ROSA Forum

Имеется вопрос...
У Rosa R4 входить в root каталог , как пользователь возможно?
То есть нажав Ctrl+Alt+Backspace,
или ..завершить сеанс.. выбираем либо root либо пользователя.
У меня почему то возможности выбрать root нет, только пользователь -
пробовал настройками ..играть.., не получилось .
Возможно это сделать или это норма у Rosa R4 ?
Может ли это зависеть от сборки (в данном случае 7292)?

Видно ты иксы под рутом еще не запускал, ну удачи тебе, надеюсь флешка с Rosa у тебя не далеко лежит

Пы.Сы. Просто установи Krusader

проще всего в konsole запустить mc

парень походу пропустил 5 лет))) под рутом войти в сеанс X нельзя уже очень давно и не только в Росе. это тенденция времени. чтоб никто не работалт в системе от рута. безопасность знаешь ли от дураков и прочее.)) нужен рут kdesu и в путь. кстати можно и конкуэрор запустить от рута.

tverskoy
не, не лежит, не освоил, я с iso пока.
Krusader не понравился, разбираться надо.

slavyanix
Удивительная самоуверенность...
Не знаю, чего там парень ..пропустил..,
но в других линях это делается и без проблем.

AGOnic писал(а):но в других линях это делается и без проблем.

ну это вовсе не говорит об отсталости РОСЫ. Вы озвучьте, зачем вообще юзеру что-то делать в /root. Просто позырить?

Речь не об отсталости или продвинутости..
(кстати, ядро не самое продвинутое

)

Не знаю, что там и кто ..зырит..
Просто проще и быстрее, что то ..менять.. от root.

AGOnic писал(а):Не знаю, что там и кто ..зырит..
Просто проще и быстрее, что то ..менять.. от root.

Отнюдь. Не советую все подряд в системе делать из под root. Менят, конечно, можно все, только вернуть обратно будет очень сложно...

Спасибо за совет. Всё подряд и делать то нечего.
А если и нужно что то, то поменять юзера на root проще и быстрее.

Жаль только, что по существу вопроса - ответа нет.
Только ..продвинутость..

Да будет всем известно, что последняя Rosa Fresh R4 Gnome -
..имеет.. вход от root.

Чего менять-то?
Настройки практически все в GUI делаются. Для этого нужно просто запустить программу настройки и ввести пароль рута.
Те, настройки, которых нет в GUI прекрасно делаются из ближайшего терминала через su/sudo (кому как удобнее).
Если нужно запустить файловый менеджер от рута, даже перезагружаться не надо:

Код: Выделить всё

su - -c dolphin

Лично я от рута только с консоли захожу, когда домашний каталог не примонтирован.
Все остальное только через sudo или su -.

Еще раз, что такого нужно настраивать непосредственно из-под рута?

su - -c dolphin
Это понятно, но сложнее, вводить надо. Случайно не то окно закроешь.
Проще Ctrl+Alt+Backspace - root - сделал что надо, вернулся

AGOnic писал(а):su - -c dolphin
Это понятно, но сложнее, вводить надо.

Ага. А выгружаться, выбирать юзера, вводить пароль, загружать DE несложнее, зато намного дольше.

Кто мешает иконку один раз сделать нужную?
Есть даже специальная опция: "загружать от имени другого пользователя".

Еще раз, что такого нужно настраивать непосредственно из-под рута?
Или, как вы сами сказали:

AGOnic писал(а):Жаль только, что по существу вопроса - ответа нет.
Только ..продвинутость..

???

AGOnic писал(а):Да будет всем известно, что последняя Rosa Fresh R4 Gnome -
..имеет.. вход от root.

GDM ну ни разу не KDM.

Жаль прошли те времена, когда запускаешь иксы от рута, а DE тебе противно красную обоину с бомбочками и такой же противный контраст вырвеглазного оформления, изменения которого не сохранялись.

GDM или KDM - это сугубо личный выбор ..

У Rosa Gnome с оформлением всё ОК.
http://forum.rosalab.ru/viewtopic.php?f ... 094#p30379

Вот только с расширениями очень бедно..

в консоли от пользователя

Код: Выделить всё

kdesu dolphin

и после пароля войдете в папку root (если вам так сильно нужно туда войти в GUI)

По сути - это одно и то же (su -, sudo).
Всё равно - вводить.

Спасибо.

или же, если не в консоли, нажмите Alt+F2 а дальше тоже самое

Alt+F2 - вызывает строку поиска.

AGOnic писал(а):Alt+F2 - вызывает строку поиска.

А вы сами тот "поиск" пробовали? там открывается виджет выполнения программы

Там даже считать можно. Все время пользуюсь.

AGOnic писал(а):GDM или KDM - это сугубо личный выбор ..

Вопрос не про выбор DM. Вопрос в его функционале.

AGOnic писал(а):По сути - это одно и то же (su -, sudo).
Всё равно - вводить.
Спасибо.

А в DM, разве пароль не нужно вводить?

Если так лень вводить пароль, настройте программу на запуск от рута без ввода пароля.

Лично у меня складывается впечатление, что идет просто троллинг.

Цитата...
Лично у меня складывается впечатление, что идет просто троллинг.[/quote]

По существу вопроса-темы - простого ответа нет.
Остальное, многа-многа букаф, действительно похоже на троллинг..

AGOnic писал(а):Имеется вопрос... У Rosa R4 входить в root каталог , как пользователь возможно?
То есть нажав Ctrl+Alt+Backspace,
или ..завершить сеанс.. выбираем либо root либо пользователя.
У меня почему то возможности выбрать root нет, только пользователь -
пробовал настройками ..играть.., не получилось .
Возможно это сделать или это норма у Rosa R4 ?

Это не баг, конечно, а фича. Если действительно есть желание разблокировать вход в иксовую сессию под рутом, то можно попробовать снять соответствующую галочку в настройках KDM ("Настройки рабочего стола" -> "Вход в систему") (см. скриншот).

Спасибо Pulfer.
Но я там конечно был, прежде чем спросить..
Там не оказалось почему то root.
Во вкладке ..исключённые пользователи.. есть root

интересно... у меня root есть. Но не работает.

AGOnic писал(а):Спасибо Pulfer.
Но я там конечно был, прежде чем спросить..
Там не оказалось почему то root.

А если вручную отредактировать конфиг /var/lib/mandriva/kde4-profiles/Default/share/config/kdm/kdmrc ?

Убедиться, что там есть

Код: Выделить всё

[X-*-Core]
...
AllowRootLogin=true

и нет (если есть, то убрать root и оставить nobody)

Код: Выделить всё

[X-*-Greeter]
...
HiddenUsers=nobody,root

Хм.
Может просто удалить тему ?

Pulfer писал(а): Это не баг, конечно, а фича. Если действительно есть желание разблокировать вход в иксовую сессию под рутом, то можно попробовать снять соответствующую галочку в настройках KDM ("Настройки рабочего стола" -> "Вход в систему") (см. скриншот).

А еще придется в /usr/share/config/kdm/kdmrc
установить

Код: Выделить всё

AllowRootLogin=true

И все заработает. Только что проверил.

keleg
Да, отлично, Спасибо.

AGOnic писал(а):Может просто удалить тему ?

Зачем. Наверняка ещё кто-нибудь найдётся с подобными специфическими запросами. Тема же тоже далеко не нова, сколько себя помню, любители позапущать иксы из-под рута всегда были и будут, я думаю. Дикие линуксоиды-с.

не я раньше в мандриве бывало баловался рутом в иксах. давно это было правда.)) но сейчас не тянет. чем меньше рута в работе тем лучше.

ДроноваЮ писал(а):
AGOnic писал(а):Может просто удалить тему ?
Зачем. Наверняка ещё кто-нибудь найдётся с подобными специфическими запросами. Тема же тоже далеко не нова, сколько себя помню, любители позапущать иксы из-под рута всегда были и будут, я думаю. Дикие линуксоиды-с.

Не понимаю, о чём и о ком вы..
Я лично - вообще далеко НЕ линуксоид.!!
Мне просто так удобнее..

AGOnic писал(а): По существу вопроса-темы - простого ответа нет.

1. Вы так и не ответили, зачем нужен вам вход от рута.
2. Вам я предложил несколько более простых способов как вообще не переключаться, а запускать нужные программы под рут.

AGOnic писал(а): Мне просто так удобнее..

Автомобиль тоже можно заводить подавая ток сразу на стартер. И ключ зажигания не нужен.
И тут действительно, если вам удобнее такой мазахизм - пожалуйста.
(Crtl+Alt+BS, выбор пользователя рут, набор пароля, ожидание загрузки DE, конечно же быстрее и проще, чем использование язлыка с указанием "запуск от рут" и ввод того же пароля.

)

Подавать ток прямо на стартер - НЕ удобно. Ключ всё равно нужен - разблокировать руль.
Yamah извините, но сейчас мазохизм - это упорство в навязывании своей точки зрения, мнения ..
У меня всё грузится достаточно быстро и я никуда не спешу.
Я задал вопрос, (который был составлен просто и понятно) - сквозь тернии, получил ответ!!

ВСЁ!!!

А можно вас попросить не злоупотреблять капсом?

Мы же не просто от нечего делать спрашиваем, вам же помогли уже, а вы недовольны дополнительными вопросами, как будто мы тут официанты -- поднесли салат по требованию и типа свободны. Имеем право в ответ узнать, шо такого секретного вы делаете из-под рута

Справедливости ради - какой-нибудь puppy-linux под рутом живет до сих пор - для всех.

ИМХО: Если свободно предоставлять иксы для рута, то систему можно будет проще поломать, причем не только силами пользователя, но и сторонними "прихожанами" как локально, так и по сети. К примеру в виндовс есть возможность запустить любое приложение с правами администратора, при том пароль последнего пользователь игнорирует еще на стадии установки системы. и в итоге система оказалась очень уязвимой. Тоже ожидает и линукс с подобными "возможностями...

Удалил флейм. Завязываем.

Как резюме.
Для пользователей, не знакомых с двухпанельным интерфейсом действительно удобнее запускать Dolphin из-под рута для файловых операций (для редактирования конфигов у нас уже есть kwrite (root) в контекстном меню)
Чтоб не возиться с kdesu можно сделать отдельный ярлык для запуска дельфина под рутом - в Minte, например, так сделано.
Пример такого файла я присобачил к этому сообщению . Разархивировать его нужно в /usr/share/applications/kde4 (а вот для этого придется запустить раз дельфина под kdesu - ALt+F2, kdesu dolphin

Если этот вариант интересен многим, можно попросить Pulfer добавить это решение к новым кедам, что сейчас тестируются QA.

keleg писал(а):Разархивировать его нужно в /usr/share/applications/kde4 (а вот для этого придется запустить раз дельфина под kdesu - ALt+F2, kdesu dolphin

Необязательно. Персональные файлы можно положить в ~/.local/share/applications

Очень любопытно.
Но Dolphin-root НЕ открывается сам по себе ..скрытый..,
а в меню предлагает ..открыть с помощью.. Dolphin-root ?
Ну, в целом, довольно интересно. Реально чуть быстрее. Спасибо keleg.

Если класть ярлыки в - /usr/share/applications/kde4
или в ~/.local/share/applications - где искать ?

~ (тильда) в начале адреса обозначает домашнюю папку. /home/имяпользователя
. (точка) в начале пути обозначает скрытую папку. Из mc ее видно

AGOnic писал(а):Очень любопытно.
Но Dolphin-root НЕ открывается сам по себе ..скрытый..,
а в меню предлагает ..открыть с помощью.. Dolphin-root ?
Ну, в целом, довольно интересно. Реально чуть быстрее. Спасибо keleg.

Если класть ярлыки в - /usr/share/applications/kde4
или в ~/.local/share/applications - где искать ?

Если есть файлы с одинаковым именем и в /usr/share/applications/kde4 и в ~/.local/share/applications, последние имеют приоритет.
Где искать в меню не зависит от положения файла, но зависит от полей внутри desktop файла (в первую очередь от поля Categories) и файлов меню (файлы .menu в /etc/xdg/menus и, возможно, в ~/.config/menus/).
Стандарты http://standards.freedesktop.org/deskto ... 01s05.html и http://standards.freedesktop.org/menu-s ... atest.html

Если надо часто перезаписывать определенные рутовые файлы, может вам глянуть в сторону getfacl/setfacl, добавить себе права на эти файлы и править их от своей учетки?

"где искать" - в стандартном стартовом меню есть поиск...

keleg писал(а):"где искать" - в стандартном стартовом меню есть поиск...

Это понятно, но он находит и показывает скачанный архив, а не ..скрытый.. ярлык.

У меня все находит (возможно, понадобится перезагрузка KDE). Положите правильно и все будет.

keleg писал(а):У меня все находит (возможно, понадобится перезагрузка KDE). Положите правильно и все будет.

Да, конечно перезагрузился и не один раз. Функция Dolphin(root) изначально работает..
Он запускается Dolphin - Рабочий стол - Dolphin(root). На прямую, на рабочем столе его нет.
Второе - на системной папке в меню правой имеется открыть с помощью Dolphin(root)
Но я полагал, что должен увидеть в пуск - утилиты - системные - Dolphin(root) - вот про это вопрос был.

AGOnic писал(а): Но я полагал, что должен увидеть в пуск - утилиты - системные - Dolphin(root) - вот про это вопрос был.

Да, там и должно быть. Вы, видимо, на стол его разархивировали а не в указанную папку. А не видно т.к. там скрытость поставлена.

keleg писал(а):
AGOnic писал(а): Но я полагал, что должен увидеть в пуск - утилиты - системные - Dolphin(root) - вот про это вопрос был.
Да, там и должно быть. Вы, видимо, на стол его разархивировали а не в указанную папку. А не видно т.к. там скрытость поставлена.

На рабочий стол я по собственной инициативе разархивировал.
А так, куда было указано вами и ещё туда, куда советовал Sokoloff .
Проверял, там они и находятся.. Может что то недоустановлено ?
На пример, kwrite(root) есть в меню правой на файле, но нет в пуск.

Косяк в файле, в последней его строке стоит NoDisplay=true, и построитель меню справедливо его игнорирует

NoDisplay - NoDisplay means "this application exists, but don't display it in the menus". This can be useful to e.g. associate this application with MIME types, so that it gets launched from a file manager (or other apps), without having a menu entry for it (there are tons of good reasons for this, including e.g. the netscape -remote, or kfmclient openURL kind of stuff).

Замени в последней строке NoDisplay=true на NoDisplay=false, или удали строку совсем.

В каком файле, в самом файле ярлыка ?
Да, отредактировал, всё нормально.
В Пуск - утилиты - системные - появился Dolphin(root)
Спасибо..

ага, видно случайно лишнее скопировал. Теперь все закончилось хорошо

keleg писал(а):ага, видно случайно лишнее скопировал. Теперь все закончилось хорошо

Да, хорошо, когда хорошо.

keleg писал(а):Чтоб не возиться с kdesu можно сделать отдельный ярлык для запуска дельфина под рутом
Пример такого файла я присобачил к этому сообщению . Разархивировать его нужно в /usr/share/applications/kde4 (а вот для этого придется запустить раз дельфина под kdesu - ALt+F2, kdesu dolphin
Если этот вариант интересен многим, можно попросить Pulfer добавить это решение к новым кедам, что сейчас тестируются QA.

Предлагал это как вариант с самого начала.

ИМХО. Это и подобное лучше вынести в отдельный пакет, который параноики смогут быстро удалить.

а при чем тут параноики? Там ведь все равно пароль спрашивает и вся остальная система не под рутом работает. ИМХО - безопасный вариант, и, как уже говорилось, минт так вполне работает.

Я очень извиняюсь, не хочу создавать отдельную тему, но мой вопрос косвенно затрагивает эту тему.
Поясните пожалуйста, в чём разница между пользователем состоящим в группе wheel и пользователем вне этой группы исключительно в РОСЕ?

keleg писал(а):а при чем тут параноики? Там ведь все равно пароль спрашивает и вся остальная система не под рутом работает. ИМХО - безопасный вариант, и, как уже говорилось, минт так вполне работает.

Тогда понятно.

Убрал коммент в строчке /etc/pam.d/su:

Код: Выделить всё

#auth required pam_wheel.so use_uid

терминальный вход ограничен,
а в графе тогда как? Как-то наполовину получается.

Aesculapius писал(а):Я очень извиняюсь, не хочу создавать отдельную тему, но мой вопрос косвенно затрагивает эту тему.
Поясните пожалуйста, в чём разница между пользователем состоящим в группе wheel и пользователем вне этой группы исключительно в РОСЕ?

Пользователи из группы wheel могут запускать программы через sudo. В /etc/sudoers есть строки

Код: Выделить всё

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL

sokoloff писал(а):
Aesculapius писал(а):Я очень извиняюсь, не хочу создавать отдельную тему, но мой вопрос косвенно затрагивает эту тему.
Поясните пожалуйста, в чём разница между пользователем состоящим в группе wheel и пользователем вне этой группы исключительно в РОСЕ?
Пользователи из группы wheel могут запускать программы через sudo. В /etc/sudoers есть строки
Код: Выделить всё
## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL 

Разве? А su?

Т.е. sudo для всех - зло морально устарело?

Блин, как же пользователю запретить использование пароля рута в KDE?

Aesculapius писал(а):Блин, как же пользователю запретить использование пароля рута в KDE?

Капитан очевидность спешит на помощь. "Чтобы запретить пользователю использование пароля рута, не говорите пользователю какой пароль у рута."

Aesculapius писал(а):Т.е. sudo для всех - зло морально устарело?

Вообще то наоборот, sudo был разработан как замена для su, для su нужен рутовый пароль, и если пользователю нужно что-то делать от рута, вы вынуждены сообщить ему рутовый пароль. Но если он знает рутовый пароль, то он может делать все. А судо позволяет дать права на выполнение конкретных команд, и можно настроить гибко.

Aesculapius писал(а):
sokoloff писал(а):Пользователи из группы wheel могут запускать программы через sudo.
Разве? А su?

А причем тут su? Su требует пароля рута, а sudo пароль пользователя. Если мы хотим дать пользователю возможность запускать программы с рутовыми правами, добавляем его в whell, не хотим - не добавляем. А рутовый пароль пользователю знать не нужно. Но уж если мы сказали пользователю рутовый пароль, то мы ССЗБ, и линух здесь ни при чем.
Вообще давайте не валить разные ситуации в кучу. Вот к примеру:

Сервер, скажем почтовый - вообще не создаем для пользователя учетки, используем виртуальные ящики. Нет пользователей - нет проблем. Все настройки выполняют админы, для них заведены учетки, и они входят в группу whell, т.о. они могут админить этот комп, но они не знают рутового пароля. При увольнении админа, мы только лочим его учетку, т.к. он не знал рутового пароля, не надо проводить авральную смену этого пароля. Хотим более гибко настроить права для админов, исключаем админа из whell, и через sudoers даем ему права на выполнение только некоторых команд.
Рабочий компьютер пользователя в корпоративной сети. Пользователь не должен сам ставить программы и менять настройки. Создаем пользователя, он не входит в группу whell, т.о. не может ничего поправить вне своей домашней директории. Ситуация с админами аналогична предыдущей.
Домашний комп. Пользователь сам админит свой комп, сам ставит программы, и.т.д. Соответственно он должен входить в группу whell. Если есть второй пользователь и мы не хотим давать ему возможности изменять что-то, то создаем еще одого пользователя и не включаем его в whell.

sokoloff писал(а):Капитан очевидность спешит на помощь. "Чтобы запретить пользователю использование пароля рута, не говорите пользователю какой пароль у рута.

Мда, очевидность... Учитывая то что этот пользователь я в единственном числе. Да, про пароль я оговорился, имея ввиду команду su.
Вы окончательно запутали. http://www.opennet.ru/base/sys/su_wheel.txt.html

sokoloff писал(а):Домашний комп. Пользователь сам админит свой комп, сам ставит программы, и.т.д. Соответственно он должен входить в группу whell. Если есть второй пользователь и мы не хотим давать ему возможности изменять что-то, то создаем еще одого пользователя и не включаем его в whell.

Вот это очевидность! И не надо таких колкостей. Я просто хочу разобраться.
ТАК ВОТ Я ОБ ЭТОМ СПРАШИВАЮ!!! В РОСЕ по умолчанию первый пользователь входит в группу wheel (если его удалить из wheel то толку мало, да, sudo недоступно, а su по-прежнему да), ну и замечательно. Создаем нового пользователя (по умолчанию он не входит в группу wheel, если его конечно не впихнуть туда САМОСТОЯТЕЛЬНО) sudo ему недоступно, но su доступно. Так вот я и хочу второму пользователю перекрыть "кислород" к команде su как через терминал так через графическую оболочку. В предыдущем посте я указал на то что в терминале второму пользователю доступ к su закрыт, но через настройки рабочего стола и далее на выбор, например жму на "настройки персонального файервола" предлагается ввести пароль root, ввел и вошел.
Так вот и вопрос:
ТАК ПОЧЕМУ В ТЕРМИНАЛЕ ПОСЛЕ ВВОДА РУТОВСКОГО ПАРОЛЯ ВЫСКАКИВАЕТ

Код: Выделить всё

$ su -
Пароль: 
su: Доступ запрещен

, А В ГРАФЕ - ЗАХОДИ ДАРАГОЙ, ЧУЙСТВУЙ СЕБЯ КАК ДОМА??? ПОЧЕМУ ТОЛЬКО В КОНСОЛИ ОГРАНИЧЕН, ЁПТЬ? ЧТО ЗА ИЗБИРАТЕЛЬНЫЙ ПОДХОД? И КАК НАФИГ ЭТО ГРАНТИРОВАННЫЙ ДОСТУП ВЫРУБИТЬ ВООБЩЕ?

там в настройки kdesu лезьть уже надо. нет? потому как разный тип приложений. тут про kdesu читать надо. и админские штучки будут недоступны. а вообще возьми и выставь в права на прогу. точнее на доступ к ней. и укажи только одного пользователя остальным запрет. разве это нельзя сделать в графике. кстати должен быть файл запрета доступа к программам на подобие /etc/sudoers/...

slavyanix писал(а):там в настройки kdesu лезьть уже надо. нет? потому как разный тип приложений. тут про kdesu читать надо. и админские штучки будут недоступны. а вообще возьми и выставь в права на прогу. точнее на доступ к ней. и укажи только одного пользователя остальным запрет. разве это нельзя сделать в графике. кстати должен быть файл запрета доступа к программам на подобие /etc/sudoers/...

Я бы сделал, но я не знаю как, поэтому спрашиваю. Я не понял, на каждую прогу что ли?
Почему в РОСЕ так? Пользовался Fedora, SUSE, Ubuntu, Altlinux, Calculate ... проблем с этим не было, никуда не надо было лезть.

https://docs.kde.org/stable/ru/kde-runt ... /kdesu.pdf вот инструкция на русском. сам еще не дочитал. просто предлагаю ознакомиться.

что то не то. там только общие понятия.

slavyanix писал(а):что то не то. там только общие понятия.

Да это я уже читал. Ни о чём.
Объясни пожалуйста вот такую фигню, почему в draksec, например выбираешь допустим ROSA Update и запуск от имени суперпользователя, то в дальнейшем требует пароль пользователя, а не рута?
Я не понимаю китайскую логику. Рут так рут юзер так юзер. Что за шахматные комбинации?

Aesculapius писал(а):
sokoloff писал(а):Домашний комп. Пользователь сам админит свой комп, сам ставит программы, и.т.д. Соответственно он должен входить в группу whell. Если есть второй пользователь и мы не хотим давать ему возможности изменять что-то, то создаем еще одого пользователя и не включаем его в whell.
Вот это очевидность! И не надо таких колкостей.

Прошу прощения, если это прозвучало как колкость, ничего такого не хотел сказать. Единственное где была некоторая фривольность, это первый пункт, но я его специально оформил как шутку с КО. Еще раз, никого обидеть не хотел.

Не могли бы Вы расписать чего хотите получить? Я не понимаю чего Вы хотите добиться. И если Вы единственный пользователь, то самое простое не вводить рутовый пароль и все, кто же вас заставит? Но если хотите большего, то:
Хотите запретить su, проще всего залочить рута http://fx-files.ru/archives/679. Нет пароля - не работает su.
Хотите залочить sudo, уберите себя из whell, или поправьте /etc/sudoers
Но если Вы единственный пользователь системы, то Вы должны иметь возможность править настройки, или через su, или через sudo. Иначе как Вы будете ставить программы?

sokoloff писал(а): Прошу прощения, если это прозвучало как колкость, ничего такого не хотел сказать. Единственное где была некоторая фривольность, это первый пункт, но я его специально оформил как шутку с КО. Еще раз, никого обидеть не хотел.

Не могли бы Вы расписать чего хотите получить? Я не понимаю чего Вы хотите добиться. И если Вы единственный пользователь, то самое простое не вводить рутовый пароль и все, кто же вас заставит? Но если хотите большего, то:
Хотите запретить su, проще всего залочить рута http://fx-files.ru/archives/679. Нет пароля - не работает su.
Хотите залочить sudo, уберите себя из whell, или поправьте /etc/sudoers
Но если Вы единственный пользователь системы, то Вы должны иметь возможность править настройки, или через su, или через sudo. Иначе как Вы будете ставить программы?

Вы должно быть шутите запретить su, sudo - да su - никогда.
Хорошо, попробую ещё раз, намного проще. На данный момент имеется два пользователя (в том числе суперюзер, но это не в счёт, без бога никак):
1-ый пользователь, который изначально состоит в группе wheel (тот что в конце установки создан);
2-ой пользователь, не состоящий в группе wheel (по умолчанию), его создал позже.
Так вот, я хочу второму пользователю чтобы команды su и sudo были недоступны (разумеется sudo ему недоступно) и соответственно выполнение каких-то действий требующих права суперюзера недоступны:

Код: Выделить всё

$ su -
Пароль:
su: Доступ запрещен

Короче, например, второй пользователь хочет установить какую-то прогу из репы или как-то ещё через консоль и графу, а ему раз и облом, извини чувак, но su и sudo только для избранных то бишь первому юзеру доступно, гуляй.

Aesculapius писал(а):Хорошо, попробую ещё раз, намного проще. На данный момент имеется два пользователя (в том числе суперюзер, но это не в счёт, без бога никак):
1-ый пользователь, который изначально состоит в группе wheel (тот что в конце установки создан);
2-ой пользователь, не состоящий в группе wheel (по умолчанию), его создал позже.

А второй пользователь это вы, или другой человек?

sokoloff писал(а):А второй пользователь это вы, или другой человек?

Мой брат.

раньше читал но уже не помню точно. был файл в /etc где можно прописать пользователя и программы доступные ему на выполнение. а не проще через права на файл обрубить. есть же возможность допустить только определенных лиц на возможность запуска. например ту же su или sudo запретить к выполнению всем кроме пользователя.

slavyanix писал(а):раньше читал но уже не помню точно. был файл в /etc где можно прописать пользователя и программы доступные ему на выполнение. а не проще через права на файл обрубить. есть же возможность допустить только определенных лиц на возможность запуска. например ту же su или sudo запретить к выполнению всем кроме пользователя.

По поводу sudo, а разве недостаточно его убрать из wheel?
А вот насчёт su извините сир я чё та не догоняю. Я второму пользователю перекрыл путь к su, но только через консоль, а как через графическую оболочку то?
Здесь всё сложно - http://www.rhd.ru/docs/manuals/enterpri ... leges.html. Да и то ли вообще?

кстати а не прроще ли просто организовать запрет для пользователя на уровне прав доступа к файлу. грубо говоря рутом выставить права на su так что бы её могли запускать только члены определенной группы, например wheel и все все проблемы отпадут сразу так как второй пользователь не будет иметь право даже на чтение данного файла. как вам такое решение? быстро и элегантно. все таки право доступа к файлам это первое что отличает юникс системы от остальных, я имею ввиду такой набор прав доступа, потому как в винде тоже есть права доступа но не такие как в линукс.

slavyanix писал(а):кстати а не прроще ли просто организовать запрет для пользователя на уровне прав доступа к файлу. грубо говоря рутом выставить права на su так что бы её могли запускать только члены определенной группы, например wheel и все все проблемы отпадут сразу так как второй пользователь не будет иметь право даже на чтение данного файла. как вам такое решение? быстро и элегантно.

Мне не надо конкретно для файла. Мне нужно вообще второму пользователю полностью ограничить доступ к учётной записи root.

Хотя он может сделать и так

Код: Выделить всё

sshroot@$(hostname -f)

если эта команда понятно РОСЕ.

да может, но в росе стоит запрет на логин в рут через сеть. а тут фактически эмуляция тоннеля ssh. хоть и на локальной машине. а в настройках стоит запрет логиниться руту по сети. хотя могу и ошибаться.

Похоже я стал заложником собственных мыслей доселе никому непонятных.
Слышь, Aesculapius, вали отсюда! А!? Нытье сплошное.

ха ха. твой брат вроде не так продвинут в этом или я ошибаюсь. тогда хватит и запрета на запуск su / sudo. а если продвинут то уже ничего не поможет , разве что отключение компа от питания)))

Aesculapius писал(а):
sokoloff писал(а):А второй пользователь это вы, или другой человек?
Мой брат.

А почему нельзя сменить пароль рута, и не говорить его брату?

slavyanix писал(а):тогда хватит и запрета на запуск su / sudo.

Такое впечатление что кроме РОСЫ других Линукс-дистрибутивов не существует.
Какими способами Вы устанавливаете обновление или что-то из репозитория именно в РОСЕ? Есть два способа или я ошибаюсь? Во всяком случае я знаю только эти и мне хватает:
Обновление
1. Через консоль

Код: Выделить всё

$ su -
# urpmi --auto-update

2.

Код: Выделить всё

Настройки рабочего стола -> Обновление системы (без пароля учётной записи root, если через draksec настроить обновление с запросом рута то всё равно запрашивает пароля пользователя)

Установка приложений из репозитория
1. Через консоль

Код: Выделить всё

$ su -
# urpmi ...

2.

Код: Выделить всё

Настройки рабочего стола -> Установка и удаления программ (требуется пароль учётной записи root иногда нет)

3.

Код: Выделить всё

SimpleWelcome -> Установка и удаления программ (требуется пароль учётной записи root иногда нет)

sokoloff писал(а):А почему нельзя сменить пароль рута, и не говорить его брату?

Он его не знает.
У Вас какая-то особая РОСА?
Смотри п. akdengi http://forum.rosalab.ru/viewtopic.php?f ... 3bb#p25699. Я пользовался Федорой, но никаких грантирований прав root на пять минут или другое время там не было, если только специально настроить такую фичу. В чём её смысл? Вот эта фича мне абсолютна непонятна и на фиг она мне нужна, в утиль её.

Похоже я отключил срок кэширования проверки подлинности в config-util и config-util-user:

Код: Выделить всё

#auth sufficient pam_timestamp.so
#session optional pam_timestamp.so

смысл в том, что если подряд несколько действий от рута, вводить пароль только один раз.

keleg писал(а):смысл в том, что если подряд несколько действий от рута, вводить пароль только один раз.

Да, я понял смысл, только такой смысл мне не нужен. Мне не трудно вводить пароль учётной записи root каждый раз т.к. это делать приходиться не часто. Я бы предпочел бы чтобы такого по умолчанию не было. Но разработчикам НТЦ виднее, они ведь стараются угодить всем.
Благодаря вам я более или менее разобрался. Но мне не понятен ещё один момент, почему такая чехарда с паролями в draksec?
Спасибо.

Вы опишите ситуацию, которая вам не нравится и мы попробуем подсказать, как она решается в Росе.

я так понял он имеет ввиду повторный запуск программы утановки без запроса рутового пароля. но проблемы то нет. первый раз он то спросит, а его брат пароля не знает. полагаю это и есть объяснение. предложу только зайти под учетную запись брата и попробовать там запустить установку программ и если пароль рута спросит, то проблема решена.

slavyanix писал(а):я так понял он имеет ввиду повторный запуск программы утановки без запроса рутового пароля. но проблемы то нет. первый раз он то спросит, а его брат пароля не знает. полагаю это и есть объяснение. предложу только зайти под учетную запись брата и попробовать там запустить установку программ и если пароль рута спросит, то проблема решена.

Я же выше написал об этом.
Уважаемый keleg, Вы же поняли в чём фишка, объясните пожалуйста slavyanix про грантирование прав, как и когда оно срабатывает и что не обязательно его вводить первый, второй ... раз и при этом время от времени ненадолго появляется доступ к приложениям без рута.
Но я по ходу решил это, теперь по-любому его придется вводить каждый раз снова и снова, грантирование отключено, если конечно я всё правильно сделал.

keleg писал(а):Вы опишите ситуацию, которая вам не нравится и мы попробуем подсказать, как она решается в Росе.

По поводу draksec. Например, если выбрать вариант "пароль пользователя root" для ROSA Update (да и не только для обновления) то вместо запроса рута почему-то предлагается ввести пароль обычного пользователя? Ввёл и всё доступ разрешён.

Aesculapius писал(а):
keleg писал(а):Вы опишите ситуацию, которая вам не нравится и мы попробуем подсказать, как она решается в Росе.
По поводу draksec. Например, если выбрать вариант "пароль пользователя root" для ROSA Update (да и не только для обновления) то вместо запроса рута почему-то предлагается ввести пароль обычного пользователя? Ввёл и всё доступ разрешён.

Скорее всего это работает только для пользователя из группы wheel, которому в любом случае доступно sudo.

keleg писал(а):Скорее всего это работает только для пользователя из группы wheel, которому в любом случае доступно sudo.

Т.е. для группы wheel через sudo, а для остальных только через su. Так?

Не совсем. Пользователь из группы wheel (это, по умолчанию, первый пользователь, который поставил систему) считается почти администратором т.к. он всегда может делать административные действия через sudo - под своим паролем или под root - c админским.
Это сделано в основном для переходящих с убунты, где именно такая схема авторизации. Получается для первого пользователя смешанная схема - и как в редхат-мандриве, и как в убунте работает.
Обычный же пользователь, не из группы wheel без входа под рутом никаких админских действий делать не может, ведь sudo ему недоступно.

Если хотите вырубить для пользователя sudo - уберите его из группы wheel. Второй и последующие пользователи, насколько помню, автоматически в нее не включаются и для них действуют более строгие правила - без sudo.

keleg писал(а):Не совсем. Пользователь из группы wheel (это, по умолчанию, первый пользователь, который поставил систему) считается почти администратором т.к. он всегда может делать административные действия через sudo - под своим паролем или под root - c админским.
Это сделано в основном для переходящих с убунты, где именно такая схема авторизации. Получается для первого пользователя смешанная схема - и как в редхат-мандриве, и как в убунте работает.
Обычный же пользователь, не из группы wheel без входа под рутом никаких админских действий делать не может, ведь sudo ему недоступно.

Если хотите вырубить для пользователя sudo - уберите его из группы wheel. Второй и последующие пользователи, насколько помню, автоматически в нее не включаются и для них действуют более строгие правила - без sudo.

Про wheel я понял. В данном случае меня интересует конкретно MandrivaUpdate (или как там, подзабыл). В данном случае только два варианта: без пароля или с паролем текущего пользователя, ну никак не получается через root. Вил не вил, а все равно пароль пользователя. Видимо так задумано.

Флейм почищен. Давайте о вещах, а не о людях.

keleg писал(а):Флейм почищен. Давайте о вещах, а не о людях.

Спасибо! Хватит! Я не Сизиф!

ROSA Forum

Root

Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root

Re: Root