Apa perbedaan antara grup 'sudo' dan 'admin'?

69

Saya perhatikan bahwa dua grup diberikan izin yang tampak serupa di /etc/sudoers:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Akun pengguna saya dengan hak istimewa "Administer the system" ada di admingrup, dan sepertinya tidak ada pengguna di sudogrup. Untuk apa kedua kelompok ini?

permissions sudo ændrük
sumber

Jawaban:

55

Ubuntu 12,04 LTS dan yang lebih baru

Administrator ditambahkan ke sudogrup, tetapi admingrup didukung untuk kompatibilitas mundur. Dari catatan rilis :

Hingga Ubuntu 11.10, akses administrator menggunakan alat sudo diberikan melalui admingrup Unix. Di Ubuntu 12.04, akses administrator akan diberikan melalui sudogrup. Ini membuat Ubuntu lebih konsisten dengan implementasi hulu dan Debian. Untuk tujuan kompatibilitas, admingrup akan terus memberikan akses sudo / administrator dalam 12,04.

Itu tidak dibuat ketika Anda melakukan instalasi baru, meskipun masih ada jika Anda memutakhirkan dari distribusi sebelumnya. Either way, admingrup muncul di /etc/sudoersfile.

Lihat detail implementasi dan dokumentasi resmi .

jordicm
sumber
Keren. Terima kasih! Bisakah Anda menambahkan penjelasan tentang perbedaan antara ALL=(ALL)dan ALL=(ALL:ALL)?
wedi
Sudahlah, lihat saja jawaban dalam jawaban Aleksandr di bawah ...
wedi
21

Ubuntu 11.10 dan sebelumnya

Secara default, sudogrup ini tidak digunakan di Ubuntu :

  • pengguna yang dibuat selama instalasi milik admingrup, bukan sudo;
  • tidak ada panduan atau petunjuk pernah saya baca saran untuk menggunakan sudokelompok;
  • tidak ada yang merasa perlu menggunakan sudogrup, karena admingrup dapat melakukan semua yang dibutuhkan.

Sebaliknya, pada Debian grup yang diaktifkan /etc/sudoersadalah sudogrup, dan tidak ada admingrup. Tetapi pengguna yang dibuat selama instalasi tidak dimasukkan ke dalam grup itu, karena Debian memiliki rootakun yang diaktifkan. Anda harus melakukannya secara eksplisit, jika Anda mau.

Juga, Fedora mirip dengan Debian , setelah rootdiaktifkan dan tidak ada hak default untuk pengguna buat saat instalasi. Tetapi grup administratif yang dikonfigurasikan /etc/sudoersadalah grup yang lebih tradisional wheel.

Sebagai kesimpulan, saya pikir tidak ada gunanya sudogrup di Ubuntu , hanya itu adalah warisan Debian .

enzotib
sumber
Di sistem Ubuntu saya, tidak ada pengguna yang menjadi anggota sudo: grep '^sudo:' /etc/group(baru diinstal). Tidak yakin tentang Debian, saya baru saja menambahkan nama saya sendiri ke /etc/sudoersfile.
Lekensteyn
1
@Lekensteyn: seperti yang saya katakan, di Debian Anda harus secara eksplisit menambahkan pengguna ke sudogrup untuk mendapatkan hak administratif :, su -c "gpasswd -a $USER sudo"tidak perlu dimodifikasi /etc/sudoers. Atau Anda dapat berdiri dengan cara Debian menggunakan langsung rootakun.
enzotib
16

Tidak ada perbedaan keamanan.

Keduanya memiliki 100% akses tidak terbatas ke apa pun yang disediakan oleh OS.

Perbedaan / etc / sudoers adalah (ALL)vs (ALL:ALL). Yang pertama berarti Anda dapat menjalankan perintah sebagai pengguna mana pun . Yang kedua - Anda dapat menjalankan perintah sebagai pengguna dan grup apa pun .

Cara yang ditunjukkan pada / etc / sudoers kedua grup Anda perlu memasukkan kata sandi mereka sendiri untuk menjalankan perintah sebagai root.

Keduanya dapat memiliki shell root seperti ini:

sudo su
Aleksandr Levchuk
sumber
9
Apa yang tidak bisa saya lakukan tanpa bit "as any group"?
tudor
Jika suatu program secara khusus diizinkan untuk dieksekusi hanya oleh grup tertentu, maka pengguna dengan (ALL), yang bukan milik grup itu tidak dapat menjalankan perintah itu. Sama seperti di sini , pengguna yang ada di grup admindan bukan di webusergrup, tidak dapat mengeksekusi firefox.
Stam Kaly