Fedora root ja "user admin" käyttäjät

[qwertyy]

Fedorassa on mielenkiintoisesti root-salasana ja asennuksessa kysytään, että tehdäänkö ensimmäisestä normaalista käyttäjästä järjestelmänhallintatili.

Tuntuu hiukan erikoiselta jaottelulta. Miten Fedoran käyttäjät yleensä tekee? Ilmeisesti suurin osa määrittelee root-salasanan ja käyttäjästä järjestelmänhallitsijan? Ainakin oletusasetukset viittaa siihen.

*edit*
Hiukan täsmentäen. Eli eikö kuitenkin periaatteessa olisi hyvä tehdä ylläpitotoimet yms. root-tilillä ja luoda normaalikäyttäjä ilman ylläpitotunnusoikeuksia?

[JaniAlander]

Se näemmä eroaa juuri sillä tapaa että Fedora hyödyntää sitä "wheel" ryhmää. Veikkaanpa ettei anna mennä su:lla rootiksi ellet ole admin käyttäjä ja wheelin jäsen..

3.7.1. Administrative User
Fedora 15 introduces the concept of an administrator group. Users who are in this group are able to:

    sudo, using their password
    authorize for various administrative tasks using PolicyKit with their own password
    authorize for various administrative tools using consolehelper/userhelper with their own password

Details here.
This is implemented via the 'wheel' group. Users can be added to the administrative group in the GNOME User Accounts panel, in the Users and Groups configuration utility (system-config-users) or in firstboot. For adding a new user as an administrator in GNOME, click on the user menu on the top right, click on "My Account", unlock by providing the root user password and click on the "+" button to add a new user. Select "Account Type" as "Administrator" instead of "Standard".

http://docs.fedoraproject.org/en-US/Fedora/15/html/Release_Notes/sect-Release_Notes-Changes_for_SysAdmin.html

[bummy]

Se näemmä eroaa juuri sillä tapaa että Fedora hyödyntää sitä "wheel" ryhmää. Veikkaanpa ettei anna mennä su:lla rootiksi ellet ole admin käyttäjä ja wheelin jäsen..

3.7.1. Administrative User
Fedora 15 introduces the concept of an administrator group. Users who are in this group are able to:

    sudo, using their password
    authorize for various administrative tasks using PolicyKit with their own password
    authorize for various administrative tools using consolehelper/userhelper with their own password

Details here.
This is implemented via the 'wheel' group. Users can be added to the administrative group in the GNOME User Accounts panel, in the Users and Groups configuration utility (system-config-users) or in firstboot. For adding a new user as an administrator in GNOME, click on the user menu on the top right, click on "My Account", unlock by providing the root user password and click on the "+" button to add a new user. Select "Account Type" as "Administrator" instead of "Standard".

http://docs.fedoraproject.org/en-US/Fedora/15/html/Release_Notes/sect-Release_Notes-Changes_for_SysAdmin.html

Ei tuo vaikuta siihen pääseekö su:lla rootiksi. En tiedä mikä on yleinen käytäntö, mutta itse tein juuri kuten aloituspostauksessa suunniteltu. Root-salasana ja ensimmäisestä käyttäjästä en tehnyt järjestelmänhallintatiliä. Kirjaudun sitten aina su - komennolla rootiksi, kun tarvitsee.

[arieep]

Varmaankin riippuu siitäkin onko koneella muita käyttäjiä, itse olen aina ollut ainoana käyttäjänä ja siten yleensä myös sudo-ryhmässä. Fedorassa en lisää käyttäjälle omaa salasanaa, ja käytän myös automaattista kirjautumista. Tuo wheel ryhmä on käsittääkseni jotakin adminin ja sudon väliltä, kaikkiin sudo-komentoihin en tarvitse salasanaa. Mutta jos haluan pääkäyttäjäksi joko päätteessä tai krusaderin tiedostoselaimessa niin kysyy salasanan. Olen kyllä saanut jakelusta riippumatta systeemini solmuun, nopeampaa on kiroittaa salasana kun tarkistaa komennon toimivuus / tarpeellisuus.

[kuutio]

Se näemmä eroaa juuri sillä tapaa että Fedora hyödyntää sitä "wheel" ryhmää. Veikkaanpa ettei anna mennä su:lla rootiksi ellet ole admin käyttäjä ja wheelin jäsen..

Siitä on hetki aikaa, kun olen Fedoraa ajellut, mutta ainakin silloin muistaakseni wheel ryhmää ei Fedorassakaan oletuksena käytetty su autentikoinnin rajoitukseen (kuten bummy jo mainitsikin), vaan ainoastaan sudo/policykit autentikoinnin rajoittamiseen wheel ryhmän jäsenille.

Jos wheel ryhmää halusi käyttää su autentikoinnin rajoittamiseen, piti puukottaa /etc/pam.d/su tiedostoa, kuten *buntuissakin.

[juyli]

Fedorassa on mielenkiintoisesti root-salasana ja asennuksessa kysytään, että ...

Linux-jakeluissa on perinteisesti ollut pääkäyttäjä eli root. Vain root-tunnuksella on voinut konfiguroida järjestelmää.
Ubuntu lienee ensimmäinen jakelu (jakelun ominaispiirre! ), joka tarjosi sudo-ohjelman laajempaan käyttöön, joten root-tunnusta ei tarvinnut edes aktivoida. Root-tunnus on toki Ubuntussakin oletuksena olemassa ja mahdollista aktivoida.
Root-käyttäjän "kotihakemisto" on /root. Ja tavan käyttäjän tietenkin /home/käyttäjä.

Debianissa root-tunnus oli aiemmin rajatumpi, jolloin pelkällä root-tunnuksella ei oletuksena voinut käyttää graafisia konffaussoftia X:ssä. Eikä X:ää root-oikeuksin pidä edes käyttää. Tähän Ubuntu kuitenkin tarjosi mahdollisuuden sudo-oikeuksineen.

Pitkään on aikanaan keskusteltu siitä, onko sudo turvallisempi, parempi vai turvattomampi vaihtoehto kuin root-tunnuksen käyttö.
Ubuntussa aktivoin root-tunnuksen versiossa 4.10, mutta tuon jälkeen olen tyytynyt Ubuntun tapaan käyttää sudoa. Fedorassa, kuten muissakin Linux-jakeluissa käytössä on nimenomaan root-tunnus, ja tavan käyttäjällä rajoitetut mahdollisuudet järjestelmätason ohjelmiin. Kaikkiin Linux-jakeluihin toki voi asentaa sudon ja hyödyntää /etc/sudoers -tiedostoa.
man sudo ehkä avaa laajemmin mahdollisuudet, jota sudo-komennolla voidaan hyödyntää.

[jekku]

....
Linux-jakeluissa on perinteisesti ollut pääkäyttäjä eli root. Vain root-tunnuksella on voinut konfiguroida järjestelmää.
...
Pitkään on aikanaan keskusteltu siitä, onko sudo turvallisempi, parempi vai turvattomampi vaihtoehto kuin root-tunnuksen käyttö.
...
man sudo ehkä avaa laajemmin mahdollisuudet, jota sudo-komennolla voidaan hyödyntää.

Olihan se aluksi melkoinen kummajainen, tämä sudo.
(Aika usein olen kuullut maininnan "sudo-pelleily")

Kuitenkin miellyin sen tarjomaan mahdollisuuteen ajaa tavallisena käyttäjänä muutamia komentoja (esimerkiksi  shutdown) ilman tarvetta paljastaa pääkäyttäjän salasanaa.

Joten jos/kun asennan tuttaville PC:n (johon pääsääntöisesti Debianin), niin ainakin safe-upgrade ja shutdown ovat sallittuja ilman sen kummempia kyselyjä.

Toki ainuassa Ubuntukoneessani on ihan normaali root.
(Ja vaimon Ubuntussa juurikin shutdown menee omalla tunnuksella, ihan riippumatta siitä onko minulla jäänyt yhteys auki...)

[kuutio]

Olihan se aluksi melkoinen kummajainen, tämä sudo.
(Aika usein olen kuullut maininnan "sudo-pelleily")

Tosin se sudo on edelleenkin n. 10 vuotta linuxia vanhempi keksintö, joten aivan uusi "kummajainen" se ei ole.

Toki *buntut oli kaiketi ensimmäinen linux-jakelu, joka otti oletuksena ainoastaan sudon käyttöön järjestelmänhallintaan, mutta applen maceissähän tämä käytäntö oli jo vuosia aikaisemmin.

[jekku]

...
Toki *buntut oli kaiketi ensimmäinen linux-jakelu, joka otti oletuksena ainoastaan sudon käyttöön järjestelmänhallintaan, mutta applen maceissähän tämä käytäntö oli jo vuosia aikaisemmin.

Ja tästä sudon esiinnostosta hatunnosto Canonicalille.

[juyli]

Ja tästä sudon esiinnostosta hatunnosto Canonicalille.

Kuten jo yllä totesin, asiasta voidaan olla eri mieltä. Sudo on toki erinomainen ohjelma, mutta ei Ubuntussakaan sudo-oikeudet koske kuin käyttäjää, jolle on määritelty (/etc/sudoers -tiedostossa) tarvittavat oikeudet.

[jekku]

Ja tästä sudon esiinnostosta hatunnosto Canonicalille.

Kuten jo yllä totesin, asiasta voidaan olla eri mieltä. Sudo on toki erinomainen ohjelma, mutta ei Ubuntussakaan sudo-oikeudet koske kuin käyttäjää, jolle on määritelty (/etc/sudoers -tiedostossa) tarvittavat oikeudet.

Ja mikään ei pakota käyttämään sudoa ellei siitä koe olevan jotain hyötyä.
Minä koen ja käytän - eläköön valinnan mahdollisuus 

[Postimies]

Itse käytän lähes aina "su -" kun haluan ajaa sovelluksia root oikeuksin. sudo:n pieni haitta on, että käyttäjän kotihakemistoon voi tallentua tiedostoja root-oikeuksin, mikä haittaa kun ko. ohjelmaa ajaa ei rootin oikeuksin. Esim. jos tekee sudo kate ja sitten kate niin ei välttämättä pääsekään muuttamaan ohjelman asetuksia ennen oikeuksien muuttamista. root-oikeuksilla ei kannata ajaa X-ohjelmia. Paketin-hallinta ja vastaavat ovat tietysti eri asia. Kirjautuminen roottina on yleensä estetty etänä. Ja usein myös sillä ajotasolla jolla X on käynnissä. merkkitilassa root-käyttäjänä pääsee sisälle. su on sallittu monissa jakeluissa, jos käyttäjä kuuluu ryhmään wheel.
Ihan kiva huomata, että shutdown alkaa olla sallittujen komentojen joukossa (eli ei vaadi root oikeuksia). Itseäni ärsyttää se että Ctrl-Alt-del yleensä sallittu, mutta ei shutdown (halt, poweroff,,).

[kuutio]

Itse käytän lähes aina "su -" kun haluan ajaa sovelluksia root oikeuksin. sudo:n pieni haitta on, että käyttäjän kotihakemistoon voi tallentua tiedostoja root-oikeuksin, mikä haittaa kun ko. ohjelmaa ajaa ei rootin oikeuksin. Esim. jos tekee sudo kate ja sitten kate niin ei välttämättä pääsekään muuttamaan ohjelman asetuksia ennen oikeuksien muuttamista.

Tämän voi välttää käyttämällä sudon kanssa jotakin optiota, joka asettaa $HOME-ympäristön kohdekäyttäjän mukaisesti, kuten vaikka "sudo -i kate" tai "sudo -H kate", tosin suositellumpaa on käyttää graafisten sovellusten kanssa sopivaa graafista wrapperia, kuten "kdesudo kate"

su on sallittu monissa jakeluissa, jos käyttäjä kuuluu ryhmään wheel.

valtaosassa linux-jakeluista su:n käyttöä ei ole rajoitettu (gnu:n su ei oletuksena vaadi käyttäjän kuulumista wheel-ryhmään)

[juyli]

valtaosassa linux-jakeluista su:n käyttöä ei ole rajoitettu (gnu:n su ei oletuksena vaadi käyttäjän kuulumista wheel-ryhmään)

Niinpä Mitään wheel-ryhmää ei tarvita, jos vain ja ainoastaan root-tunnus (ja omistaja/ryhmä/käyttäjä root) on se, jolla _kaikki_ järjestelmätason komennot ja järjestelmän määritykset suoritetaan.
Ubuntussa sudon käyttö on kait asennuksessa määritelty vain ns. pääkäyttäjälle. Oikeuksia voi tietenkin lisätä/rajoittaa/kieltää myös muille käyttäjille.
Vielä kerran: root-tunnus ja hakemisto /root on olemassa (kuten muissakin Linux-jakeluissa), mutta sitä ei tarvitse Ubuntussa aktivoida.
Ubuntu-jakelun esimerkin mukaan, myös jotkin muut jakelut ovat laajemmin tarjonneet sudo:a käytettäväksi.
Kuten yllä jo todettu, sudo on avointa ohjelmakoodia, joka on julkaistu jo aikoja ennenkuin Canonical:in Ubuntu 4.10 on julkaistu (Herran Vuonna 2004).

[Postimies]

valtaosassa linux-jakeluista su:n käyttöä ei ole rajoitettu (gnu:n su ei oletuksena vaadi käyttäjän kuulumista wheel-ryhmään)

Niinpä Mitään wheel-ryhmää ei tarvita, jos vain ja ainoastaan root-tunnus (ja omistaja/ryhmä/käyttäjä root) on se, jolla _kaikki_ järjestelmätason komennot ja järjestelmän määritykset suoritetaan.

Lukuisista jakeluista otokseni on melko pieni. Esim. Gentoossa "su"-komento ei onnistu jos käyttäjä ei kuulu wheel ryhmään. Toki aina voi kirjautua root-käyttäjänä sisälle ja tehdä mitä lystää. Harvoin on kuitenkin tarvetta kirjautua roottina-sisälle, vaan ne asennukset ym tehdään su - tai sudo komentojen avulla. Sudo ei ole kaikissa jakeluissa oletuksena asennennuna. Usein kuitenkin joku riippuvuus sen asentaa, kun on käytännöllistä antaa vaikka sudo shutdown suoritusoikeus jollekin softalle. Itselläni vdr sammuttelee yhtä konetta tuolla omia aikojaan.