Vraag Hoe werken de sudoers?


Tijdens een installatie, zoals gebruikelijk, maken we ons hoofdgebruikersaccount aan, en dan kunnen we er sudo-opdrachten mee doen zonder probleem. Nu, toen ik een ander account maakte en ik sudo wilde doen, gaf het me de fout dat het account niet in het sudoers-bestand staat. In dat bestand ontdekte ik dat gebruikers in% admin en% sudo-groepen root-rechten kunnen krijgen. Maar mijn hoofdaccount bevindt zich niet in geen van deze groepen en ik kan er sudo mee doen zonder probleem, maar met het andere account kan ik dat niet. Is er iets anders dan sudoers waarover ik zou moeten weten? Bedankt


1
2017-09-29 06:56


oorsprong




antwoorden:


De admin- en sudoergroepen moeten de gebruiker de toegang geven die nodig is. U moet de gebruiker uitloggen en weer aanmelden om de wijzigingen door te voeren. Bekijk deze antwoorden voor een aantal behoorlijk goede instructies:

Hoe kan ik een beheerder gebruiken vanaf de opdrachtregel?


1
2017-09-29 07:14



Nee, ik was al ingelogd en inch Lees mijn vraag zorgvuldig. Ik vraag hoe het systeem één gebruiker administratieve permissies geeft, ook al is hij niet in de sudoers, noch in de groep die sudoers is - dac


Om de algemene vraag te beantwoorden, gebruiken sommige programma's mechanismen die polkit gebruiken om naar rootprivileges te zoeken in plaats van de /etc/sudoers nadering. (Gparted bijvoorbeeld, zoals ik me herinner). De sudo commando gebruikt /etc/sudo en/etc/sudoers.d/* dus zorg ervoor dat je elk bestand controleert. LDAP kan trouwens worden gebruikt om informatie te vinden.

Mijn systeem is 12.04 en mijn sudo-geschikte accounts staan ​​in de sudo groep. Mijn relevante polkit-bestanden zijn /etc/polkit-1/localauthority.conf.d/50-localauthority.conf en /etc/polkit-1/localauthority.conf.d/51-ubuntu-admin.conf. De jouwe kan anders zijn.


Ik neem aan dat je je realiseert dat als het sudoers-bestand zegt %sudo dat betekent dat de gebruiker in de sudo groep. Ik neem aan, maar weet niet, dat een blijvende referentie mogelijk blijft bestaan ​​na een beleidswijziging (of groepsverandering). Ik zou echter denken dat je zou weten of dit was gebeurd.

Om verder te gaan, stel ik voor dat je de inhoud van de /etc/sudoers en de bestanden in /etc/sudoers.d/ en onder de boom /etc/polkit-1/ en vertel ons aan welke groepen de twee gebruikers-ID's zijn toegevoegd. Ik geloof niet dat er wachtwoorden of hashes zijn in de bestanden die ik noem.


1
2017-10-10 04:12



Om pedant te zijn, geeft polkit geen root-rechten, maar bevestigt het of een gebruiker bevoegd is om een ​​actie uit te voeren. Een systeem D-Bus-service moet al over rootprivileges beschikken. - Flimm
@Flimm, ik heb bewerkt om deze sectie opnieuw te formuleren. Bedankt voor de opmerking. - John S Gruber
Nou, ik heb de broncode bekeken voor gparted-pkexecen ontdekt pkexec, wat werkt als sudo, maar gebruikt PolicyKit om te controleren of de gebruiker heeft org.freedesktop.policykit.exec autorisatie of een specifieke autorisatie voor dat specifieke binaire bestand. Daarom mag PolicyKit geen rootprivileges uitgeven, maar pkexec doet! Ik heb vandaag iets geleerd! - Flimm