Ubuntu Suomen keskustelualueet
Muut alueet => Muut käyttöjärjestelmät ja Linux-jakelut => Aiheen aloitti: raimo - 05.11.16 - klo:17.47
-
Hep!
Fedora 24:ssä jos jokin ohjelma puuttuu, eli ei ole asennettuna ja ajaa ko. ohjelman käynnistyskäskyn (esimerkissä nyt vim -komento) niin ohjelman vaatimat paketit asentuu suoraan itsestään ilman sudo-salasanakyselyä parilla Y/N kysymyksellä.
Esimerkki:
raimo@kone-2 ~ $ vim
bash: vim: command not found...
Install package 'vim-enhanced' to provide command 'vim'? [N/y] y
* Waiting in queue...
* Loading list of packages....
The following packages have to be installed:
vim-common-2:7.4.1868-1.fc24.x86_64 The common files needed by any version of the VIM editor
vim-enhanced-2:7.4.1868-1.fc24.x86_64 A version of the VIM editor which includes recent enhancements
vim-filesystem-2:7.4.1868-1.fc24.x86_64 VIM filesystem layout
Proceed with changes? [N/y] y
* Waiting in queue...
* Waiting for authentication...
* Waiting in queue...
* Downloading packages...
* Requesting data...
* Testing changes...
* Installing packages...
Vim: Warning: Input is not from a terminal
vim -komennon seurauksena on siis se että vim -paketit asentuu ja VIM aukeaa, sudo -salasanaa ei kysytä missään vaiheessa prosessia.
sudo -K komennon ajoin ennen kokeilua, eli siitä ei ole kyse että salasana olisi jo "muistissa".
Jotenkin tuntuu että tämä ei ole ihan niitä turvallisimpia ominaisuuksia?
-
Ilmeisesti Fedorassa nykyinen käytäntö on se, että wheel-ryhmän käyttäjät voivat asentaa ohjelmia PackageKitin kautta ilman ylimääräisiä salasanaprompteja.
https://bugzilla.redhat.com/show_bug.cgi?id=1225788
https://pagure.io/fesco/issue/1115
-
Ilmeisesti Fedorassa nykyinen käytäntö on se, että wheel-ryhmän käyttäjät voivat asentaa ohjelmia PackageKitin kautta ilman ylimääräisiä salasanaprompteja.
https://bugzilla.redhat.com/show_bug.cgi?id=1225788
https://pagure.io/fesco/issue/1115
Kiitos! Tuo selventää asian, itse en koskaan ole katsonut salasanakyselyjä häiritseviksi.
Mutta nyt kuka vaan ohikulkija voi asennella ohjelmia jos kone on auki.
Edit: Normaaliasennus kuitenkin vatii sudo:n käytön
raimo@kone-2 ~ $ dnf install vim
Error: This command has to be run under the root user.
/etc/sudoers ei valaissut lisää asiaa eli sudo visudo komennolla aukeavasta tiedostosta en löytänyt mitään säätöä ko. asialle.
No olkoonpa noin kun on.
-
Viimeks Fedoran kanssa räplätessä loin 2 käyttäjää, joista toisella oli sudo-oikeudet mutta toisella ei ollut. Vaikka toi tuntuu hiukan turhalta tai haasteelliselta (idioottimaisuudesta puhumattakaan), niin itelle se sopi. Tosin joutuu muistelemaan 3 eri salasanaa :P
-
Mutta nyt kuka vaan ohikulkija voi asennella ohjelmia jos kone on auki.
Eikö suurempi ongelma ole se, että kuka tahansa ohikulkija pääsee sörkkimään tiedostojasi ja selaintasi. ;)
Tuota varten on näytön lukitus.
Edit: Normaaliasennus kuitenkin vatii sudo:n käytön
raimo@kone-2 ~ $ dnf install vim
Error: This command has to be run under the root user.
Niin dnf vaati root-oikeudet mutta pkcon asentaa ilman salasanakyselyä. Eli PackageKitin operaatiot on sallittu wheel-ryhmän käyttäjille PolicyKitin autentikointisäädöillä. En tiedä tarkemmin missä ne on määritelty, mutta googlettamalla selvinnee.
-
Mutta nyt kuka vaan ohikulkija voi asennella ohjelmia jos kone on auki.
Eikö suurempi ongelma ole se, että kuka tahansa ohikulkija pääsee sörkkimään tiedostojasi ja selaintasi. ;)
Tuota varten on näytön lukitus.
Edit: Normaaliasennus kuitenkin vatii sudo:n käytön
raimo@kone-2 ~ $ dnf install vim
Error: This command has to be run under the root user.
Niin dnf vaati root-oikeudet mutta pkcon asentaa ilman salasanakyselyä. Eli PackageKitin operaatiot on sallittu wheel-ryhmän käyttäjille PolicyKitin autentikointisäädöillä. En tiedä tarkemmin missä ne on määritelty, mutta googlettamalla selvinnee.
Jep, kiitos.
-
... sudo-salasanakyselyä parilla Y/N kysymyksellä.
Fedorassa ei ole oletuksena käytössä määriteltyä sudo-käyttäjää.
Useimmissa jakeluissa vi -editori asentuu oletuksena. Joskus vi on linkki ohjelmaan vim (Vi IMproved) tai päinvastoin. man vi
-
... sudo-salasanakyselyä parilla Y/N kysymyksellä.
Fedorassa ei ole oletuksena käytössä määriteltyä sudo-käyttäjää.
Useimmissa jakeluissa vi -editori asentuu oletuksena. Joskus vi on linkki ohjelmaan vim (Vi IMproved) tai päinvastoin. man vi
Fedorassa asennuksen tekevä käyttäjä saa sudo -oikeudet = lisätään wheel ryhmään jos laittaa yhden ruksin paikoilleen.
En nyt muista mitä sillä rivillä lukee, käyttäjänimen/salasanaruutujen alla se kuitenkin on asennusohjelmassa.
vim olikin vain esimerkki asennettavasta ohjelmasta. Aivan yhtä hyvin se olisi voinut olla vaikka gimp tai geany, tai mitä niitä nyt on, ohjelmia. :)
-
Asennusohjelman viimeisessä vaiheessa pystyy tekemään root-käyttäjän lisäksi tavallisen käyttäjän. Tavallisen käyttäjän luonnin yhteydessä voidaan kyseisestä tilistä tehdä ylläpitäjä. Toi ruksi-valinta on niiden nimilaatikoiden ja salasana kohdan välissä.
-
Asennusohjelman viimeisessä vaiheessa pystyy tekemään root-käyttäjän lisäksi tavallisen käyttäjän. Tavallisen käyttäjän luonnin yhteydessä voidaan kyseisestä tilistä tehdä ylläpitäjä. Toi ruksi-valinta on niiden nimilaatikoiden ja salasana kohdan välissä.
root käyttäjää ei ole pakko tehdä (melko Ubuntumaista :) )vaan tiedot voi jättää syöttämättä kunhan muistaa ko. ruksin.
-
Viimeks tein root-käyttäjän ja ylläpito-käyttäjän lisäks ihan tavallisen käyttäjän, jolla ei ollut juuri mitään oikeuksia. Typerää joo, mut pakkohan tota oli kokeilla :P
Tosin oli hiukan hankalaa muistella, mikä käyttäjätunnus ja salasana kuuluu millekin :D
-
Viimeks tein root-käyttäjän ja ylläpito-käyttäjän lisäks ihan tavallisen käyttäjän, jolla ei ollut juuri mitään oikeuksia. Typerää joo, mut pakkohan tota oli kokeilla :P
Tosin oli hiukan hankalaa muistella, mikä käyttäjätunnus ja salasana kuuluu millekin :D
Kyllä useamman käyttäjän luominen on hyvinkin perusteltua vaikka olisikin yhden käyttäjän kone.
Toinen käyttäjätunnus saattaa pelastaa päivän tai melkeimpä viikon ongelmatilanteen ilmetessä.
-
Kyllä useamman käyttäjän luominen on hyvinkin perusteltua vaikka olisikin yhden käyttäjän kone.
Toinen käyttäjätunnus saattaa pelastaa päivän tai melkeimpä viikon ongelmatilanteen ilmetessä.
Sudo-komennon perimmäinen idea on ollut se, että esim. palvelimissa on ollut mahdollisuus sallia tiettyjen käyttäjien käyttää määriteltyjä komentoja, jotka oletuksena ovat vain ylläpidon hallinnassa. Sudo-käyttäjällä on siis ollut hyvin rajattu oikeus. Canonical halusi laajentaa tätä siten, ettei edes luoda (aktivoida) root-tunnusta, vaan ylläpidosta huolehtii sudo-oikeudet saanut käyttäjä.
Ubuntu ei rajoita sudo-oikeudet omaavaa käyttäjää, vaan hän/se toimii ylläpitäjänä. Tuo sudo voi joskus tuottaa jopa joitakin ongelmia, koska sudo-käyttäjä ei käytä oletuksena root-käyttäjän ympäristömuuttujia.
man sudo on jälleen mm. hyvä komento hieman tarkistaa, millainen komento sudo on.
NAME
sudo, sudoedit — execute a command as another user
Itse (harvoin) asentaessani uudelleen Fedora-jakelua (Fedorahan minulla on aina käytettävissä koneilla), en ole edes huomannut mahdollisuutta aktivoida jollekulle muulle käyttäjälle täysiä sudo-oikeuksia kaikkiin ylläpitotehtäviin. Mielestäni yleensä yksi käyttäjätunnus riittää järjestelmän ylläpitoon - ja oletuksena se on root (Ubuntua lukuunottamatta).
-
Canonical halusi laajentaa tätä siten, ettei edes luoda (aktivoida) root-tunnusta, vaan ylläpidosta huolehtii sudo-oikeudet saanut käyttäjä.
Käytäntö matkittiin Ubuntuun Mac OS X:stä, koska se sopii tavalliseen työpöytäkäyttöön paremmin kuin erillinen root-tunnus. Windowsin perusasennuksen ylläpito on myös toiminut samalla periaatteella Vistasta lähtien.
-
Niin no sudo:n antamia oikeuksia saa räätälöityä aika rankasti, ts. käsittääkseni Ubuntussakin onnistuisi, antaa eri käyttäjille eritasoisia sudo-oikeuksia.
-
Niin no sudo:n antamia oikeuksia saa räätälöityä aika rankasti, ts. käsittääkseni Ubuntussakin onnistuisi, antaa eri käyttäjille eritasoisia sudo-oikeuksia.
Tottakai. Sama sudo-komento se on Ubuntussa kuin muissakin jakeluissa. Vapaa ohjelma kaikkiin *nix-järjestelmiin.
Jopa Ubuntussakin voi palata root-käytäntöön, kunhan aktivoi root-tunnuksen, kuten tein Ubuntu-versiossa Warty 4.10, kun sudon käyttö tuntui tuolloin niin omituiselta.