Investigué un poco y para permitir que el usuario use el comando sudo, debes agregarlo al grupo "sudoers". Esto les otorga privilegios de root siempre que ingresen la contraseña de root. Pero también me he encontrado con ejemplos de personas que agregan al usuario al grupo "raíz" en lugar del grupo "sudoers". Mi pregunta es, ¿hay diferentes privilegios otorgados entre los dos grupos? De ser así, ¿cuáles son y cuáles son los beneficios de ambas técnicas?
Estoy usando un servidor Debian Linux.
Gracias
Respuesta1
El 'grupo raíz' como lo que especificaría en /etc/group se trata de permisos de Unix. Cada archivo tiene permisos de usuario, grupo y "otros". Si un archivo está configurado de manera que los usuarios de la raíz del grupo puedan leerlo, entonces puede otorgarle a un usuario la capacidad de leer ese archivo colocándolo en la raíz del grupo. Por supuesto, entonces ese usuario puede leer.cadaarchivo que tiene el bit de lectura configurado para la raíz del grupo.
El archivo sudoers trata de ejecutar comandos con la identificación efectiva de otros usuarios. Tiene un control más granular sobre qué comandos puede ejecutar cada usuario y ante quién. Entonces, si desea que un usuario solo pueda ejecutar un comando específico como root, debe configurarlo en el archivo sudoers.
Respuesta2
Aunque la pregunta menciona "servidor Debian Linux", actualmente está etiquetado tanto con Debian como con Ubuntu. Dado que la información sobre múltiples sistemas operativos parece ser de cierto interés, ignoraré por completo las referencias a sistemas operativos específicos y solo describiré los estándares más extendidos.
Los grupos se enumeran en /etc/group y frecuentemente hay un grupo llamado "raíz". Este archivo enumera los nombres de los grupos y sus correspondientes valores numéricos de "ID de grupo" ("GID").
Cualquiera en un grupo llamado "root" tendrá la capacidad de leer, escribir o ejecutar archivos que tengan un "propietario de grupo" configurado con el mismo "ID de grupo" ("GID") que el grupo llamado root. Entonces, si un archivo es propiedad de "bin:root" y tiene permisos de "rwxrwx---", entonces un usuario en el grupo "root" podrá ejecutar el archivo debido al conjunto intermedio de permisos.
Por el contrario, el estándar establecido por el software "sudo" se basa en la configuración almacenada en el archivo /etc/sudoers. En el archivo /etc/sudoers, los nombres de grupos de estilo Unix se muestran después de los signos de porcentaje, como se explica enPágina de manual de sudoers (en formato HTML): sección sobre el formato de archivo "sudoers". Entonces, una referencia a %sudoers en el archivo /etc/sudoers se refiere a un grupo llamado "sudoers" que está en el archivo /etc/groups.
El archivo /etc/sudoers predeterminado no contiene una referencia a un grupo llamado "sudoers". Tenga en cuenta que me refiero al archivo /etc/sudoers predeterminado real, que puede ver viendorepositorio sudo, haciendo clic en "examinar" en el marco izquierdo, luego en "ejemplos" y luego en "sudoers".
Sin embargo, muchos sistemas operativos tienen un archivo /etc/sudoers personalizado instalado de forma predeterminada. Por lo tanto, es muy posible que su sistema operativo tenga soporte especial para un grupo llamado sudoers. Para comprender el impacto exacto, consulte el archivo /etc/sudoers.
Presumiblemente, lo más probable es que si su sistema operativo tiene un grupo llamado sudoers, entonces una persona en ese grupo podrá elevar los permisos usando el comando sudo. (La forma recomendada de confirmar esto implicaría verificar el archivo /etc/sudoers).
Cuando una persona eleva sus privilegios, es posible que deba escribir una autenticación aceptable (una contraseña) o que no sea necesario. Incluso si lo hacen, después de ser autenticados, pueden tener un "token" durante algún período de tiempo, lo que les permitirá elevarse nuevamente sin necesidad de autenticarse nuevamente (hasta que finalice ese período de tiempo). Este período de tiempo es de 5 minutos a menos que /etc/sudoers especifique algo diferente usando una opción llamada "tiempo de espera".
Por el contrario, una persona del grupo "raíz" no necesitaría escribir una contraseña para acceder a un archivo que pertenece al grupo "raíz".
Tenga en cuenta que el grupo "sudoers" puede ser preferencial. Al elevarse, una persona puede obtener acceso completo de superusuario. (Esto es típico. El archivo /etc/sudoers puede permitir a una persona cambiar a un usuario diferente, o elevar, pero con restricciones sobre qué comando se ejecuta inicialmente. Por lo general, con configuraciones predeterminadas/simples, una persona que eleva simplemente se llena elevación.) Cuando se autentica como superusuario completo, un usuario generalmente no está sujeto a permisos que se basan en las propiedades típicas del sistema de archivos Unix (la configuración de "propietario" y "propietario del grupo"). El usuario aún puede estar sujeto a otras limitaciones basadas en permisos, como permisos impuestos por la forma en que se montó una partición (que es la razón por la cual el software no permite que un usuario escriba en un CD-ROM de sólo lectura), o y otras razones por las que un archivo podría no proporcionar permisos (como si un archivo está bloqueado, lo que indica que ya está en uso). Si un archivo es propiedad de:
raíz: raíz
y tiene permisos de:
rwx------
Entonces, un usuario no obtiene permisos para el archivo solo porque está en un grupo llamado "raíz". Por tanto, el grupo "raíz" puede resultar más cómodo (no se necesitan contraseñas), aunque puede ser más limitado. (O bien, un grupo en /etc/sudoers puede ser más limitado, según cómo esté configurado /etc/sudoers).
Respuesta3
En primer lugar, rootel usuario es el primer usuario del sudoersgrupo, justo después de instalar ubuntu en la máquina. En segundo lugar, rooty un superusuario (por ejemplo, Michael) tienen el mismo user id( UID) de 0, que es el ID de los superusuarios. Tienen los mismos privilegios. En tercer lugar, la única diferencia es que el usuario super usertiene que escribir sudoel comando antes de cualquier comando que necesite privilegios especiales, pero rootel usuario no tiene que hacerlo. Se diferencian sólo por su nombre y se reconocen específicamente.