Noté que a dos grupos se les otorgan permisos de aspecto similar en /etc/sudoers
:
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
Mi cuenta de usuario con privilegios de "Administrar el sistema" está en el admin
grupo, y no parece haber ningún usuario en el sudo
grupo. ¿Para qué son estos dos grupos?
fuente
ALL=(ALL)
yALL=(ALL:ALL)
?Ubuntu 11.10 y anterior
Por defecto, el
sudo
grupo no se usa en Ubuntu :admin
grupo, nosudo
;sudo
grupo;sudo
grupo, porque eladmin
grupo puede hacer todo lo que uno necesita.Por el contrario, en Debian el grupo habilitado en
/etc/sudoers
es elsudo
grupo, y no hayadmin
grupo. Pero el usuario creado durante la instalación no se coloca en ese grupo, porque Debian tiene laroot
cuenta habilitada. Debe hacerlo explícitamente, si lo desea.Además, Fedora es similar a Debian , habiendo
root
habilitado y sin privilegios predeterminados para que el usuario cree durante la instalación. Pero el grupo administrativo configurado en/etc/sudoers
es el grupo más tradicionalwheel
.En conclusión, creo que no hay uso para el
sudo
grupo en Ubuntu , simplemente es una herencia de Debian .fuente
sudo
:grep '^sudo:' /etc/group
(recién instalado). No estoy seguro acerca de Debian, acabo de agregar mi propio nombre al/etc/sudoers
archivo.sudo
grupo para obtener privilegios administrativos:su -c "gpasswd -a $USER sudo"
no es necesario modificarlo/etc/sudoers
. O puede optar por la forma de Debian de usar directamente laroot
cuenta.No hay diferencia de seguridad.
Ambos tienen acceso 100% sin restricciones a todo lo proporcionado por el sistema operativo.
La diferencia en su / etc / sudoers es
(ALL)
vs(ALL:ALL)
. El primero significa que puede ejecutar comandos como cualquier usuario . El segundo: puede ejecutar el comando como cualquier usuario y como cualquier grupo .De la manera que se muestra en sus / etc / sudoers, ambos grupos deberán ingresar su propia contraseña para ejecutar comandos como root.
Ambos pueden tener un shell de raíz como este:
fuente
(ALL)
que no pertenezca a ese grupo no puede ejecutar ese comando. Al igual que aquí , los usuarios que están en el grupoadmin
y no en elwebuser
grupo no pueden ejecutarfirefox
.