Tyhmä kysymys käyttäjäoikeuksista 12.04:ssa

[qwertyy]

Miten buntuissa oikein määräytyy käyttäjätasot? Pisti vain silmään, että jos teen sudoilun vaatiman ensimmäisen käyttäjän a lisäksi toisen käyttäjätilin b, joka ei kuulu wheel ryhmään, niin jos ajan päivitykset tällä jälkimmäisellä tilillä b järjestelmä tietysti kysyy ensimmäisen käyttäjätilin a sudo käyttäjäsalasanaa päivityksen aktivoimiseksi. No tämä tietysti on ihan ok, mutta jos avaan tuon jälkeen päätteessä top:n, niin päivitysprosessi näyttää kuitenkin kuuluvan tälle käyttäjälle b, joka ei kuulu wheel ryhmään?

Ei minusta kovinkaan loogista ja pystyykö järjestelmänvalvoja edes huomaamaan, että päivitykset olisi ajettu hänen sudoiluna?

Olen ajellut Linuxeja käytännössä aina yhdellä käyttäjällä, joka on kuulunut wheel ryhmään tai vaihtoehtoisesti normaalina käyttäjänä ja root-tili lisänä ja useamman käyttäjätilin järjestelmät on minulle outoja.

Miten Linuxeissa tai erityisesti Xubuntussa nyt sitten on määritelty esim. päivitysprosessi, että normaalikäyttäjä voi aktivoida sen jos vain tietää sudo salasanan. Kuuluko kyseinen ohjelma siis "ryhmään" hiukan kuten esim. Virtualboxin usb-käyttöoikeudet? Yritin selailla käyttäjiä ja ryhmiä, mutta en muka huomannut kuitenkaan tällaistä kohtaa?

[kuutio]

Tuo kuulostaa hieman erikoiselta, kun *buntuissa ei oletuksena ole wheel-ryhmää (eräistä muista jakeluista poiketen), oletko luonut sen itse?

Oletuksena *buntuissa käyttäjät jotka kuuluvat "admin" (tai "sudo") -ryhmään voivat käyttää sudoa (sudon käyttöoikeudet on määritelty /etc/sudoers tiedostossa...jota ei kannata mennä sorkkimaan, jos ei tiedä mitä tekee).

Ja oletuksena sudon pitäisi siis kysyä ajavan käyttäjän salasanaa (ei järjestelmänvalvojan salasanaa).

[qwertyy]

Joo tuossa tulikin oma moka, tosiaan yksikään käyttäjä ei tosiaan kuulu wheel-ryhmään.

Groups komento kertoo seuraavat.

Koodia: [Valitse]

groups a
a: a adm cdrom sudo dip plugdev lpadmin sambashare

groups b
b: b
Tosiaan jos käyttäjänä b avaan graafisen päivityksen Xubuntusta, niin se kysyy a:n sudo salasanaa ja sen syötettyä top:ssa näkyy prosessi käyvän b:n oikeuksilla. Oletin että tuo näkyisi top:ssa a:n oikeuksilla käyvänä ohjelmana. kun hänen sudo salasanaa kysytään?

Päätteestä käyttäjänä b ei tietystikään voi käskyttää sudoa tai tulee heti virheilmoitus käyttäjän kuulumattomuudesta sudo ryhmään. Käyttäjät on ihan perusasetuksissa, eli b käyttäjä on luotu käytännössä heti asennuksen jälkeen. En ole muokkaillut mitään asetuksia sen kummemmin.

[kuutio]

Graafinen päivitysohjelma luultavasti käyttää policykit:tiä (eikä sudoa) pääkäyttäjän oikeuksien saamiseen ('pkexec ohjelma' vs. 'gksudo ohjelma').

Policykit muistaakseni voi/osaa kysellä a käyttäjän salasanaa jos b käyttäjällä ei oikeuksia ole (b käyttäjänhän ei tietysti pitäisi tietää a:n salasanaa).

En ole policykitin konffeihin perehtynyt, kun ei se kubuntussa juuri vastaan tule, mutta 'man pkexec' ja 'man pklocalauthority' saattaa auttaa alkuun.

[qwertyy]

Kiitoksia. Nyt kun mainitsit niin policykit taitaa tosiaan sallia tuon jipon. Pitänee kokeilla tutkailla mitä man ja netti kertoo aiheesta.