Ubuntu Sverige

Citatet är från en annan tråd...

Bowmore skrev:Vi har hamnat lite OT i den här tråden som handlar om Precise Alpha1 så avrundar Debian-snacket med att svara på dina senaste frågor.

Rune.K skrev:Vilket lösenord anger du när du vill köra synaptic?

Det för mitt användarkonto.

Rune.K skrev:Har du modifierat ditt Debian så att det ska likna Ubuntu vad det gäller användningen av sudo?

Det enda jag gjort är att jag lagt till min användare i gruppen sudo som jag nämnt tidigare.

EDIT
Detta är liksom en del av poängen med Debians lösning. Läs detta och återkom i en annan tråd eller via PM så kanske jag kan svara. Ha det gott

Ny är jag nyfiken på hur du använder sudo i ditt Debian 6, gör du som det står i länken du hänvisar till, att du ger olika användare olika rättigheter till administrationsprogrammen?
Eller använder du sudo som det används i Ubuntu?

Sudo is a program designed to let system administrators allow some users to execute some commands as root (or another user). The basic philosophy is to give as few privileges as possible but still allow people to get their work done. Sudo is also an effective way to log who ran which command and when.

Jag ska ta och installera Ubuntu 12.04 alpha, dels för att se om det går framåt för Unity och dels för att jämföra med Debian Sid.

Egentligen, som jag ser det, så är det inte så stor skillnad i hanteringen av administrativa rättigheter mellan Ubuntu och Debian.

I Debian har man valt att lämna ut root's lösenord och använder det med kommandot su för att administera systemet. I Ubuntu har man valt att inte lämna ut root's lösenord och utnyttjar istället funktionen (kommandot) sudo för samma sak som man då får tillgång till via gruppen admin.

I Ubuntu ser det nu ut som att man kommer att ta bort gruppen admin i 12.04 och då flytta över admins-användare till gruppen sudo. Ser dock inte riktigt vitsen med det än men det kanske klarnar senare. Begreppet admin är ju ett vedertaget begrepp inte bara i Ubuntu-världen så för den som kommer till Ubuntu så är admin mer begriptligt än sudo.

Själv så lägger jag dock alltid till mig i gruppen sudo i Ubuntu och uppdaterar sudoers så att jag slipper ange lösenord varje gång jag ska göra något administrativt vilket ju är väldigt ofta då jag i princip bara kör utvecklingsversionen av Ubuntu. I övrigt är det inte mycket pill i sudoers för min del.

Rune.K skrev:Ny är jag nyfiken på hur du använder sudo i ditt Debian 6, gör du som det står i länken du hänvisar till, att du ger olika användare olika rättigheter till administrationsprogrammen?

Nu kör jag bara Debian via VB, dels för att Ubuntu bygger på Debian, dels av ren nyfikenhet. Jag har aktiverat sudo (lagt in mig i gruppen sudo) för kompabiliteten med Ubuntu men i övrigt inget mer. I Ubuntu har jag dock testat diverse varianter av behörigheter mha ändringar i sudoers men det var ett bra tag sen. Känner inget direkt behov som privatanvändare att styra behörigheter mer i detalj för olika användare.

Rune.K skrev:Eller använder du sudo som det används i Ubuntu?

Nja, sudo är ju samma sak i Ubuntu och Debian med den skillanden att sudo inte är aktiverat per default i Debian. Menar du om jag använder sudo istf su så använder jag både och

Bowmore skrev: ...
Själv så lägger jag dock alltid till mig i gruppen sudo i Ubuntu och uppdaterar sudoers så att jag slipper ange lösenord varje gång jag ska göra något administrativt vilket ju är väldigt ofta då jag i princip bara kör utvecklingsversionen av Ubuntu. I övrigt är det inte mycket pill i sudoers för min del.
...

Fungerar det även med terminalkommandon som behöver rooträttigheter?

Bowmore skrev: ...
Känner inget direkt behov som privatanvändare att styra behörigheter mer i detalj för olika användare.
...

Det är bra om vi håller oss till att diskutera sudo sett ur en privatanvändares perspektiv, det underlättar betydligt.

Det normala i Ubuntu är att root inte har något lösenord. Istället är det den användare som skapas vid installationen som automatiskt tilldelas rättigheter att köra program som behöver rooträttigheter, man behöver bara ange sitt eget lösenord vid de tilfällena.
Nackdelen eller fördelen med att inte ha något lösenord på rootkontot, det är att man automatiskt blir root om man startar datorn i felsäkert läge. Det är ju bra om man har glömt bort sitt eget lösenord i Ubuntu...
Själv sätter jag alltid ett lösenord på rootkontot i X/L/K/Ubuntu.

I Debian är det obligatoriskt med att root har ett lösenord. Använder man samma lösenord på rootkontot som på sitt eget konto, så lär du inte märka någon skillnad när du startar grafiska program som behöver rooträttigheter, jämfört med Ubuntu.
Du märker det bara i terminalen, beroende på att sudo inte fungerar (om du inte ändrar originalkonfigurationen förstås). Man använder su för att bli root eller su -c om man enbart vill köra ett enda kommando med rooträttigheter.
Alltså, vill du köra enstaka kommandon så skriver du su -c istället för sudo i Debian.

Gruppen admin existerar nog bara i Ubuntu, jag kan inte hitta den gruppen i Debian.
I Debian motsvaras antagligen den gruppen av gruppen sudo.
Jag tycker det är bra att Ubuntu tar bort gruppen admin som har förvillat mej mer än en gång, det finns nämligen en grupp som heter adm.
Som jag förstår så anger gruppen admin att man får sudorättigheter och då bör den förstås heta sudo även i Ubuntu.

En fråga, jag lyckas aldrig komma ihåg var man ställer in tiden för hur länge sudo kan användas utan att behöva ange lösenordet på nytt?

Rune.K skrev:Fungerar det även med terminalkommandon som behöver rooträttigheter?

Japp, men det ska gå att förbjuda i sudoers (tty_tickets?) om man känner för det.

Rune.K skrev:Nackdelen eller fördelen med att inte ha något lösenord på rootkontot, det är att man automatiskt blir root om man startar datorn i felsäkert läge. Det är ju bra om man har glömt bort sitt eget lösenord i Ubuntu...
Själv sätter jag alltid ett lösenord på rootkontot i X/L/K/Ubuntu.

Jo, det finns för- och nackdelar med båda varianterna.

Rune.K skrev:Jag tycker det är bra att Ubuntu tar bort gruppen admin som har förvillat mej mer än en gång, det finns nämligen en grupp som heter adm.

Vet som sagt inte om jag håller med här, åtminstone inte än
När det gäller gruppen adm så används den som en mapp/fil-råttighet för bl.a loggfiler under t.ex /var/log.

Rune.K skrev:En fråga, jag lyckas aldrig komma ihåg var man ställer in tiden för hur länge sudo kan användas utan att behöva ange lösenordet på nytt?

Det gör du mha kommandot visudo, dvs ändrar i sudoers.

Du har normalt en rad:

Defaults env_reset

Om du ändrar den raden till:

Defaults env_reset,timestamp_timeout=5

så ger den fem (5) minuters fördröjning innan du behöver ange lösenord på nytt. Sätter man timestamp_timeout=-1 så behöver man bara ange lösenord en gång per session.

visudo ska jag lägga på minnet, tack för den upplysningen!

Kul att diskutera skillnaderna mellan Ubuntu och Debian i lugn och ro.
Jag har fått rejäla mothugg tidigare, när jag har sagt att alltid sätter lösenord på rootkontot i Ubuntu.

openSuse kör en egen variant med roots lösenord.
Det blir automatiskt det samma som den första användaren anger, vid installationen.
Fedora och Arch har samma upplägg som Debian, om jag inte minns fel.

Rune.K skrev:Kul att diskutera skillnaderna mellan Ubuntu och Debian i lugn och ro.

Skönt så länge det varar

Rune.K skrev:Jag har fått rejäla mothugg tidigare, när jag har sagt att alltid sätter lösenord på rootkontot i Ubuntu.

Det beror ju också på hur man lägger fram det.

Att logga in och köra som root är inget jag rekommenderar. Däremot finns det en poäng med att säkra ingången i recovery mode, men knappast för normalanvändaren.

Att som i Debian kräva användaren på ett lösenord för root är för mig helt främmande. Jag minns en diskussion med MarkS där jag föreslog att ett användarspecifikt datornamn under installationen kunde ske i ett sk Advanced mode i Ubiquity. Han nobbade det och menade att det inte behövdes. Senare accepterade han att det behövdes och det blev en del av installationen där ett unikt datornamn genererades som normalnvändaren sen kunde ändra, dock inte i ett Advanced mode utan som en del i den normala installationen! Själv anser jag fortfarande att ändringen borde ske i Advanced mode.

Att introducera ett root-lösen, som i Debian, för normalanvändaren under installationen finns dock inte på min karta och jag är övertygad om att MarkS och Canonical aldrig skulle acceptera det. Så frågan är då hur man ska täppa till sneakingången via recovery framöver. Så som du kanske inser så är jag alltså inte för Debians mfl sätt att introducera root's lösenord för normalanvändaren.

Bowmore skrev:Att logga in och köra som root är inget jag rekommenderar.

Att logga in som root i terminalen är en självklarhet för min del.
Säkerhetsmässigt är det ingen som helst skillnad, jämfört med att skriva sudo framför varje kommando.
sudo ger inget skydd i sej själv, skriver du ett helgalet kommando som root eller med sudo framför, så utförs det helgalna kommandot i vilket fall som.
Tänker du på eventuella virus, så lär det inte vara svårt för viruset att läsa av ditt lösenord när du använder sudo. Därefter är det fritt fram för viruset...

Bowmore skrev:Däremot finns det en poäng med att säkra ingången i recovery mode, men knappast för normalanvändaren.

Att datorn är vidöppen via felsäkert läge, kommer med all säkerhet att ändras i framtiden.
Enda anledningen till att det är så i Ubuntu, är med all sannolikhet att de ville ha samma nivå på "användarvänligheten" som i WinXP Home.

Bowmore skrev:Att som i Debian kräva användaren på ett lösenord för root är för mig helt främmande.

Betraktar man Ubuntu som en nybörjardist och en dist för massorna så håller jag fullständigt med dej.
openSUSE har en elegant lösning, där sätts lösenordet för root automatiskt vid installationen. Det blir då samma lösenord som användaren anger för sitt eget konto vid installationen.

Tycka vad man vill om root och sudo men förändringarnas tid är inte förbi. Sudo, gksu och gksudo kan skapa mycket problem framför allt om det används av mindre erfarna användare, användare som Ubuntu riktar sig till i sitt mål på 200 miljoner användare om några år.

I bakgrunden pågår arbete att förändra. Gnome arbetar bl.a på att koppla gksu/gksudo till PolicyKit:

gksu is a library and application used to ask the user for passwords to run programs as root. It is not a good option now that we have PolicyKit. Still, we still have applications which are not written to take advantage of the PolicyKit framework, and since making applications use it usually involves structural changes, a new version of gksu will provide functionality similar to the one provided by the current gksu to cover applications which still haven't been patched to use PolicyKit. The new gksu will use PolicyKit as backend, instead of su and sudo.

Källa: http://live.gnome.org/gksu

Nu är jag inte speciellt insatt i PolicyKit och vad man kan åstadkomma med det verktyget mer än att styra vilka program som får kommunicera med andra program. Ser det mer som ett starkare skydd mot virus etc, plus ett enkare sätt för en admin att få administrativa rättigheter hos en inloggad användare som inte har det. Vidare så kan man begränsa antalet program som kan köras vilket iofs även går att göra i sudoers. Idag används pkexec istället för gksu/gksudo för vissa program, t.ex Synaptic.

Sen, lite OT då tråden ju handlar om sudo som backend, så bör man även komma till skott och tillåta ofarliga program att öppnas utan lösenord som t.ex epost-program. Här bör man istället ge användaren valet att konfigurera om lösenord ska krävas eller inte.

Bowmore skrev: ...
I bakgrunden pågår arbete att förändra. Gnome arbetar bl.a på att koppla gksu/gksudo till PolicyKit:

gksu is a library and application used to ask the user for passwords to run programs as root. It is not a good option now that we have PolicyKit. Still, we still have applications which are not written to take advantage of the PolicyKit framework, and since making applications use it usually involves structural changes, a new version of gksu will provide functionality similar to the one provided by the current gksu to cover applications which still haven't been patched to use PolicyKit. The new gksu will use PolicyKit as backend, instead of su and sudo.

Källa: http://live.gnome.org/gksu
...

Längst ner på den sidan står det så här:

Open questions

sudo provides a nice way of allowing the user to run a subset of commands as root, today; should the new gksu try to provide something like that?

Fritt översatt, inte för att du behöver översättningen...

sudo är ett trevligt sätt att tillåta användaren att köra några eller flera kommandon med rooträttigheter...
Det stämmer ju inte alls med hur sudo används i Ubuntu.
I Ubuntu tillåts admin-användaren att köra alla kommandon med rooträttigheter, eller hur?

Rune.K skrev:I Ubuntu tillåts admin-användaren att köra alla kommandon med rooträttigheter, eller hur?

Ja, sudo tillhandahåller även sådan funktionalitet:

http://sudo.ws skrev:Sudo (su "do") allows a system administrator to delegate authority to give certain users (or groups of users) the ability to run some (or all) commands as root or another user while providing an audit trail of the commands and their arguments.

Rune.K skrev:I Ubuntu tillåts admin-användaren att köra alla kommandon med rooträttigheter, eller hur?

Det stämmer, Ubuntu utnyttjar inte den möjligheten i sudoers idag. Inte heller Debian och frågan är om något/några Linuxsystem gör det idag.

I sudoers står det som default:

%sudo ALL=(ALL) ALL

vilket betyder tillåtet på alla värdsystem, för alla användare inlagda i gruppen sudo och tillgång till alla kommandon.

På frågan:

should the new gksu try to provide something like that?

är svaret självklart JA även för PolicyKit som backend!

Sen för att kunna införa begränsningar för normalanvändaren så krävs betydligt fler verktyg för att hantera och konfigurera systemet.

Nu när jag såg ditt nick, Konservburk, i samband med sudo. Då rasslade det till i långtidsminnet. Vi har ju redan haft en diskussion om sudo i Ubuntu för mer än 3 år sedan.
Se > http://ubuntu-se.org/phpBB3/viewtopic.php?f=17&t=30796
Osprey's syn på saken är intressant, se > http://ubuntu-se.org/phpBB3/viewtopic.p ... 31#p239031

Det har nog inte hänt så mycket i Ubuntu angående sudo sedan dess...
Vad som är bäst med Ubuntu är att det är ett fritt operativsystem, som man kan använda och konfigurera efter eget huvud.

Bowmore skrev:

Rune.K skrev:I Ubuntu tillåts admin-användaren att köra alla kommandon med rooträttigheter, eller hur?

Det stämmer, Ubuntu utnyttjar inte den möjligheten i sudoers idag. Inte heller Debian och frågan är om något/några Linuxsystem gör det idag.

Hur har de egentligen löst det att man inte behöver ange sitt lösen vid uppdatering av systemet i en utgåva av Ubuntu?
Jag tror att det är så i Ubuntu 11.04 eller 11.10
Kubuntu hade den varianten tidigare i en enda utgåva, jag tror det var i Kubuntu 10.10.

Det bör väl vara med hjälp av sudoers, gissar jag.

Nix, inte i sudoers utan i policykit för Oneiric (11.10) om jag minns rätt.
Ska se om jag hittar det.

EDIT:
Det var i paketet policykit-desktop-privileges, version 0.6

policykit-desktop-privileges (0.6) oneiric; urgency=low

* Allow local admins to update already installed software without password.
* Update passwordless time zone configuration to GNOME 3.

-- Martin Pitt <martin.pitt@ubuntu.com> Thu, 30 Jun 2011 16:43:39 +0100

Källa: /usr/share/doc/policykit-desktop-privileges/changelog.gz

Policykit är kanske något man borde utforska, så att man iallafall har lite hum om hur det fungerar.
Jag har för mej att Policykit kommer från Debian och att det bör hänga med i Ubuntu flera år framöver...

Rune.K skrev:Policykit är kanske något man borde utforska, så att man iallafall har lite hum om hur det fungerar.

Jo, det är nog en bra idé om man har behov av att förändra användares rättigheter.

Det finns säkert en uppsjö av guider/howtos ute på nätet om detta.
Här en manual: PolicyKit Reference Manual och den här delen om pklocalauthority år en bra start.

Rune.K skrev:Jag har för mej att Policykit kommer från Debian och att det bör hänga med i Ubuntu flera år framöver...

Utvecklades hos RedHat (som vanligt) och implementerades först i Fedora och OpenSuse. Sen om det först kom i Ubuntu eller Debian är inte så intressant men antagligen ett samarbete mellan de två.

Ajdå, PolicyKit är på väg att avvecklas i KDE.
Se > http://techbase.kde.org/Development/Tut ... troduction
och > http://techbase.kde.org/Development/Tut ... uth_Basics
Så mitt intresse för PolicyKit svalnade.

Rune.K skrev:Ajdå, PolicyKit är på väg att avvecklas i KDE.

Både ja och nej
Om man med PolicyKit menar den gamla versionen av PolicyKit så är det riktigt.

Den version som Ubuntu kör med är PolicyKit One, aka polkit, polkit-1, och är den KDE uppgraderar till. Vidare så har man ersatt API från DBus till QT där KAuth är en wrapper samt gjort sig av (mer eller mindre) med resp Gnome-libbar. Syntaxen i .pkla filerna verkar också ha förändrats (antagligen pga GUI-biten) men kan man PolKits syntax så förstår man även KDEs dito.

Källa bl.a: https://fedoraproject.org/wiki/Features ... cyKitOneQt

Vore intressant att se en bild på arkitekturen liknande den för Gnome:
http://hal.freedesktop.org/docs/polkit/polkit.8.html