Účet kořenového systému se používá pro mnohem více než jen administrativní úkoly. Mnoho částí skutečného operačního systému Linux běží pod přihlašovacími údaji root. Mnoho distribucí deaktivuje skutečný root účet pro uživatele a místo toho povoluje administrativní funkce založené na členství ve skupině wheel.
Členové skupiny Wheel uplatňují administrátorská oprávnění root s menším potenciálem poškození systému. Členové skupiny wheel mohou například použít příkaz sudo, aby se nemuseli přihlašovat jako uživatel root. V případě potřeby můžete k úpravě oprávnění skupiny kol použít příkaz visudo. Do skupiny kol můžete přidat uživatele a udělit jim oprávnění. Buďte velmi opatrní ohledně členství ve skupině kol.
Jaké otáčky poskytují skupinu kol?
Skupina koleček je součástí souboru /etc/group, který je dodáván v nastavení rpm. Zdá se, že nic v systému nepoužívá skupinu, alespoň ve výchozím nastavení, takže by mělo být bezpečné odstranit položku skupiny kola, pokud si to přejete.
Jak zakázat členům wheel-group změnit heslo uživatele root
Můžeme upravit soubor /etc/sudoers a přidat ‚!/usr/bin/passwd root‘ do části řádku s kolečkem.
1. Upravte /etc/sudoers ve visudu.
Poznámka :visudo upravuje soubor sudoers bezpečným způsobem, analogicky k vipw(8). visudo uzamkne soubor sudoers proti několika současným úpravám, poskytuje základní kontroly zdravého rozumu a kontroluje chyby při analýze. Pokud je soubor sudoers právě upravován, obdržíte zprávu, abyste to mohli zkusit znovu později.# visudo -f /etc/sudoers
Změnit z:
%wheel ALL=(ALL) ALL
Změnit na:
%wheel ALL=(ALL) ALL, !/usr/bin/passwd root
2.. Restartujte službu sshd
# systemctl restart sshd
3. SSH s uživatelem (který je přidán do skupiny kol) a pokuste se resetovat heslo uživatele root, zobrazí se níže uvedená chyba:
$ sudo passwd root Sorry, user geek is not allowed to execute '/bin/passwd root' as root on lab.system01