[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: root vs. user (was: [ncurses] make menuconfig findet curses nicht)

Andreas Tille schrieb am Mittwoch, den 11. Oktober 2000:

> > Aber admin ist nicht gleich root. Ein Admin unterscheidet sich bei
> > der normalen Arbeit kaum von einem User, außer vielleicht in der
> > Tatsache, daß er in der Gruppe wheel oder root drin ist und somit
> > das Recht hat, mittels su zum User root zu mutieren.

> Hmm, kann man das su für andere Nutzer generell unterbinden. Ich
> dachte, das ginge für jeden, der das root-Passwort weiß. Ist das
> nicht so?

Kommt drauf an, wie man das System konfiguriert.  Die Möglichkeit, mit
su root zu werden, haben su-Kommandos schon vor langer Zeit geboten.
Nur GNU su hat da eine Ausnahme gemacht, weil das unsozial sei, andere
User davon auszuschließen (ich weiß die genaue Begründung nicht mehr,
konnte sie auch nie nachvollziehen, aber irgendsowas stand in der
Manpage). Daher haben diverse Leute das GNU su aufgebohrt und man
konnte es dann oft in login.defs einstellen, ob dieses Feature
existiert oder nicht. Inzwischen kann man das Verhalten von su in
/etc/pam.d/su ziemlich frei konfigurieren:

# Uncomment this to force users to be a member of group root
# before than can use `su'. You can also add "group=foo" to
# to the end of this line if you want to use a group other
# than the default "root".
# (Replaces the `SU_WHEEL_ONLY' option from login.defs)
auth       required   pam_wheel.so

# Uncomment this if you want wheel members to be able to
# su without a password.
# auth       sufficient pam_wheel.so trust

# Uncomment this if you want members of a specific group to not
# be allowed to use su at all.
# auth       required   pam_wheel.so deny group=nosu

> > sudo ist sicherlich nicht elegant, weil man dafür ja wieder
> > root-Rechte braucht, aber fakeroot ist (mal abgesehen vom einen
> > oder anderen Bug) IMHO sehr elegant, weil es die Möglichkeit
> > bietet, im deb-Archiv beliebige User-IDs abzulegen, ohne dafür
> > wirklich root-Rechte zu haben.

> Aber zum Ausmachen des Rechners finde ich sudo wiederum elegant,
> denn bei mir gibt es eine Gruppe "AUSMACHER", die ein Script namens
> /usr/local/bin/halt aufrufen können in dem
>    sudo /sbin/halt
> drinsteht.  Deshalb brauche ich auch kein Shutdown per Tastendruck ...

Ooops, da hast Du mich mißverstanden. Obiger Satz bezog sich nur auf
sudo in Verbindung mit dpkg-buildpackage/make-kpkg, nicht auf sudo
allgemein.

Tschoeeee

        Roland

-- 
 * roland@spinnaker.de * http://www.spinnaker.de/ *

---------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Body
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
---------------------------------------------------------

785 eingetragene Mitglieder in dieser Liste.
Reply to: