Acabo de comprovar en una instal·lació feta amb
debian-buster-DI-rc1-amd64-DVD-1 (i actualitzada) que a Debian 10
segueix sense estar resolt un problema, que em sembla que a Ubuntu a
Ubuntu sí que hi tenen solució:
Com molta altra gent, tinc per sistema no establir contrasenya de «root»
a les instal·lacions, de manera que aquest compte tingui deshabilitat
l'inici de sessió com a usuari.
Això ja implica que el primer compte d'usuari normal té permisos «sudo»
per a fer crides d'administració del sistema (com root).
Si necessito arrencar amb l'alternativa «recovery mode» del gestor
d'arrencada, el sistema operatiu només permet la sessió monousuari
(sense escriptori ni xarxa) en cas que «root» tingui contrasenya, ja que
només està previst l'accés proporcionant la contrasenya de «root» a consola.
Crec que l'autenticació de qualsevol usuari del grup «sudo» hauria de
permetre el mateix.
He estat mirant una mica això i "sudo" és més complex del que sembla ja que, en l'arrencada, inicia un script per preparar l'entorn 'selinux' (de seguretat).
A banda, sudo fa registre (log) de l'activitat de cada usuari que l'utilitza.
Imagino que a causa d'aquesta "complexitat" inicial (i potser més) sudo no està implantat (inicialitzat?) en el cas del mode de recuperació imagino que perquè l'entorn inicial és molt bàsic.
$ find /etc/rc?.d -name "*sudo*"
/etc/rc2.d/S02sudo
/etc/rc3.d/S02sudo
/etc/rc4.d/S02sudo
/etc/rc5.d/S02sudo
Com pots veure, sudo no s'inicialitza en el runlevel 1 (no és a /etc/rc1.d/) que és de "monousuari".
He parlat de Debian. No sé massa com s'ho fan a Ubuntu ja que tal com deies es pot entrar en mode de recuperació.
He provat i el paquet "sudo" és força diferent entre les dues distribucions (Ubuntu no té tot això dels /etc/rc?.d/ i en una màquina bàsica Ubuntu per al mode de recuperació no m'ha demanat cap contrasenya.
Anant més enllà, no sé el perquè en una instal·lació normal el
DebianInstaller proposa crear una contrasenya per a «root».
--
__________
I'm using this express-made address because personal addresses aren't
masked enough at this mail public archive. Public archive administrator
should fix this against automated addresses collectors.