Как создать дополнительного root пользователя?

[Sly_tom_cat]

Пользователи мне нужны, т.к. мне нужно создавать пользователей для доступа по ftp.
Если я правильно понимаю, то все пользователи, всегда находятся в группе с их именем, не зависимо ни от чего.
Получается нужно запретить как-то этих двух пользователей.
Если все верно, то как?

Ничего запрещать не надо.
Нужно не создавать пользователей с именами стандартных групп.
И права лишние - никому давать не нужно если не доверяете.

И все-таки как настраивается файл sudoers, мне так и осталось неясным. Может быть где-то есть подробная инфа? Я к сожалению не нашел

man sudoers
Google < sudoers

[ksik]

А так сделать можно

Код: [Выделить]

%root ALL=(ALL) ALL
Тогда все права однозначно будут только у root, а пользователей можно добавить в группу root, чтобы дать им права на sudo

Не ясно только, что есть

Код: [Выделить]

%sudo ALL=(ALL:ALL) ALL

[Sly_tom_cat]

Не надо никому группу рут давать, оставьте вы уже наконц рута в покое.

Все что вам нужно сделать (исходя из того что вы описали) создать пользователя типа ivan, добавить ему временно дополнительную группу admin. + настроить ssh.
 

[victor00000]

ksik,

(Нажмите, чтобы показать/скрыть)

потом - "ААААААААААААААААААААА ПООООНЯЛЛЛЛЛ!!!!!"

[ksik]

Ну в данном случае я уже дал полный доступ, раз через sudo в любом случае можно выполнить команду от имени root.
А так более детально хотелось разобраться. man sudoers к сожалению у меня на английском, и на официальном сайте тоже. А то, что я нашел, либо описано очень кратко, либо очень много, и мне было тяжело понять.

Меня сильно смущает, что при отсутствии пользователя навроде admin и sudo, их можно создать (например через скрипт) и выполнять root команды от их имени. И мне не очень ясно зачем они нужны, мне кажется что вполне достаточно одной группы, которая позволяет выполнять sudo, и раз уже это можно root, почему бы не дать такие права только на группу root.
Пользователь решил продолжить мысль 30 Марта 2013, 00:03:04:Получается сейчас у меня 3 группы, которые могут выполнять команды от имени root
admin, sudo и root
Зачем мне две лишние группы?

[victor00000]

Получается сейчас у меня 3 группы, которые могут выполнять команды от имени root
admin, sudo и root
Зачем мне две лишние группы?

(Нажмите, чтобы показать/скрыть)

будет Гейтс Билл сделать новые версия Ubuntu.

[ksik]

Ну так зачем все-таки 3? Какая в них польза? Я, к сожалению, не знаю всех возможных настроек в привилегиях пользователей, но скажем если есть пользователь, у которого есть права на создание других пользователей, или, что более вероятно, программа, которая их создает, то получается, стоит создать пользователя sudo или admin, даже без дополнительных прав, то у него автоматически появляются права root, пусть даже и через команду sudo (не вижу особой разницы). По-моему это брешь?

[maks05]

Извините, ksik, но брешь у вас в голове, а с Ubuntu (и с Linux вообще) всё в порядке.
Я сам не специалист, но ваша логика меня удивляет. Даже я, не будучи специалистом и не скурив всех мануалов, разобрался больше. А в чём не разобрался - принял на веру и просто этим пользуюсь, так как мне посоветовали знающие люди.

Если по делу, то вы путаете группы пользователей и группы системы. Нет, понятно, что всё это в системе и её же используется, но взаимосвязь разная. Вы пытаетесь идти от групп системы (sudo, root, admin)  и т.д, пытаясь применить их к людям. А надо наоборот, идти от людей и им давать право пользоваться этими системными группами.

Например, вы создаёте дополнительного пользователя ivan, он ни разу не админ (и тем более не root) и поэтому не может пользоваться sudo. Теперь включаете пользователя ivan в группы adm и admin. В результате получаете второго администратора, который сможет использовать sudo под своим собственным паролем (отличным от пароля первого администратора). Почему? Потому что группа admin сама включена в группу sudo. Поняли взаимосвязь?

Казалось бы - у группы (учётки) ivan полный доступ. Ан нет. Ведь сначала надо ввести в Терминале sudo, потом команду (которую надо ещё знать), а потом свой пароль, идентифицировав этим (в том числе и в логах) личность "админа" влезшего в данный момент в систему. И это гораздо круче упомянутого вами вопроса от Windows, где любой ламер тупо нажимает "Оk" и устанавливает всё что угодно.

Ещё раз, группы sudo, adm и т.д. - это некие "наборы прав" на использование тех или иных возможностей системы. А группы с именами пользователей - это учётки пользователй, которым даётся возможность использовать систему тем или иным образом. И вот это самое "тем или иным" и определяется набором системных групп в которые включены учётные записи пользователй (по-моему, можно и наоборот - от перестановки слогаемых сумма не меняется).

В результате права пользователей можно варьировать очень тонко, например, Пользователю 1 разрешить лазить в Интернет, но запретить печатать на принтере, а Пользователю 2 - наоброт - разрешить принтер и запретить Интернет. При этом Пользователь 2, которому разрешена печать на принтере, не сможет распечать (и вообще открыть) некий файл "Текст", так как это файл, принадлежит Пользователю 1. А Пользователь 1, не сможет распечать файл "Текст", потому как не имеет доступа к принтеру, но может этот файл отправить по электронной почте. И за всеми ними следит Админ, входящий во все группы, в том числе и в группу adm, в свою очередь, входящую в группу root.
А над всем этим существет некий виртуальный Суперпользователь (ака Матрица), он же root, которого фиг свалишь, так как у него даже пароля нет.

А вот если всех пользователей сделать root, то тогда никому никакого sudo и паролей уже не понадобиться. И именно тогда любые скрипты создадут кого угодно, получат любые права и т.д. и т.п. В общем, хана тогда системе.

Это всё была логика. По набору и систаксису команд смотрите в интернете - я там даже на вскидку нашёл много чего. Сам пока разбираться не стал, так как нет такой необходимости. И надеюсь, что особо и не будет, ведь с правами - "чем проще-тем лучше".

P.S. Если я что напутал, пусть специалисты меня поправят.

[ksik]

Если сравнивать новые Windows и люникс, то на мой взгляд разница только в том, что в Windows надо нажимать да или нет, а в люникс (Ubuntu), вводить пароль. Ни то ни другое сложности не составляет. Но в Windows это сделано удобнее. Кроме прочего в 7 версии, да и в 8 думаю, можно вполне разделять на группы. И раздавать разные права пользователям. Я правда не пользовался данной возможностью, поэтому деталей не знаю, но насколько понимаю именно с 7 версии. Юзер уже не любой. Только в систему достаточно войти 1 раз. В целом аналогия команды su. И если подумать, то даже у суперпользователя (ну или возможно админа, имеющего права разрешать или запрещать запуск программ) там спрашивают разрешения на запуск той или иной программы. Поэтому и запустить, что-то ненароком не получится, т.к. сначала система спросит разрешения на запуск программы от имени root.

А основной вопрос был в целом о том, зачем нужны 3 группы пользователей, имеющие права root, пусть даже и через sudo? С тем же успехом я думаю, можно и 10 групп сделать и дать им доступ к sudo.

Я говорю в данном случае не о пользователях, которые не имеют прав на sudo, а о пользователях, которые как раз их имеют. Например, на хостингах можно самому выбирать имя пользователя и пароль к ftp и если не ошибаюсь и к ssh. Получается к примеру, установил я какой-нибудь веб-админ или плеск. Дал доступ пользователю. А тот создал себе пользователя admin или sudo, которого нет, и удалил к примеру все файлы из папки etc. Т.к. через sudo он имеет права root.

Кроме прочего всех пользователей сделать root нельзя. И нельзя сделать даже двух одинаковых пользователей. Другое дело, что имея несколько групп пользователей получается можно создать пользователя, чье имя совпадает с группой, которой доступно sudo.


Пользователь решил продолжить мысль 30 Марта 2013, 07:17:37:Тем более sudo насколько я знаю ввели достаточно недавно. И если скажем я установлю какой-нибудь веб-интерфейс, навроде плеска, в котором эта sudo не предусмотрена, и дам к ней доступ человеку. То он создаст пользователя sudo, и от имени root возьмет к примеру поменяет id root, или потрет файлы папки etc

[maks05]

1) Учётки в Windows со своими правами и паролями существуют ещё с XP, как минимум. А может быть и раньше. В разных версиях Windows может запрашиваться или пароль, или простой клик мышкой по "OK". Но пароль ещё знать нужно (умный админ его никому не скажет). А жмакнуть мышкой на кнопку на экране - 0,5 секунды - много ума не надо. Так что разница есть.
Справедливости ради имееются ввиду "домашние версии" Windows, а не "серверные" - там-то с разграничением прав всё в порядке.

А так, само включение Windows (по-умолчанию с админской учёткой и без пароля) уже само по себе является аналогом su.

2) Root в Linux-системах, наколько знаю, был всегда, задолго до появления Ubuntu. Только не всегда так жестко блокировался. В Ubuntu, как в одной из самых популярных систем, такая блокировка играет роль "защиты от дурака".

3) На остальное даже отвечать не хочется. Пусть в дебрях вашей логики разбирается кто-то другой. А по сути вопроса вам давно уже всё объяснили.

[ksik]

В XP насколько помню все пользователи админ. И либо есть доступ куда-то, либо его нет. В седьмой версии уже идет конкретное деление на группы и пользователей с правами.
Само включение windows насколько я понимаю аналогом su как таковым не является. Т.е. если я правильно понял, то после su, никаких подтверждений не запрашивается для запуска программы от имени root. А вот Windows сама просить разрешение, только не в виде пароля, а в виде нажатия на кнопку. Но учитывая, что в Ubuntu я работал через консоль, а в Windows через графическую оболочку, то тут может быть не совсем так.

Чтобы войти в систему пароль уже нужно знать. А права root через sudo даются пользователю находящемуся в соответствующей группе. Т.ч. если у человека есть доступ, то он может делать все что захочет от имени root. Другое дело, что не исключено, что его может кто-то получить, создав пользователя admin или sudo, и попадет в эту группу автоматически.

А на вопрос зачем 3 группы с правами sudo вместо одного, мне и вовсе никто не ответил.

[thunderamur]

ksik,

создав пользователя admin или sudo, и попадет в эту группу автоматически.

попробуй это сделать

[ksik]

Группа sudo существует, поэтому пользователь не создался.
Группа admin отсутствует, поэтому пользователь создался.
Можно сказать, что sudo создать ни у кого не получится.
А вот  admin вполне. Я создаю пользователя admin, которого нет и группы admin у меня нет, и получаю пользователя с правами sudo.

Конечно, можно создать еще и группу admin, или удалить ее из sudoers.
Но тем не менее по умолчанию есть права у группы админ, а сама группа как таковая отсутствует. Т.ч. вероятность создать пользователя с правами sudo, что равносильно root, путем создания пользователя admin все-таки есть.

[maks05]

В XP насколько помню все пользователи админ. И либо есть доступ куда-то, либо его нет. В седьмой версии уже идет конкретное деление на группы и пользователей с правами.
Само включение windows насколько я понимаю аналогом su как таковым не является. Т.е. если я правильно понял, то после su, никаких подтверждений не запрашивается для запуска программы от имени root. А вот Windows сама просить разрешение, только не в виде пароля, а в виде нажатия на кнопку. Но учитывая, что в Ubuntu я работал через консоль, а в Windows через графическую оболочку, то тут может быть не совсем так.

Чтобы войти в систему пароль уже нужно знать. А права root через sudo даются пользователю находящемуся в соответствующей группе. Т.ч. если у человека есть доступ, то он может делать все что захочет от имени root. Другое дело, что не исключено, что его может кто-то получить, создав пользователя admin или sudo, и попадет в эту группу автоматически.

А на вопрос зачем 3 группы с правами sudo вместо одного, мне и вовсе никто не ответил.

1) В XP не все, а только первая. Дальше создаются другие. При их создании указывается, будет ли новый пользователь админом или "обычным". При попытке установить программу от обычного пользователя, даётся сообщение, что это сделать невозможно, и нужно представиться другим пользователем (админом). Будет ли справшивать админский пароль - уже не помню, но если будет - то хорошо. Ибо "кнопочка" - не защита: её и трёхлетний ребёнок нажать сможет. И при входе в Windows под первой (по-умолчанию, админской) учёткой сейчас при установке программ запрашивается только нажатие кнопочки. Это единственная разница (а по сути - не разница) между умолчальным включением Windows и специальным включением su в Linux.

2) Что бы войти в систему (Ubuntu) пароль знать не обязательно, через GUI, по крайней мере. Но не возможно никуда попасть автоматически, создав пользователя admin или даже root - ведь это всего лишь имена учёток, которые по-умолчанию, несмотря н асвои грозные названия, в соотвествующие группы не входят, и для системы являются всего лишь "обычными пользователями". Для того что бы новый пользователь Admin попал в группу admin, нужно, что бы пользователь Любое Имя, уже находящийся в группе admin, его туда добавил, введя при этом свой пароль. Более того, насколько помню (давненько не создавал пользователей в Ubuntu) даже создать "обычного пользователя", пусть даже с именем Admin, может только реальный admin, уже существующий. Вывод: никто ничего просто так создать не может и ни в какие супер-группы вступить тоже не может.

3) Вам всё уже объяснили, я в том числе.



Пользователь решил продолжить мысль 30 Марта 2013, 20:34:00:

Группа sudo существует, поэтому пользователь не создался.
Группа admin отсутствует, поэтому пользователь создался.
Можно сказать, что sudo создать ни у кого не получится.
А вот  admin вполне. Я создаю пользователя admin, которого нет и группы admin у меня нет, и получаю пользователя с правами sudo.

Конечно, можно создать еще и группу admin, или удалить ее из sudoers.
Но тем не менее по умолчанию есть права у группы админ, а сама группа как таковая отсутствует. Т.ч. вероятность создать пользователя с правами sudo, что равносильно root, путем создания пользователя admin все-таки есть.

1) Группа sudo существует просто потому, что существует. Это часть системы.
2) Группа admin существует просто потому, что существует. Это часть системы.
3) Создавать sudo не надо, потому что оно уже существет (см. п.1).
4) Ничего вы не получаете. Создавая пользователя c именем Admin при установке системы вы получаете права группы admin (которая существует всегда). Создавая пользователя с именем Admin в качестве второго пользователя вы по умолчанияю создаёте "обычного пользователя", не являющегося admin-ом.
5) Ещё раз, группа admin существует, см. п.2. Удалять не нужно - плучите неработоспособность системы.
6) Вероятность создания не просто есть, она 100%-ая, ибо так и задумывалось, при условии что "admin" -  не имя пользователя, а группа, куда включен пользователь с любым именем. Однако, создание пользователя с правами sudo (точнее с правами группы admin, у которой есть право использовать sudo)  не равносильно созданию пользователя с правами root (точнее разблокировке существующего root). Ещё раз привожу пример с Чернобольской АЭС: работать и управлять станцией можно и под присмотром автоматики и защитных систем. Отключение защитных систем приводит к ядерному взрыву.

Пользователь решил продолжить мысль 30 Марта 2013, 20:34:51:ksik, если так дальше пойдёт, я пожалуюсь на вас модераторам за троллинг.

[ksik]

Мы с Вами честно говоря дискутируем по большей части о разных вещах. Я говорю о ВПС, а в об использовании системы в домашних условиях. Да в Windows трехлетних ребенок может нажать на yes, и запустить программу. Иначе бы мне пришлось бы часами сидеть возле племянника, переключая его между играми, т.к. самостоятельно он ввести пароль не сможет. Если бы у меня стояла Ubuntu, то он бы к компьютеру и не подошел. Не исключаю, что можно настроить и по паролю и новые Windows.

В данном случае я веду речь о управлениями пользователями посредством различных программ, наподобие плеска. Там Существует возможность многоуровневого распределения прав и ресурсов. К примеру я админ, могу выделить часть ресурсов другому пользователю, для создания своей сетки сайтов, который также может создавать пользователей в пределах своей рабочей области. Но как я уже сказал, факт того, что в Ubuntu существуют права у несуществующего пользователя, говорит о том, что есть возможность создать пользователя без прав, и он будет наделен root правами на основании своего имени. Что уже брешь.

Да и повторюсь, я не вижу причин на создание 3 групп пользователей с правами root. И зачем и почему их три мне так никто и не объяснил? Чем один не устроил?