто включатель/выключатель допуска его к повышению прав. в винде это был бы какойнить красивый графический переключатель, а смысл будет тот же.

pfg ★★★★★
()
Ответ на: комментарий от barmaley99

в visudo пропиши чего-нить типа

%users   ALL=(ALL:ALL) ALL

тогда для всех из группы users (умолчательная группа) будет разрешён sudo

либо явно пропиши всех нужных пользователей

vitus   ALL=(ALL:ALL) ALL

тогда будет чисто для данных юзверов.

Это ж текстовый файл и никакой магии. В каких группах состоишь проще всего узнать через команду id

vtVitus ★★★★★
()
Последнее исправление: vtVitus (всего исправлений: 2)
Ответ на: комментарий от pfg

внедрение пароля пользователя вместо пароля root сделано для >>того, чтобы не светить паролем root на всю одессу.

Вот чесно гря до сих пор не понял этой фишки от каноникловцев якобы повышающей безопасность, ну так не паролем рута а паролем юзера из группы судо придется светить, и в чем разница то? Если его придется кому то сказать, или какая то зловредная прога умудрится запустится при выполнении судо то в чем разница если она запустится от рута? имея пароль юзера из группы судо можно в итоге с системой сделать все что угодно, так же как и от учетки рута

в винде это был бы какойнить красивый графический переключатель, >>а смысл будет тот же.

В винде совсем не так и смысл не совсем тот же, хотя конечно конечный результат одинаков просто подход там немного другой

Там юзер может быть абсолютно ограниченный в каких угодно правах, и дальше смотря как настроен UAC (User Access Control) - при его попытке доступа к операциям на которые у него нет прав может запрашиваться логин и пароль пользователя имеющего такие права (т.е. логин и пароль админа но не обязательно админа, можно и юзера с разрешениями на конкретную операцию), хотя там можно пользователям без конкретных прав и полностью запретить доступ к этим операциям, т.е. и логин/пароль запрашиваться небудет, а можно и вообще отключить UAC - все смогут всё несмотря на права

barmaley99
() автор топика
Ответ на: комментарий от barmaley99

Если уац настроен на подробный режим, то админский юзер всё равно работает в ограничениях как обычная учётка до тех пор пока в окне повышения прав не нажать кнопку да. Можно конечно запретить себе повышение прав и каждый раз вводить пароль админа, но это избыточное действо, если компом пользуешься только ты. В убунте так же. Группа sudoers ни за что в системе не отвечает кроме возможности повышения/смены прав. Пока эти права не повышены юзер из группы sudoers не будет отличаться ничем от юзера без этой группы. А вводить ли при повышении пароль рута или пароль юзера это дело вкуса.

ionanahin ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General