Root

[AGOnic]

Имеется вопрос...
У Rosa R4 входить в root каталог , как пользователь возможно?
То есть нажав Ctrl+Alt+Backspace,
или ..завершить сеанс.. выбираем либо root либо пользователя.
У меня почему то возможности выбрать root нет, только пользователь -
пробовал настройками ..играть.., не получилось .
Возможно это сделать или это норма у Rosa R4 ?
Может ли это зависеть от сборки (в данном случае 7292)?

[tverskoy]

Видно ты иксы под рутом еще не запускал, ну удачи тебе, надеюсь флешка с Rosa у тебя не далеко лежит
Пы.Сы. Просто установи Krusader

[keleg]

проще всего в konsole запустить mc

[slavyanix]

парень походу пропустил 5 лет))) под рутом войти в сеанс X нельзя уже очень давно и не только в Росе. это тенденция времени. чтоб никто не работалт в системе от рута. безопасность знаешь ли от дураков и прочее.)) нужен рут kdesu и в путь. кстати можно и конкуэрор запустить от рута.

[AGOnic]

tverskoy
не, не лежит, не освоил, я с iso пока.
Krusader не понравился, разбираться надо.

slavyanix
Удивительная самоуверенность...
Не знаю, чего там парень ..пропустил..,
но в других линях это делается и без проблем.

[ДроноваЮ]

но в других линях это делается и без проблем.

ну это вовсе не говорит об отсталости РОСЫ. Вы озвучьте, зачем вообще юзеру что-то делать в /root. Просто позырить?

[AGOnic]

Речь не об отсталости или продвинутости..
(кстати, ядро не самое продвинутое )

Не знаю, что там и кто ..зырит..
Просто проще и быстрее, что то ..менять.. от root.

[DELTA-79]

Не знаю, что там и кто ..зырит..
Просто проще и быстрее, что то ..менять.. от root.

Отнюдь. Не советую все подряд в системе делать из под root. Менят, конечно, можно все, только вернуть обратно будет очень сложно...

[AGOnic]

Спасибо за совет. Всё подряд и делать то нечего.
А если и нужно что то, то поменять юзера на root проще и быстрее.

Жаль только, что по существу вопроса - ответа нет.
Только ..продвинутость..

Да будет всем известно, что последняя Rosa Fresh R4 Gnome -
..имеет.. вход от root.

[Yamah]

Чего менять-то?
Настройки практически все в GUI делаются. Для этого нужно просто запустить программу настройки и ввести пароль рута.
Те, настройки, которых нет в GUI прекрасно делаются из ближайшего терминала через su/sudo (кому как удобнее).
Если нужно запустить файловый менеджер от рута, даже перезагружаться не надо:

Код: Выделить всё

su - -c dolphin

Лично я от рута только с консоли захожу, когда домашний каталог не примонтирован.
Все остальное только через sudo или su -.

Еще раз, что такого нужно настраивать непосредственно из-под рута?

[AGOnic]

su - -c dolphin
Это понятно, но сложнее, вводить надо. Случайно не то окно закроешь.
Проще Ctrl+Alt+Backspace - root - сделал что надо, вернулся

[Yamah]

su - -c dolphin
Это понятно, но сложнее, вводить надо.

Ага. А выгружаться, выбирать юзера, вводить пароль, загружать DE несложнее, зато намного дольше.

Кто мешает иконку один раз сделать нужную?
Есть даже специальная опция: "загружать от имени другого пользователя".

Еще раз, что такого нужно настраивать непосредственно из-под рута?
Или, как вы сами сказали:

Жаль только, что по существу вопроса - ответа нет.
Только ..продвинутость..

???

Да будет всем известно, что последняя Rosa Fresh R4 Gnome -
..имеет.. вход от root.

GDM ну ни разу не KDM.

Жаль прошли те времена, когда запускаешь иксы от рута, а DE тебе противно красную обоину с бомбочками и такой же противный контраст вырвеглазного оформления, изменения которого не сохранялись.

[AGOnic]

GDM или KDM - это сугубо личный выбор ..

У Rosa Gnome с оформлением всё ОК.
http://forum.rosalab.ru/viewtopic.php?f ... 094#p30379

Вот только с расширениями очень бедно..

[DELTA-79]

в консоли от пользователя

Код: Выделить всё

kdesu dolphin

и после пароля войдете в папку root (если вам так сильно нужно туда войти в GUI)

[AGOnic]

По сути - это одно и то же (su -, sudo).
Всё равно - вводить.
Спасибо.

[DELTA-79]

или же, если не в консоли, нажмите Alt+F2 а дальше тоже самое

[AGOnic]

Alt+F2 - вызывает строку поиска.

[DELTA-79]

Alt+F2 - вызывает строку поиска.

А вы сами тот "поиск" пробовали? там открывается виджет выполнения программы

[keleg]

Там даже считать можно. Все время пользуюсь.

[Yamah]

GDM или KDM - это сугубо личный выбор ..

Вопрос не про выбор DM. Вопрос в его функционале.

По сути - это одно и то же (su -, sudo).
Всё равно - вводить.
Спасибо.

А в DM, разве пароль не нужно вводить?

Если так лень вводить пароль, настройте программу на запуск от рута без ввода пароля.

Лично у меня складывается впечатление, что идет просто троллинг.

[AGOnic]

Цитата...
Лично у меня складывается впечатление, что идет просто троллинг.[/quote]

По существу вопроса-темы - простого ответа нет.
Остальное, многа-многа букаф, действительно похоже на троллинг..

[Pulfer]

Имеется вопрос... У Rosa R4 входить в root каталог , как пользователь возможно?
То есть нажав Ctrl+Alt+Backspace,
или ..завершить сеанс.. выбираем либо root либо пользователя.
У меня почему то возможности выбрать root нет, только пользователь -
пробовал настройками ..играть.., не получилось .
Возможно это сделать или это норма у Rosa R4 ?

Это не баг, конечно, а фича. Если действительно есть желание разблокировать вход в иксовую сессию под рутом, то можно попробовать снять соответствующую галочку в настройках KDM ("Настройки рабочего стола" -> "Вход в систему") (см. скриншот).

[AGOnic]

Спасибо Pulfer.
Но я там конечно был, прежде чем спросить..
Там не оказалось почему то root.
Во вкладке ..исключённые пользователи.. есть root

[keleg]

интересно... у меня root есть. Но не работает.

[Pulfer]

Спасибо Pulfer.
Но я там конечно был, прежде чем спросить..
Там не оказалось почему то root.

А если вручную отредактировать конфиг /var/lib/mandriva/kde4-profiles/Default/share/config/kdm/kdmrc ?

Убедиться, что там есть

Код: Выделить всё

[X-*-Core]
...
AllowRootLogin=true

и нет (если есть, то убрать root и оставить nobody)

Код: Выделить всё

[X-*-Greeter]
...
HiddenUsers=nobody,root

[AGOnic]

Хм.
Может просто удалить тему ?

[keleg]

Это не баг, конечно, а фича. Если действительно есть желание разблокировать вход в иксовую сессию под рутом, то можно попробовать снять соответствующую галочку в настройках KDM ("Настройки рабочего стола" -> "Вход в систему") (см. скриншот).

А еще придется в /usr/share/config/kdm/kdmrc
установить

Код: Выделить всё

AllowRootLogin=true

И все заработает. Только что проверил.

[AGOnic]

keleg
Да, отлично, Спасибо.

[ДроноваЮ]

Может просто удалить тему ?

Зачем. Наверняка ещё кто-нибудь найдётся с подобными специфическими запросами. Тема же тоже далеко не нова, сколько себя помню, любители позапущать иксы из-под рута всегда были и будут, я думаю. Дикие линуксоиды-с.

[slavyanix]

не я раньше в мандриве бывало баловался рутом в иксах. давно это было правда.)) но сейчас не тянет. чем меньше рута в работе тем лучше.

[AGOnic]

Может просто удалить тему ?

Зачем. Наверняка ещё кто-нибудь найдётся с подобными специфическими запросами. Тема же тоже далеко не нова, сколько себя помню, любители позапущать иксы из-под рута всегда были и будут, я думаю. Дикие линуксоиды-с.

Не понимаю, о чём и о ком вы..
Я лично - вообще далеко НЕ линуксоид.!!
Мне просто так удобнее..

[Yamah]

По существу вопроса-темы - простого ответа нет.

1. Вы так и не ответили, зачем нужен вам вход от рута.
2. Вам я предложил несколько более простых способов как вообще не переключаться, а запускать нужные программы под рут.

Мне просто так удобнее..

Автомобиль тоже можно заводить подавая ток сразу на стартер. И ключ зажигания не нужен.
И тут действительно, если вам удобнее такой мазахизм - пожалуйста.
(Crtl+Alt+BS, выбор пользователя рут, набор пароля, ожидание загрузки DE, конечно же быстрее и проще, чем использование язлыка с указанием "запуск от рут" и ввод того же пароля. )

[AGOnic]

Подавать ток прямо на стартер - НЕ удобно. Ключ всё равно нужен - разблокировать руль.
Yamah извините, но сейчас мазохизм - это упорство в навязывании своей точки зрения, мнения ..
У меня всё грузится достаточно быстро и я никуда не спешу.
Я задал вопрос, (который был составлен просто и понятно) - сквозь тернии, получил ответ!!

ВСЁ!!!

[ДроноваЮ]

А можно вас попросить не злоупотреблять капсом? Мы же не просто от нечего делать спрашиваем, вам же помогли уже, а вы недовольны дополнительными вопросами, как будто мы тут официанты -- поднесли салат по требованию и типа свободны. Имеем право в ответ узнать, шо такого секретного вы делаете из-под рута

[keleg]

Справедливости ради - какой-нибудь puppy-linux под рутом живет до сих пор - для всех.

[DELTA-79]

ИМХО: Если свободно предоставлять иксы для рута, то систему можно будет проще поломать, причем не только силами пользователя, но и сторонними "прихожанами" как локально, так и по сети. К примеру в виндовс есть возможность запустить любое приложение с правами администратора, при том пароль последнего пользователь игнорирует еще на стадии установки системы. и в итоге система оказалась очень уязвимой. Тоже ожидает и линукс с подобными "возможностями...

[keleg]

Удалил флейм. Завязываем.

[keleg]

Как резюме.
Для пользователей, не знакомых с двухпанельным интерфейсом действительно удобнее запускать Dolphin из-под рута для файловых операций (для редактирования конфигов у нас уже есть kwrite (root) в контекстном меню)
Чтоб не возиться с kdesu можно сделать отдельный ярлык для запуска дельфина под рутом - в Minte, например, так сделано.
Пример такого файла я присобачил к этому сообщению . Разархивировать его нужно в /usr/share/applications/kde4 (а вот для этого придется запустить раз дельфина под kdesu - ALt+F2, kdesu dolphin
Если этот вариант интересен многим, можно попросить Pulfer добавить это решение к новым кедам, что сейчас тестируются QA.

[sokoloff]

Разархивировать его нужно в /usr/share/applications/kde4 (а вот для этого придется запустить раз дельфина под kdesu - ALt+F2, kdesu dolphin

Необязательно. Персональные файлы можно положить в ~/.local/share/applications

[AGOnic]

Очень любопытно.
Но Dolphin-root НЕ открывается сам по себе ..скрытый..,
а в меню предлагает ..открыть с помощью.. Dolphin-root ?
Ну, в целом, довольно интересно. Реально чуть быстрее. Спасибо keleg.

Если класть ярлыки в - /usr/share/applications/kde4
или в ~/.local/share/applications - где искать ?

[keleg]

~ (тильда) в начале адреса обозначает домашнюю папку. /home/имяпользователя
. (точка) в начале пути обозначает скрытую папку. Из mc ее видно

[sokoloff]

Очень любопытно.
Но Dolphin-root НЕ открывается сам по себе ..скрытый..,
а в меню предлагает ..открыть с помощью.. Dolphin-root ?
Ну, в целом, довольно интересно. Реально чуть быстрее. Спасибо keleg.

Если класть ярлыки в - /usr/share/applications/kde4
или в ~/.local/share/applications - где искать ?

Если есть файлы с одинаковым именем и в /usr/share/applications/kde4 и в ~/.local/share/applications, последние имеют приоритет.
Где искать в меню не зависит от положения файла, но зависит от полей внутри desktop файла (в первую очередь от поля Categories) и файлов меню (файлы .menu в /etc/xdg/menus и, возможно, в ~/.config/menus/).
Стандарты http://standards.freedesktop.org/deskto ... 01s05.html и http://standards.freedesktop.org/menu-s ... atest.html

[sokoloff]

Если надо часто перезаписывать определенные рутовые файлы, может вам глянуть в сторону getfacl/setfacl, добавить себе права на эти файлы и править их от своей учетки?

[keleg]

"где искать" - в стандартном стартовом меню есть поиск...

[AGOnic]

"где искать" - в стандартном стартовом меню есть поиск...

Это понятно, но он находит и показывает скачанный архив, а не ..скрытый.. ярлык.

[keleg]

У меня все находит (возможно, понадобится перезагрузка KDE). Положите правильно и все будет.

[AGOnic]

У меня все находит (возможно, понадобится перезагрузка KDE). Положите правильно и все будет.

Да, конечно перезагрузился и не один раз. Функция Dolphin(root) изначально работает..
Он запускается Dolphin - Рабочий стол - Dolphin(root). На прямую, на рабочем столе его нет.
Второе - на системной папке в меню правой имеется открыть с помощью Dolphin(root)
Но я полагал, что должен увидеть в пуск - утилиты - системные - Dolphin(root) - вот про это вопрос был.

[keleg]

Но я полагал, что должен увидеть в пуск - утилиты - системные - Dolphin(root) - вот про это вопрос был.

Да, там и должно быть. Вы, видимо, на стол его разархивировали а не в указанную папку. А не видно т.к. там скрытость поставлена.

[AGOnic]

Но я полагал, что должен увидеть в пуск - утилиты - системные - Dolphin(root) - вот про это вопрос был.

Да, там и должно быть. Вы, видимо, на стол его разархивировали а не в указанную папку. А не видно т.к. там скрытость поставлена.

На рабочий стол я по собственной инициативе разархивировал.
А так, куда было указано вами и ещё туда, куда советовал Sokoloff .
Проверял, там они и находятся.. Может что то недоустановлено ?
На пример, kwrite(root) есть в меню правой на файле, но нет в пуск.

[sokoloff]

Косяк в файле, в последней его строке стоит NoDisplay=true, и построитель меню справедливо его игнорирует

NoDisplay - NoDisplay means "this application exists, but don't display it in the menus". This can be useful to e.g. associate this application with MIME types, so that it gets launched from a file manager (or other apps), without having a menu entry for it (there are tons of good reasons for this, including e.g. the netscape -remote, or kfmclient openURL kind of stuff).

Замени в последней строке NoDisplay=true на NoDisplay=false, или удали строку совсем.

[AGOnic]

В каком файле, в самом файле ярлыка ?
Да, отредактировал, всё нормально.
В Пуск - утилиты - системные - появился Dolphin(root)
Спасибо..

[keleg]

ага, видно случайно лишнее скопировал. Теперь все закончилось хорошо

[AGOnic]

ага, видно случайно лишнее скопировал. Теперь все закончилось хорошо

Да, хорошо, когда хорошо.

[Yamah]

Чтоб не возиться с kdesu можно сделать отдельный ярлык для запуска дельфина под рутом
Пример такого файла я присобачил к этому сообщению . Разархивировать его нужно в /usr/share/applications/kde4 (а вот для этого придется запустить раз дельфина под kdesu - ALt+F2, kdesu dolphin
Если этот вариант интересен многим, можно попросить Pulfer добавить это решение к новым кедам, что сейчас тестируются QA.

Предлагал это как вариант с самого начала.

ИМХО. Это и подобное лучше вынести в отдельный пакет, который параноики смогут быстро удалить.

[keleg]

а при чем тут параноики? Там ведь все равно пароль спрашивает и вся остальная система не под рутом работает. ИМХО - безопасный вариант, и, как уже говорилось, минт так вполне работает.

[Aesculapius]

Я очень извиняюсь, не хочу создавать отдельную тему, но мой вопрос косвенно затрагивает эту тему.
Поясните пожалуйста, в чём разница между пользователем состоящим в группе wheel и пользователем вне этой группы исключительно в РОСЕ?

[Yamah]

а при чем тут параноики? Там ведь все равно пароль спрашивает и вся остальная система не под рутом работает. ИМХО - безопасный вариант, и, как уже говорилось, минт так вполне работает.

Тогда понятно.

[Aesculapius]

Убрал коммент в строчке /etc/pam.d/su:

Код: Выделить всё

#auth required pam_wheel.so use_uid

терминальный вход ограничен,
а в графе тогда как? Как-то наполовину получается.

[sokoloff]

Я очень извиняюсь, не хочу создавать отдельную тему, но мой вопрос косвенно затрагивает эту тему.
Поясните пожалуйста, в чём разница между пользователем состоящим в группе wheel и пользователем вне этой группы исключительно в РОСЕ?

Пользователи из группы wheel могут запускать программы через sudo. В /etc/sudoers есть строки

Код: Выделить всё

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL 

[Aesculapius]

Я очень извиняюсь, не хочу создавать отдельную тему, но мой вопрос косвенно затрагивает эту тему.
Поясните пожалуйста, в чём разница между пользователем состоящим в группе wheel и пользователем вне этой группы исключительно в РОСЕ?

Пользователи из группы wheel могут запускать программы через sudo. В /etc/sudoers есть строки

Код: Выделить всё

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL 

Разве? А su?

[Aesculapius]

Т.е. sudo для всех - зло морально устарело?

[Aesculapius]

Блин, как же пользователю запретить использование пароля рута в KDE?

[sokoloff]

Блин, как же пользователю запретить использование пароля рута в KDE?

Капитан очевидность спешит на помощь. "Чтобы запретить пользователю использование пароля рута, не говорите пользователю какой пароль у рута."

Т.е. sudo для всех - зло морально устарело?

Вообще то наоборот, sudo был разработан как замена для su, для su нужен рутовый пароль, и если пользователю нужно что-то делать от рута, вы вынуждены сообщить ему рутовый пароль. Но если он знает рутовый пароль, то он может делать все. А судо позволяет дать права на выполнение конкретных команд, и можно настроить гибко.

Пользователи из группы wheel могут запускать программы через sudo.

Разве? А su?

А причем тут su? Su требует пароля рута, а sudo пароль пользователя. Если мы хотим дать пользователю возможность запускать программы с рутовыми правами, добавляем его в whell, не хотим - не добавляем. А рутовый пароль пользователю знать не нужно. Но уж если мы сказали пользователю рутовый пароль, то мы ССЗБ, и линух здесь ни при чем.
Вообще давайте не валить разные ситуации в кучу. Вот к примеру:

• Сервер, скажем почтовый - вообще не создаем для пользователя учетки, используем виртуальные ящики. Нет пользователей - нет проблем. Все настройки выполняют админы, для них заведены учетки, и они входят в группу whell, т.о. они могут админить этот комп, но они не знают рутового пароля. При увольнении админа, мы только лочим его учетку, т.к. он не знал рутового пароля, не надо проводить авральную смену этого пароля. Хотим более гибко настроить права для админов, исключаем админа из whell, и через sudoers даем ему права на выполнение только некоторых команд.
• Рабочий компьютер пользователя в корпоративной сети. Пользователь не должен сам ставить программы и менять настройки. Создаем пользователя, он не входит в группу whell, т.о. не может ничего поправить вне своей домашней директории. Ситуация с админами аналогична предыдущей.
• Домашний комп. Пользователь сам админит свой комп, сам ставит программы, и.т.д. Соответственно он должен входить в группу whell. Если есть второй пользователь и мы не хотим давать ему возможности изменять что-то, то создаем еще одого пользователя и не включаем его в whell.

[Aesculapius]

Капитан очевидность спешит на помощь. "Чтобы запретить пользователю использование пароля рута, не говорите пользователю какой пароль у рута.

Мда, очевидность... Учитывая то что этот пользователь я в единственном числе. Да, про пароль я оговорился, имея ввиду команду su.
Вы окончательно запутали. http://www.opennet.ru/base/sys/su_wheel.txt.html

Домашний комп. Пользователь сам админит свой комп, сам ставит программы, и.т.д. Соответственно он должен входить в группу whell. Если есть второй пользователь и мы не хотим давать ему возможности изменять что-то, то создаем еще одого пользователя и не включаем его в whell.

Вот это очевидность! И не надо таких колкостей. Я просто хочу разобраться.
ТАК ВОТ Я ОБ ЭТОМ СПРАШИВАЮ!!! В РОСЕ по умолчанию первый пользователь входит в группу wheel (если его удалить из wheel то толку мало, да, sudo недоступно, а su по-прежнему да), ну и замечательно. Создаем нового пользователя (по умолчанию он не входит в группу wheel, если его конечно не впихнуть туда САМОСТОЯТЕЛЬНО) sudo ему недоступно, но su доступно. Так вот я и хочу второму пользователю перекрыть "кислород" к команде su как через терминал так через графическую оболочку. В предыдущем посте я указал на то что в терминале второму пользователю доступ к su закрыт, но через настройки рабочего стола и далее на выбор, например жму на "настройки персонального файервола" предлагается ввести пароль root, ввел и вошел.
Так вот и вопрос:
ТАК ПОЧЕМУ В ТЕРМИНАЛЕ ПОСЛЕ ВВОДА РУТОВСКОГО ПАРОЛЯ ВЫСКАКИВАЕТ

Код: Выделить всё

$ su -
Пароль: 
su: Доступ запрещен

, А В ГРАФЕ - ЗАХОДИ ДАРАГОЙ, ЧУЙСТВУЙ СЕБЯ КАК ДОМА??? ПОЧЕМУ ТОЛЬКО В КОНСОЛИ ОГРАНИЧЕН, ЁПТЬ? ЧТО ЗА ИЗБИРАТЕЛЬНЫЙ ПОДХОД? И КАК НАФИГ ЭТО ГРАНТИРОВАННЫЙ ДОСТУП ВЫРУБИТЬ ВООБЩЕ?

[slavyanix]

там в настройки kdesu лезьть уже надо. нет? потому как разный тип приложений. тут про kdesu читать надо. и админские штучки будут недоступны. а вообще возьми и выставь в права на прогу. точнее на доступ к ней. и укажи только одного пользователя остальным запрет. разве это нельзя сделать в графике. кстати должен быть файл запрета доступа к программам на подобие /etc/sudoers/...

[Aesculapius]

там в настройки kdesu лезьть уже надо. нет? потому как разный тип приложений. тут про kdesu читать надо. и админские штучки будут недоступны. а вообще возьми и выставь в права на прогу. точнее на доступ к ней. и укажи только одного пользователя остальным запрет. разве это нельзя сделать в графике. кстати должен быть файл запрета доступа к программам на подобие /etc/sudoers/...

Я бы сделал, но я не знаю как, поэтому спрашиваю. Я не понял, на каждую прогу что ли?
Почему в РОСЕ так? Пользовался Fedora, SUSE, Ubuntu, Altlinux, Calculate ... проблем с этим не было, никуда не надо было лезть.

[slavyanix]

https://docs.kde.org/stable/ru/kde-runt ... /kdesu.pdf вот инструкция на русском. сам еще не дочитал. просто предлагаю ознакомиться.

[slavyanix]

что то не то. там только общие понятия.

[Aesculapius]

что то не то. там только общие понятия.

Да это я уже читал. Ни о чём.
Объясни пожалуйста вот такую фигню, почему в draksec, например выбираешь допустим ROSA Update и запуск от имени суперпользователя, то в дальнейшем требует пароль пользователя, а не рута?
Я не понимаю китайскую логику. Рут так рут юзер так юзер. Что за шахматные комбинации?

[sokoloff]

Домашний комп. Пользователь сам админит свой комп, сам ставит программы, и.т.д. Соответственно он должен входить в группу whell. Если есть второй пользователь и мы не хотим давать ему возможности изменять что-то, то создаем еще одого пользователя и не включаем его в whell.

Вот это очевидность! И не надо таких колкостей.

Прошу прощения, если это прозвучало как колкость, ничего такого не хотел сказать. Единственное где была некоторая фривольность, это первый пункт, но я его специально оформил как шутку с КО. Еще раз, никого обидеть не хотел.

Не могли бы Вы расписать чего хотите получить? Я не понимаю чего Вы хотите добиться. И если Вы единственный пользователь, то самое простое не вводить рутовый пароль и все, кто же вас заставит? Но если хотите большего, то:
Хотите запретить su, проще всего залочить рута http://fx-files.ru/archives/679. Нет пароля - не работает su.
Хотите залочить sudo, уберите себя из whell, или поправьте /etc/sudoers
Но если Вы единственный пользователь системы, то Вы должны иметь возможность править настройки, или через su, или через sudo. Иначе как Вы будете ставить программы?

[Aesculapius]

Прошу прощения, если это прозвучало как колкость, ничего такого не хотел сказать. Единственное где была некоторая фривольность, это первый пункт, но я его специально оформил как шутку с КО. Еще раз, никого обидеть не хотел.

Не могли бы Вы расписать чего хотите получить? Я не понимаю чего Вы хотите добиться. И если Вы единственный пользователь, то самое простое не вводить рутовый пароль и все, кто же вас заставит? Но если хотите большего, то:
Хотите запретить su, проще всего залочить рута http://fx-files.ru/archives/679. Нет пароля - не работает su.
Хотите залочить sudo, уберите себя из whell, или поправьте /etc/sudoers
Но если Вы единственный пользователь системы, то Вы должны иметь возможность править настройки, или через su, или через sudo. Иначе как Вы будете ставить программы?

Вы должно быть шутите запретить su, sudo - да su - никогда.
Хорошо, попробую ещё раз, намного проще. На данный момент имеется два пользователя (в том числе суперюзер, но это не в счёт, без бога никак):
1-ый пользователь, который изначально состоит в группе wheel (тот что в конце установки создан);
2-ой пользователь, не состоящий в группе wheel (по умолчанию), его создал позже.
Так вот, я хочу второму пользователю чтобы команды su и sudo были недоступны (разумеется sudo ему недоступно) и соответственно выполнение каких-то действий требующих права суперюзера недоступны:

Код: Выделить всё

$ su -
Пароль:
su: Доступ запрещен

Короче, например, второй пользователь хочет установить какую-то прогу из репы или как-то ещё через консоль и графу, а ему раз и облом, извини чувак, но su и sudo только для избранных то бишь первому юзеру доступно, гуляй.

[sokoloff]

Хорошо, попробую ещё раз, намного проще. На данный момент имеется два пользователя (в том числе суперюзер, но это не в счёт, без бога никак):
1-ый пользователь, который изначально состоит в группе wheel (тот что в конце установки создан);
2-ой пользователь, не состоящий в группе wheel (по умолчанию), его создал позже.

А второй пользователь это вы, или другой человек?

[Aesculapius]

А второй пользователь это вы, или другой человек?

Мой брат.

[slavyanix]

раньше читал но уже не помню точно. был файл в /etc где можно прописать пользователя и программы доступные ему на выполнение. а не проще через права на файл обрубить. есть же возможность допустить только определенных лиц на возможность запуска. например ту же su или sudo запретить к выполнению всем кроме пользователя.

[Aesculapius]

раньше читал но уже не помню точно. был файл в /etc где можно прописать пользователя и программы доступные ему на выполнение. а не проще через права на файл обрубить. есть же возможность допустить только определенных лиц на возможность запуска. например ту же su или sudo запретить к выполнению всем кроме пользователя.

По поводу sudo, а разве недостаточно его убрать из wheel?
А вот насчёт su извините сир я чё та не догоняю. Я второму пользователю перекрыл путь к su, но только через консоль, а как через графическую оболочку то?
Здесь всё сложно - http://www.rhd.ru/docs/manuals/enterpri ... leges.html. Да и то ли вообще?

[slavyanix]

кстати а не прроще ли просто организовать запрет для пользователя на уровне прав доступа к файлу. грубо говоря рутом выставить права на su так что бы её могли запускать только члены определенной группы, например wheel и все все проблемы отпадут сразу так как второй пользователь не будет иметь право даже на чтение данного файла. как вам такое решение? быстро и элегантно. все таки право доступа к файлам это первое что отличает юникс системы от остальных, я имею ввиду такой набор прав доступа, потому как в винде тоже есть права доступа но не такие как в линукс.

[Aesculapius]

кстати а не прроще ли просто организовать запрет для пользователя на уровне прав доступа к файлу. грубо говоря рутом выставить права на su так что бы её могли запускать только члены определенной группы, например wheel и все все проблемы отпадут сразу так как второй пользователь не будет иметь право даже на чтение данного файла. как вам такое решение? быстро и элегантно.

Мне не надо конкретно для файла. Мне нужно вообще второму пользователю полностью ограничить доступ к учётной записи root.

[Aesculapius]

Хотя он может сделать и так

Код: Выделить всё

sshroot@$(hostname -f)

если эта команда понятно РОСЕ.

[slavyanix]

да может, но в росе стоит запрет на логин в рут через сеть. а тут фактически эмуляция тоннеля ssh. хоть и на локальной машине. а в настройках стоит запрет логиниться руту по сети. хотя могу и ошибаться.

[Aesculapius]

Похоже я стал заложником собственных мыслей доселе никому непонятных.
Слышь, Aesculapius, вали отсюда! А!? Нытье сплошное.

[slavyanix]

ха ха. твой брат вроде не так продвинут в этом или я ошибаюсь. тогда хватит и запрета на запуск su / sudo. а если продвинут то уже ничего не поможет , разве что отключение компа от питания)))

[sokoloff]

А второй пользователь это вы, или другой человек?

Мой брат.

А почему нельзя сменить пароль рута, и не говорить его брату?

[Aesculapius]

тогда хватит и запрета на запуск su / sudo.

Такое впечатление что кроме РОСЫ других Линукс-дистрибутивов не существует.
Какими способами Вы устанавливаете обновление или что-то из репозитория именно в РОСЕ? Есть два способа или я ошибаюсь? Во всяком случае я знаю только эти и мне хватает:
Обновление
1. Через консоль

Код: Выделить всё

$ su -
# urpmi --auto-update

2.

Код: Выделить всё

Настройки рабочего стола -> Обновление системы (без пароля учётной записи root, если через draksec настроить обновление с запросом рута то всё равно запрашивает пароля пользователя)

Установка приложений из репозитория
1. Через консоль

Код: Выделить всё

$ su -
# urpmi ...

2.

Код: Выделить всё

Настройки рабочего стола -> Установка и удаления программ (требуется пароль учётной записи root иногда нет)

3.

Код: Выделить всё

SimpleWelcome -> Установка и удаления программ (требуется пароль учётной записи root иногда нет)

[Aesculapius]

А почему нельзя сменить пароль рута, и не говорить его брату?

Он его не знает.
У Вас какая-то особая РОСА?
Смотри п. akdengi http://forum.rosalab.ru/viewtopic.php?f ... 3bb#p25699. Я пользовался Федорой, но никаких грантирований прав root на пять минут или другое время там не было, если только специально настроить такую фичу. В чём её смысл? Вот эта фича мне абсолютна непонятна и на фиг она мне нужна, в утиль её.

[Aesculapius]

Похоже я отключил срок кэширования проверки подлинности в config-util и config-util-user:

Код: Выделить всё

#auth sufficient pam_timestamp.so
#session optional pam_timestamp.so

[keleg]

смысл в том, что если подряд несколько действий от рута, вводить пароль только один раз.

[Aesculapius]

смысл в том, что если подряд несколько действий от рута, вводить пароль только один раз.

Да, я понял смысл, только такой смысл мне не нужен. Мне не трудно вводить пароль учётной записи root каждый раз т.к. это делать приходиться не часто. Я бы предпочел бы чтобы такого по умолчанию не было. Но разработчикам НТЦ виднее, они ведь стараются угодить всем.
Благодаря вам я более или менее разобрался. Но мне не понятен ещё один момент, почему такая чехарда с паролями в draksec?
Спасибо.

[keleg]

Вы опишите ситуацию, которая вам не нравится и мы попробуем подсказать, как она решается в Росе.

[slavyanix]

я так понял он имеет ввиду повторный запуск программы утановки без запроса рутового пароля. но проблемы то нет. первый раз он то спросит, а его брат пароля не знает. полагаю это и есть объяснение. предложу только зайти под учетную запись брата и попробовать там запустить установку программ и если пароль рута спросит, то проблема решена.

[Aesculapius]

я так понял он имеет ввиду повторный запуск программы утановки без запроса рутового пароля. но проблемы то нет. первый раз он то спросит, а его брат пароля не знает. полагаю это и есть объяснение. предложу только зайти под учетную запись брата и попробовать там запустить установку программ и если пароль рута спросит, то проблема решена.

Я же выше написал об этом.
Уважаемый keleg, Вы же поняли в чём фишка, объясните пожалуйста slavyanix про грантирование прав, как и когда оно срабатывает и что не обязательно его вводить первый, второй ... раз и при этом время от времени ненадолго появляется доступ к приложениям без рута.
Но я по ходу решил это, теперь по-любому его придется вводить каждый раз снова и снова, грантирование отключено, если конечно я всё правильно сделал.

[Aesculapius]

Вы опишите ситуацию, которая вам не нравится и мы попробуем подсказать, как она решается в Росе.

По поводу draksec. Например, если выбрать вариант "пароль пользователя root" для ROSA Update (да и не только для обновления) то вместо запроса рута почему-то предлагается ввести пароль обычного пользователя? Ввёл и всё доступ разрешён.

[keleg]

Вы опишите ситуацию, которая вам не нравится и мы попробуем подсказать, как она решается в Росе.

По поводу draksec. Например, если выбрать вариант "пароль пользователя root" для ROSA Update (да и не только для обновления) то вместо запроса рута почему-то предлагается ввести пароль обычного пользователя? Ввёл и всё доступ разрешён.

Скорее всего это работает только для пользователя из группы wheel, которому в любом случае доступно sudo.

[Aesculapius]

Скорее всего это работает только для пользователя из группы wheel, которому в любом случае доступно sudo.

Т.е. для группы wheel через sudo, а для остальных только через su. Так?

[keleg]

Не совсем. Пользователь из группы wheel (это, по умолчанию, первый пользователь, который поставил систему) считается почти администратором т.к. он всегда может делать административные действия через sudo - под своим паролем или под root - c админским.
Это сделано в основном для переходящих с убунты, где именно такая схема авторизации. Получается для первого пользователя смешанная схема - и как в редхат-мандриве, и как в убунте работает.
Обычный же пользователь, не из группы wheel без входа под рутом никаких админских действий делать не может, ведь sudo ему недоступно.

Если хотите вырубить для пользователя sudo - уберите его из группы wheel. Второй и последующие пользователи, насколько помню, автоматически в нее не включаются и для них действуют более строгие правила - без sudo.

[Aesculapius]

Не совсем. Пользователь из группы wheel (это, по умолчанию, первый пользователь, который поставил систему) считается почти администратором т.к. он всегда может делать административные действия через sudo - под своим паролем или под root - c админским.
Это сделано в основном для переходящих с убунты, где именно такая схема авторизации. Получается для первого пользователя смешанная схема - и как в редхат-мандриве, и как в убунте работает.
Обычный же пользователь, не из группы wheel без входа под рутом никаких админских действий делать не может, ведь sudo ему недоступно.

Если хотите вырубить для пользователя sudo - уберите его из группы wheel. Второй и последующие пользователи, насколько помню, автоматически в нее не включаются и для них действуют более строгие правила - без sudo.

Про wheel я понял. В данном случае меня интересует конкретно MandrivaUpdate (или как там, подзабыл). В данном случае только два варианта: без пароля или с паролем текущего пользователя, ну никак не получается через root. Вил не вил, а все равно пароль пользователя. Видимо так задумано.

[keleg]

Флейм почищен. Давайте о вещах, а не о людях.

[Aesculapius]

Флейм почищен. Давайте о вещах, а не о людях.

Спасибо! Хватит! Я не Сизиф!