magist3r 31.03.2011 10:20
Есть вопрос! — Хотеть настройки пользователей Ubuntu как в OpenSUSE!
Сабж. Ставлю в школе бубунту. В целом ничего дистрибутивчик, думал будет хуже. Пока не полезь в глубь. Итак, к сути.Так как за компами будут сидеть школьники, логично создать одного пользователя типа student и задать пароль рута, и как бы все. Хрен там. Во-первых по дефолту для sudo используется пароль самого пользователя. Ладно, не вопрос, правим /etc/sudoers по аналогии с openSUSE, задаем пароль рута, проверяем - работает. Довольный и счастливый, я полез в менеджер обновлений, вбил там пароль рута - опять таки хрен там. Ему опять нужен пароль юзера! Посему вопрос - доколе как сделать, чтобы для паовышения привилегий убунта спрашивала именно пароль рута и ничего больше?
PS. Чувствую, что придется создавать два пользователя типа admin и student. Какой-то виндовс-вэй, ей-богу.
UPD для минусяторов. Ситуация: на 10 машинах стоит свежеиспеченная бубунта с дефолтными настройками.
Задача: отобрать права у первого пользователя.
Решение: задать пароль руту, поправить /etc/sudoers, настройки policykit НА КАЖДОЙ МАШИНЕ. Воистину, "очень просто". И это самый дружелюбный к пользователю дистрибутив, ну-ну.
Похожие
Поделиться
magist3r
Порезать как? Если через гуевую конфигурялку, так она мне говорит мол нельзя у единственного пользователя административные права отбирать. Ну а gksu да, посмотреть надо.
lampslave
Удалить из групп админ и т.п.
Кстати. Если gksu работает через sudo (у меня в убунте это так, проверяется в gksu-properties), возможно, что-то Вы неправильно настроили или забыли перелогиниться. Я сейчас через visudo добавил к Defaults правило rootpw - сработало. Судо спрашивает пароль рута, менеджер обновлений, прежде чем пустить в свои настройки (через gksu) тоже спросил пароль рута.
Кстати. Если gksu работает через sudo (у меня в убунте это так, проверяется в gksu-properties), возможно, что-то Вы неправильно настроили или забыли перелогиниться. Я сейчас через visudo добавил к Defaults правило rootpw - сработало. Судо спрашивает пароль рута, менеджер обновлений, прежде чем пустить в свои настройки (через gksu) тоже спросил пароль рута.
Вика знает ;)
https://wiki.archlinux.org/index.php/Sudo#Root_password
https://wiki.archlinux.org/index.php/Sudo#Root_password
А вы не смотрели на вопрос с той стороны, что "виндовс-вэй" - более правильный путь?
Очевидно, самые нефанатичные яростно заминусовали без объяснения причин.
Uzix
f_evgeny
По моему на Ubuntu сделать это не просто, а очень просто, если я правильно помню.
При установке первый пользователь привелигерованный, который может переключаться на рута, остальные пользователи - нет
Таким образом можно сделать, если не заморачиваться дввумя путями:
1) Сделать двух пользователей, один может становиться админом, второй нет.
2) Сделать трех польователей, первые два как в пункте 1), еде одного (root), дав руту пароль.
sudo su
passwd
3) Ну и можно классический путь, сначала сделать 2), потом привелигированного польователя удалить, будет польователь и рут.
По-моему так.
При установке первый пользователь привелигерованный, который может переключаться на рута, остальные пользователи - нет
Таким образом можно сделать, если не заморачиваться дввумя путями:
1) Сделать двух пользователей, один может становиться админом, второй нет.
2) Сделать трех польователей, первые два как в пункте 1), еде одного (root), дав руту пароль.
sudo su
passwd
3) Ну и можно классический путь, сначала сделать 2), потом привелигированного польователя удалить, будет польователь и рут.
По-моему так.
И это по-Вашему очень просто? В моем понимании очень просто, это так:
1) При установке создаем пользователя и задаем ему пароль, такой же пароль назначается руту.
2) После установки делаем sudo passwd root. Задаем пароль рута. Этот пароль теперь используется для sudo.
3) ???
4) PROFIT!
Я честно не понимаю, зачем давать первому пользователю права рута, а самого рута отключать? Это создает дополнительный гемор при настройке, когда нужно создать одного обычного пользователя и оставить рута.
1) При установке создаем пользователя и задаем ему пароль, такой же пароль назначается руту.
2) После установки делаем sudo passwd root. Задаем пароль рута. Этот пароль теперь используется для sudo.
3) ???
4) PROFIT!
Я честно не понимаю, зачем давать первому пользователю права рута, а самого рута отключать? Это создает дополнительный гемор при настройке, когда нужно создать одного обычного пользователя и оставить рута.
Первому пользователю не даются права рута. Ему дается право переключиться на права рута, когда надо.
Это сделано для пользователей, которые являются единственным пользователем, на одном компе или первый пользователь компа является одновременно администратором. Позволяет работать под рядовым пользователем (не запортить лишнего), в случае нужды быстро переключиться на логин администратора.
Кроме этого, отсутствие логина с известным заранее именем, усиливает безопасность.
Не вижу никаких проблем с этим. Тем более лично для меня например это как раз более привычная модель, т.к. часто приходится работать через SSH, а в нормальных системах, вход по SSH с именем пользователя root запрещен.
Это сделано для пользователей, которые являются единственным пользователем, на одном компе или первый пользователь компа является одновременно администратором. Позволяет работать под рядовым пользователем (не запортить лишнего), в случае нужды быстро переключиться на логин администратора.
Кроме этого, отсутствие логина с известным заранее именем, усиливает безопасность.
Не вижу никаких проблем с этим. Тем более лично для меня например это как раз более привычная модель, т.к. часто приходится работать через SSH, а в нормальных системах, вход по SSH с именем пользователя root запрещен.
Вы вообще читаете что я пишу? Почему нельзя задать руту такой же пароль как и первому пользователю? Зачем его отключать-то?
cblp
для sudo используется пароль самого пользователя
Налицо недопонимание основ безопасности в Linux. В Убунту пользователь по умолчанию является админом (входит в группу admin), и поэтому может использовать sudo.
Исключив его из этой группы (не забыв задать пароль root), вы только уменьшите общую виндузявость системы.
Не только задать пароль рута, но и поправить настройки судо и полисикит. Иначе прощай судо, здравствуй recovery mode. Вообще мне эта ситуация весьма напоминает венду, где от пользователя запрятаны настройки все куда подальше.
Подскажите, кто знает, в каких дистрах по дефолту рут выключен. В черный список внесу, дабы не дай бог не поставить)
root не выключен. Нельзя залогиниться с таким именем, а переключится на него можно:
sudo su
sudo su
Я имел ввиду такие дистрибутивы, в которых по дефолту нельзя одной командой сделать так, чтобы первый и единственный пользователь без знания пароля рута (но зная свой пароль, естественно) не мог натворить дел в системе. В сабжевой бубунте для этого приходится городить чертовы костыли.
Опять непонятно, что требуется.
Единственный пользователь без возможности переключиться на root, значит машину нельзя будет администрировать. Или ты root не считаешь за пользователя?
Единственный пользователь без возможности переключиться на root, значит машину нельзя будет администрировать. Или ты root не считаешь за пользователя?
Anrock
Забавная рекурсия получается: чтобы стать рутом, надо заходить из под рута.
h31
Начнем с того, что Update-manager и куча других программ используют не sudo, а PolicyKit. Соответственно, нужно копаться уже в нем.
В файлике /etc/polkit-1/localauthority.conf.d/51-ubuntu-admin.conf указано, что все, кто входит в группу admin, могут выполнять программы от рута, если захотят (AdminIdentities=unix-group:admin). Так что тут два пути. Первый: вынести имяюзера из группы admin, как уже выше говорили. Второе: указать что-нибудь типа AdminIdentities=unix-user:root.
В файлике /etc/polkit-1/localauthority.conf.d/51-ubuntu-admin.conf указано, что все, кто входит в группу admin, могут выполнять программы от рута, если захотят (AdminIdentities=unix-group:admin). Так что тут два пути. Первый: вынести имяюзера из группы admin, как уже выше говорили. Второе: указать что-нибудь типа AdminIdentities=unix-user:root.
А просто порезать студенту все права и включить рута?
Менеджер обновлений, я так понимаю, через gksu работает? Значит его тоже настраивать надо.