¿Cuál es la diferencia entre el grupo 'sudo' y 'admin'?

69

Noté que a dos grupos se les otorgan permisos de aspecto similar en /etc/sudoers:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Mi cuenta de usuario con privilegios de "Administrar el sistema" está en el admingrupo, y no parece haber ningún usuario en el sudogrupo. ¿Para qué son estos dos grupos?

ændrük
fuente

Respuestas:

55

Ubuntu 12.04 LTS y posterior

Los administradores se agregan al sudogrupo, pero el admingrupo es compatible con la compatibilidad con versiones anteriores. De las notas de lanzamiento :

Hasta Ubuntu 11.10, se otorgó acceso de administrador mediante la herramienta sudo a través del admingrupo Unix. En Ubuntu 12.04, se otorgará acceso de administrador a través del sudogrupo. Esto hace que Ubuntu sea más coherente con la implementación ascendente y Debian. Por motivos de compatibilidad, el admingrupo continuará proporcionando acceso a sudo / administrador en 12.04.

No se crea cuando realiza una instalación nueva, aunque todavía está presente si actualizó desde distribuciones anteriores. De cualquier manera, el admingrupo aparece en el /etc/sudoersarchivo.

Consulte los detalles de implementación y la documentación oficial .

jordicm
fuente
Bueno. ¡Gracias! ¿Podría por favor agregar una explicación sobre la diferencia entre ALL=(ALL)y ALL=(ALL:ALL)?
Miércoles
No importa, acaba de ver la respuesta en la respuesta de Aleksandr a continuación ...
wedi
21

Ubuntu 11.10 y anterior

Por defecto, el sudogrupo no se usa en Ubuntu :

  • el usuario creado durante la instalación pertenece al admingrupo, no sudo;
  • ninguna guía o manual que haya leído consejos para usar el sudogrupo;
  • nadie siente la necesidad de usar el sudogrupo, porque el admingrupo puede hacer todo lo que uno necesita.

Por el contrario, en Debian el grupo habilitado en /etc/sudoerses el sudogrupo, y no hay admingrupo. Pero el usuario creado durante la instalación no se coloca en ese grupo, porque Debian tiene la rootcuenta habilitada. Debe hacerlo explícitamente, si lo desea.

Además, Fedora es similar a Debian , habiendo roothabilitado y sin privilegios predeterminados para que el usuario cree durante la instalación. Pero el grupo administrativo configurado en /etc/sudoerses el grupo más tradicional wheel.

En conclusión, creo que no hay uso para el sudogrupo en Ubuntu , simplemente es una herencia de Debian .

enzotib
fuente
En mi sistema Ubuntu, ningún usuario es miembro de sudo: grep '^sudo:' /etc/group(recién instalado). No estoy seguro acerca de Debian, acabo de agregar mi propio nombre al /etc/sudoersarchivo.
Lekensteyn
1
@Lekensteyn: como dije, en Debian debes agregar explícitamente un usuario al sudogrupo para obtener privilegios administrativos: su -c "gpasswd -a $USER sudo"no es necesario modificarlo /etc/sudoers. O puede optar por la forma de Debian de usar directamente la rootcuenta.
enzotib
16

No hay diferencia de seguridad.

Ambos tienen acceso 100% sin restricciones a todo lo proporcionado por el sistema operativo.

La diferencia en su / etc / sudoers es (ALL)vs (ALL:ALL). El primero significa que puede ejecutar comandos como cualquier usuario . El segundo: puede ejecutar el comando como cualquier usuario y como cualquier grupo .

De la manera que se muestra en sus / etc / sudoers, ambos grupos deberán ingresar su propia contraseña para ejecutar comandos como root.

Ambos pueden tener un shell de raíz como este:

sudo su
Aleksandr Levchuk
fuente
9
¿Qué no puedo hacer sin el bit "como cualquier grupo"?
Tudor
Si se permite que un programa se ejecute específicamente solo por un grupo específico, entonces un usuario (ALL)que no pertenezca a ese grupo no puede ejecutar ese comando. Al igual que aquí , los usuarios que están en el grupo adminy no en el webusergrupo no pueden ejecutar firefox.
Stam Kaly