Как создать дополнительного root пользователя?

[maks05]

Если вы профи и всё у вас работает, то не вижу вообще причин для вопросов. Хотя, как вам уже сказали другие профи, в Вашем случае полезней ssh со стандартными правами Ubuntu.

Игры в Windows обычно только устанавливаются от имени админа, а играть в них можно в любой учётке (особено если игры пиратские). В Ubuntu тоже самое - играть можно из любой учётки, а вот устанавливать игры (и то не все), только по админсому паролю. Остальные без пароля, но то игры из оф. репозитория и систему они не затрагивают (иначе бы система запросила пароль). Разница в том, что игры не пиратские, а легально-бесплатные.

Вот здесь:

Но как я уже сказал, факт того, что в Ubuntu существуют права у несуществующего пользователя, говорит о том, что есть возможность создать пользователя без прав, и он будет наделен root правами на основании своего имени. Что уже брешь.

- принцпиальнейшая ошибка.
Да, возможность есть, но "без прав" означает именно "без прав", то есть прав у него нет (!), почти никаких (!) и уж тем более (!) root-прав. Единственное, на что у него есть права (я имею ввиду второго пользователя) так это на то, что-бы играться с настройками своего рабочего стола и запускать файлы из своей (!) домашней папки. И именно поэтому - это не брешь, а защита.

Нет трёх пользователей с правами root! Есть один root со всеми правами. И тот заблокирован!
Всё, я сделал всё что мог. Не понятно - обратитесь лично к Марку и Линусу.

[ksik]

Создаю двух пользователей ivan и admin

Код: [Выделить]

adduser ivan
adduser admin
Захожу в качестве пользователя admin и ввожу

Код: [Выделить]

sudo nano /etc/group
Редактирую файл и сохраняю результат

Захожу под именем пользователя ivan и ввожу

Код: [Выделить]

sudo nano /etc/group
получаю

Код: [Выделить]

ivan is not in the sudoers file.  This incident will be reported.
открываю файл sudoers и добавляю

Код: [Выделить]

%ivan ALL=(ALL) ALL
и ввожу

Код: [Выделить]

sudo nano /etc/group
Редактирую файл и сохраняю результат.


Пользователь решил продолжить мысль 30 Марта 2013, 22:27:38:И Вы можете хоть 100 раз одно и то же написать, но это противоречит реальности.
Пользователь решил продолжить мысль 30 Марта 2013, 22:29:59:И 3 пользователя с правами root есть, даже если они и выполняются через команду sudo
Это пользователи root, admin и sudo

[maks05]

Вот всё бы хорошо, но опущено, когда чьи пароли вы вводили. А это принципально важно. Да и не "автоматом" это всё. Это вы сделали, как человек, учётка которого уже обладает админским правами, да ещё несколько раз вводили команды и пароли. А потом самолично взломали себе систему. Извините, но это уже ССЗБ.

И повторю в 101 раз: root, admin и sudo - это не пользователи, это системные группы, в которые объеденены некие правила доступа к системе. И которые вы присвоили своим пользователям. Вы же именно это только что и проделали!

[ksik]

Пароли я вводил пользовательские.

Я сделал для пользователя admin пароль admin
А для пользователя ivan пароль ivan

У меня ни один из пользователей не находится как таковой в какой-либо группе. Как и было подсказано выше, да и из примеров очевидно, что пользователь изначально и всегда находится в той группе, которая совпадает с его именем, даже если это группа не указана явно.

root, admin и sudo - это системные группы, которым доступны привилегии админ. Это можно перетирать долго, но факт в том, что любой пользователь входящий в эту в группу, и самое главное имеющее имя совпадающее с названием группы получает привилегии root. У меня нет пользователя админ изначально, зато изначально есть группа admin которой доступны root привилегии. И как я уже сказал, если с какой либо программы создать пользователя admin, он автоматически получит привилегии root.

О чем в общем-то и речь, я устанавливаю программу навроде плеска, даю доступ какому-нибудь пользователю, с ограниченными правами, а он создает пользователя admin и оказывается в группе admin и получает права root.

[maks05]

Ура! Заработало! (с) Простоквашино.

Ну хоть в чём-то вы со мной согласились. Соглашусь и я с вами, если вы сможете из под "обычного пользователя" (с ограниченными правами) создать другого пользователя с правами админа.

Сам, еслим честно, пробовать для проверки не буду, так как уменя система на десктопе настроена, а эксперементировать мне уже надоело. Впрочем, на нетбуке у меня два пользователя, один из которых с администраторскими правами, а другой  - "обычныЙ". Так вот, если обычный пытается что либо сделать, то пароль система запрашивает админский, в том числе и на попытку "обычного" поднять самого себя в правах.
В общем, вам надо -  сами и эксперементируйте. Я же буду придерживаться общих правил и не буду лишний раз править конфиги, а то потом систему легче переставить, чем изменения обратно пошагово откатить.

[ksik]

Вы наверное удивитесь, но в целом я этого ни разу не отрицал ничего из того, что изложил в предыдущем сообщении.

Больше всего я пытаюсь выяснить (не поспорить, а именно выяснить), зачем 3 группы пользователей которым доступны привилегии root, тк. вполне достаточно одной. Тем более не исключено, что одна из них, при определенных обстоятельствах, способна вызвать брешь.
Пользователь решил продолжить мысль 31 Марта 2013, 02:39:31:А самое интересное, что я не могу взять и запретить пользователю admin находиться в группе admin. Из чего следует, что эта группа вообще не нужна, т.к. не дает мне адекватно распоряжаться правами данного пользователя. Более того, она вполне может быть заменена на другую группу, например root. При таком раскладе если я захочу лишить админа его прав, то могу спокойно это сделать, а если захочу кому-то дань админские привилегии, то просто могу добавить его в группу root.
Пользователь решил продолжить мысль 31 Марта 2013, 02:57:11:А проще говоря, я хочу запретить пользователю admin (не группе admin) использовать sudo. Как мне это сделать?

[gva230]

Но как я уже сказал, факт того, что в Ubuntu существуют права у несуществующего пользователя, говорит о том, что есть возможность создать пользователя без прав, и он будет наделен root правами на основании своего имени. Что уже брешь.

Создавать пользователей может только root или пользователь с правами root. Если вы сами нехотя создаёте такого пользователя, то это не брешь в системе, а ССЗБ. :) Если у пользователя есть права root, то он может всё, а не только создать пользователя. Не давайте права root кому-попало. Если без них не обойтись, то посредством файла /etc/sudoers укажите на что именно вы даёте права root, а на что - не даёте.

Да и повторюсь, я не вижу причин на создание 3 групп пользователей с правами root. И зачем и почему их три мне так никто и не объяснил? Чем один не устроил?

root один, группы root, admin и sudo системные, оставьте их в покое.

О чем в общем-то и речь, я устанавливаю программу навроде плеска, даю доступ какому-нибудь пользователю, с ограниченными правами, а он создает пользователя admin и оказывается в группе admin и получает права root.

А он не может создать пользователя, потому что не имеет прав root.

Я не знаю, что такое "программа плеск", но если в ней можно создавать каких-то пользователей, то скорее всего они имеют отношение к "программе плеск", а не к операционной системе. Какие у них при этом будут имена не имеет значения. А если в ней можно создавать системных пользователей, то это будет возможно только если сама программа запущена с правами root, что может сделать только пользователь обладающий правами root.

Создаю двух пользователей ivan и admin

Код: [Выделить]

adduser ivan
adduser admin
Захожу в качестве пользователя admin и ввожу

Код: [Выделить]

sudo nano /etc/group
Редактирую файл и сохраняю результат

Захожу под именем пользователя ivan и ввожу

Код: [Выделить]

sudo nano /etc/group
получаю

Код: [Выделить]

ivan is not in the sudoers file.  This incident will be reported.
открываю файл sudoers и добавляю

Код: [Выделить]

%ivan ALL=(ALL) ALL
и ввожу

Код: [Выделить]

sudo nano /etc/group
Редактирую файл и сохраняю результат.

И Вы можете хоть 100 раз одно и то же написать, но это противоречит реальности.

Здесь вы, будучи пользователем с правами root - root, создали другого пользователя с правами root - admin и обычного пользователя - ivan. Далее, вы вошли в систему под учёткой admin, которая обладает правами root, и выполнили команду от имени root посредством sudo. После, вы вошли в систему под учёткой ivan, которая не обладает правами root, и, закономерно, не смогли выполнить команду от имени root посредством sudo. Далее, вы снова вошли в систему под учётной записью, имеющей права root, о чём забыли(?) упомянуть, и отредактировали файл /etc/sudoers, добавив учётной записи ivan права root. Затем вы выполнили команду от имени root посредством sudo, которая, закономерно, выполнилась, поскольку вы находились в учётной записи с правами root.

Да, вы повысили права пользователю ivan. Но вы сделали это из учётной записи с правами root. Собственно root или admin, а может и какой другой. Из какой точно учётки вы это сделали, вы не указали.

И, таки, да, представленный вами текст противоречит реальности, но лишь только потому, что не соответствует ей.

[ksik]

Программа плеск навроде вебадмин. Она предназначена для администратирования сервера. В целом да, она запускается с правами root. С ней можно переустановить систему отчасти, сервер и тд.

Вообще данный вопрос возник после того, как я создал пользователя admin, а он несмотря ни на что продолжает обладать привилегиями root через судо. Хотя он мне уже не нужен.
Не хочу я чтобы админ от имени root, что-то делал. Не нужны мне несколько пользователей обладающие правами root.

Мой текст не противоречит реальности, и я ничего упоминуть не забыл. Я объяснял то, что у меня пользователь admin есть, и я его ни в какую группу не ставил. И сравнил его с таким же пользователем ivan, которого я тоже ни в какую группу не ставил. И на основании чего, они обладают теми или иными правами. И все это я пытаюсь объяснить в каждом своем сообщении.

[gva230]

Вообще данный вопрос возник после того, как я создал пользователя admin, а он несмотря ни на что продолжает обладать привилегиями root через судо. Хотя он мне уже не нужен.
Не хочу я чтобы админ от имени root, что-то делал. Не нужны мне несколько пользователей обладающие правами root.

Удалите этого пользователя.

[ksik]

Да пользователя я удалил. Я и права для группы admin удалил, т.к. нет у меня даже группы такой нет.

Только вопрос был в другом, что если пользователь мне нужен, а права я ему хочу ограничить

[gva230]

Я и права для группы admin удалил, т.к. нет у меня даже группы такой нет.

Дело в том, что если система сделала эту запись, то она для чего-то нужна. Или была нужна... Что ж, будем надеяться, что ничего страшного от этого не произойдёт.

[ksik]

Когда я устанавливаю php, Mysql, или apache я вижу кучу записей, которые делаются изначально. Для настройки под свои нужны некоторые из них я удаляю и меняю. Тк. знаю, для чего они предназначены.

[victor00000]

Когда я устанавливаю php, Mysql, или apache я вижу кучу записей

вот, тут спрашивал роот.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@victor0000:~#
root@victor0000:~# touch /1.txt
root@victor0000:~# ls -l /1.txt
-rw-r--r-- 1 root root 0 2013-03-31 07:05 /1.txt
root@victor0000:~# useradd ivan -d /ivan -s /bin/bash
root@victor0000:~# mkdir /ivan
root@victor0000:~# ls -ld /ivan
drwxr-xr-x 2 root root 4096 2013-03-31 07:06 /ivan
root@victor0000:~# su ivan
ivan@victor0000:/root$ cd
ivan@victor0000:~$ touch ~/1.txt
touch: невозможно выполнить touch для «/ivan/1.txt»: Отказано в доступе
ivan@victor0000:~$ exit
exit
root@victor0000:~# chown ivan:ivan -R /ivan/
root@victor0000:~# su ivan
ivan@victor0000:/root$ cd
ivan@victor0000:~$ touch ~/1.txt
ivan@victor0000:~$ ls -l ~/1.txt
-rw-r--r-- 1 ivan ivan 0 2013-03-31 07:08 /ivan/1.txt
ivan@victor0000:~$ rm ~/1.txt
ivan@victor0000:~$ ls -l ~/1.txt
ls: невозможно получить доступ к /ivan/1.txt: Нет такого файла или каталога
ivan@victor0000:~$ rm /1.txt
rm: удалить защищенный от записи пустой обычный файл «/1.txt»?
ivan@victor0000:~$ rm /1.txt
rm: удалить защищенный от записи пустой обычный файл «/1.txt»?
ivan@victor0000:~$ sudo rm /1.txt
[sudo] password for ivan:
Sorry, try again.
[sudo] password for ivan:
Sorry, try again.
[sudo] password for ivan:
Password:
sudo: 2 incorrect password attempts
ivan@victor0000:~$ exit
exit
root@victor0000:~# passwd ivan
Введите новый пароль UNIX:
Повторите ввод нового пароля UNIX:
passwd: пароль успешно обновлён
root@victor0000:~# su ivan
ivan@victor0000:/root$ cd
ivan@victor0000:~$ sudo rm /1.txt
[sudo] password for ivan:
ivan is not in the sudoers file.  This incident will be reported.
ivan@victor0000:~$ exit
exit
root@victor0000:~# usermod -G admin,ivan ivan
root@victor0000:~# su ivan
To run a command as administrator (user "root"), use "sudo <command>".
See "man sudo_root" for details.

ivan@victor0000:/root$ cd
ivan@victor0000:~$ sudo rm /1.txt
[sudo] password for ivan:
ivan@victor0000:~$ exit
exit
root@victor0000:~# ls -l /1.txt
ls: невозможно получить доступ к /1.txt: Нет такого файла или каталога
root@victor0000:~# O_o
O_o: команда не найдена
root@victor0000:~# userdel ivan -r
root@victor0000:~# su ivan
Неизвестный id: ivan
root@victor0000:~# -_-
-_-: команда не найдена
root@victor0000:~#


[ksik]

victor00000,
У Вас inan я так пониманию не в группе с правами ALL.
С правами обычных пользователей, а также их распределение с учетом группы, мне понятно. Другое дело как ни крути, а ivan в группе ivan, и admin в группе admin.

Просто я сделал пользователя admin, а лишить его прав на выполнение команды через sudo не могу. Не могу я его убрать из группы admin, тк. у него имя admin. Не достаточно гибко получается. При этом можно сделать более гибко, если просто поставить пользователя admin в группу root, к примеру. Тогда захотел сегодня, сделал админа админом, а завтра обычным пользователем.

+ есть возможность создать этого пользователя каким-либо другим пользователем, со всеми вытекающими обстоятельствами.

[victor00000]

одно роот всех, ненужно пользователь, как обычно windows <-- ROOT.