[Çözüldü] Kullanıcı ve Root şifrelerini ayırmak

[onuryorukoglu]

Arkadaşlar merhaba. Ben Ubuntu 12.10 kullanıcısıyım. Sorum şu; Ben bilgisayarı açtığımda oturum açılırken şifremi giriyorum ve öyle açılıyor, yani kullanıcı şifremden bahsediyorum. Bu şifre diyelimki 12345 olsun örnek olarak. Bir de root olmak istediğimde sudo su yazıp bu parolayı girdiğimde root oluyorum. Ama benim istediğim kullanıcı şifresini 12345 olarak kullanmak, root parolasını farklı bir şey yapmak. Yani 12345 şifresini bilenlerin sudo su yazdığında root olamasını engellemek istiyorum, umarım anlatabilmişimdir. Şimdiden teşekkürler, herkese kolay gelsin.

[heartsmagic]

Bu yapılabiliyor mu açıkçası bilmiyorum, fakat senin isteğinde zaten sakat bir mesele var. sudo yetkisi olan kullanıcı zaten sistemde istediği şeyi yapabilecek durumdadır. Kısacası isterse tüm sistemi allak bullak eder, istediği yerden istediği şeyi siler, istediği şeyi kurar/kaldırır hatta tüm kök dizini bile uçurur. Bu sadece senin "bildiklerini söylediğin" sudo yetkisi olan kullanıcının parolası ile olur.

Kısacası sen root'a parola verdiğinde sudo ile sana bu parolayı sorsa bile (ki öyle olmaz, sudo'nun mantığına ters) isteyen zaten root kullanıcısına geçmeden de bunu yapabilir. Dediğim gibi, kullanıcı parolanı bilmeleri yeterli olur bu durumda.

Yapmak istediğin şeyi:

1. Parolanı kimseye söylememekle,
2. Misafir oturumu kullanarak gerçekleştirebilirsin.

[if]

@onuryorukoglu, su komutu, bir komutu başka bir kullanıcı adı ve grubyla çalıştırmak için kullanılır. Komut

Kod Seç Genişlet

su kullanıdı_adı şeklinde kullanılır ama

Kod Seç Genişlet

su olarak verildiğinde root kullanıcısı olarak işlem yapıyor sayılırsınız.

sudo komutu ise kısıtlı haklara sahip bir kullanıcının bir komutu süper kullanıcı ya da başka bir kullanıcı olarak çalıştırmasını sağlar.

Kabaca yaptıkları işler bunlar. Forumda ikisi arasındaki farkın anlatıldığı bir ileti olacak hatırladığım kadarıyla.

Ubuntu, öntanımlı olarak root hesabının şifresini kitlemiştir. Yani direk

Kod Seç Genişlet

su kulanamayacağınız anlamına gelir.

Her sudo komutu işletildiğinde, komutu işleten kullanıcıdan şifresini ister. Bu şifre /etc/shadow içinde şifrelenmiş şekilde tutulur ve /etc/sudoers dosyası da kullanıcının ne yapıp ne yapamayacağını belirler. sudo'yu işlettiğinizde bu iki dosya 'okunur'. Bir de etc/passowrd dosyası var ki bunda da kullanıcı hesabına ait kimi bilgiler bulunur (hangi gruba ait vs.)

Şu durumda sizin yapmak istediğiniz giriş yaparken 'okunan' yukarıdaki üç dosya ile,

Kod Seç Genişlet

sudo su kullanırken okunan üç dosya farklı olsun gibi bir şey ki mümkün değil:)

Eksik bilgim ve dilimin döndüğünce anlatmaya çalıştım ama kafanızı karıştırmış olabilirim.

[onuryorukoglu]

Anladım arkadaşlar. Teşekkür ediyorum yardımınız için. Peki şöyle sorayım, 10 tane bilgisayar düşünün Ubuntu kurulu, bunları her gün farklı öğrenciler kullanıyor ve kullanıcı parolasını herkes biliyor 12345 diye mesela. Ama benim yapmak istediğim mesela Ubuntu Software Centerdan bir şey indirmelerini kısıtlamak, ve ya bu tarz şeyler işte. Bu mümkünmüdür?

[heartsmagic]

Eğer misafir oturumu kullandırtmak istemiyorsan bir kullanıcı daha açarsın ve ona sudo hakkı vermezsin. Böylece kurulum vs. gibi işlemleri yapamazlar. Kurulumda ayarlanan sudo yetkisine sahip kullancı ise bir nevi senin istediğin şey olur. Gerektiğinde o kullanıcı ile giriş yapılıp kurulum vs. işlemler yapılabilir. Hatta girişe bile gerek kalmaz azıcık SSh bilgisi ve uçbirim marifetiyle uzaktan bile yapılabilir bütün işler, kimsenin ruhu bile duymaz.

Fakat, bu sistemler okulda kullanılacaksa ve yönetimi vs. gerekiyorsa sanırım o iş için uygulamalar da mevcuttu. Edubuntu ile geliyordu zamanında yanlış hatırlamıyorsam. Şu an Edubuntu olarak bir dağıtım yok galiba ancak uygulamaları kurulabiliyor sanırım. Fakat ne yazık ki bu uygulamalar hakkında net bilgiye sahip değilim.

Azıcık baktım da sitesi hâlâ aktif gibi ve 12.04 yönergeleri mevcut:
http://www.edubuntu.org/documentation/12.04/installation-guide

Kurulum çok zor değil ancak LTSP olayı falan gerekir mi bilemiyorum. Terminal sunucusu değil de sanki normal bilgisayar gibi bahsedilen makineler.

Benim hatırladığım uygulama ise iTALC imiş. Ekran görüntüleri şurada:
http://italc.sourceforge.net/screenshots.php

Tabi bütün bunları bir araya getirmek de biraz araştırma ve zaman alabilir. Edubuntu kurulumu + italc meselesi meselâ.

[ekremsenturk]

11.04 sürümünde, grup'lar arasından kullanıcı, "admin" grubundan çıkarıldığında, sudo ile işlem yapabiliyor, ancak diğer disk'e erişim ve kurulum/güncellemeler gibi işlemler devre dışı kalıyordu. 11.04'ün kullanıcı ve grup'lar yönetimi biraz diğerlerinden farklıydı sanıyorum. Diğer kullandığım Ubuntu sürümleride böyle bir düzenlemeye gereklilik duymadığım için, kurcalamamıştım. Bu tür yetki değişimleri için, ikinci bir normal yetkilere sahip kullanıcı hesabı hazır bulunmuyorsa, değişiklikler gerekli görüldüğünde düzeltilemiyor.

[onuryorukoglu]

Hocam çok teşekkürler yardımın için. Peki Edubuntu veya önerdiğin programa gerek duymadan, şu an var olan tek kullanıcı hesabının parolasını değiştirsem ve o benim yönetici hesabım olsa root ile yapılacak işlemleri oradan yapsam, öğrenciler için de yeni bir kullanıcı hesabı açsam ve ona root yetkisi vermesem olur mu ? Yapabilirmiyim bunu ? nasıl root yetkisi olmayan bir kullanıcı ekleyebilirim ?

Eğer misafir oturumu kullandırtmak istemiyorsan bir kullanıcı daha açarsın ve ona sudo hakkı vermezsin. Böylece kurulum vs. gibi işlemleri yapamazlar. Kurulumda ayarlanan sudo yetkisine sahip kullancı ise bir nevi senin istediğin şey olur. Gerektiğinde o kullanıcı ile giriş yapılıp kurulum vs. işlemler yapılabilir. Hatta girişe bile gerek kalmaz azıcık SSh bilgisi ve uçbirim marifetiyle uzaktan bile yapılabilir bütün işler, kimsenin ruhu bile duymaz.

Fakat, bu sistemler okulda kullanılacaksa ve yönetimi vs. gerekiyorsa sanırım o iş için uygulamalar da mevcuttu. Edubuntu ile geliyordu zamanında yanlış hatırlamıyorsam. Şu an Edubuntu olarak bir dağıtım yok galiba ancak uygulamaları kurulabiliyor sanırım. Fakat ne yazık ki bu uygulamalar hakkında net bilgiye sahip değilim.

Azıcık baktım da sitesi hâlâ aktif gibi ve 12.04 yönergeleri mevcut:
http://www.edubuntu.org/documentation/12.04/installation-guide

Kurulum çok zor değil ancak LTSP olayı falan gerekir mi bilemiyorum. Terminal sunucusu değil de sanki normal bilgisayar gibi bahsedilen makineler.

Benim hatırladığım uygulama ise iTALC imiş. Ekran görüntüleri şurada:
http://italc.sourceforge.net/screenshots.php

Tabi bütün bunları bir araya getirmek de biraz araştırma ve zaman alabilir. Edubuntu kurulumu + italc meselesi meselâ.

Mesaj tekrarı yüzünden mesajınız birleştirildi. Bu mesajın gönderim tarihi : 16 Aralık 2012 - 01:36:03
Bir de şu geldi aklıma, software centerdan bir şey indirileceği veya yüklü program kaldırılacağı zaman root şifresi istemiyorki, kullanıcı parolasını istiyor sanırım. E öğrenciler o hesabın parolasını bildikleri için yine de bir şey kurup kaldırabilirler bence öyle değil mi ? benim istediğim olmuyor o zaman.

[decent]

Bahsedildiği gibi istenilen sayıda standart kullanıcı ile bu iş çözülebilir.
Yazılım yükleme de dahil, yönetici parolası gereken hiç bir şey yapılamayacaktır.
Mevcut yönetici hesaplarının parolalarını da -daha önceden bilindiği için- değiştirmek gerekiyor.

[sayz]

Bu yapılabiliyor mu açıkçası bilmiyorum, fakat senin isteğinde zaten sakat bir mesele var. sudo yetkisi olan kullanıcı zaten sistemde istediği şeyi yapabilecek durumdadır. Kısacası isterse tüm sistemi allak bullak eder, istediği yerden istediği şeyi siler, istediği şeyi kurar/kaldırır hatta tüm kök dizini bile uçurur. Bu sadece senin "bildiklerini söylediğin" sudo yetkisi olan kullanıcının parolası ile olur.

Kısacası sen root'a parola verdiğinde sudo ile sana bu parolayı sorsa bile (ki öyle olmaz, sudo'nun mantığına ters) isteyen zaten root kullanıcısına geçmeden de bunu yapabilir. Dediğim gibi, kullanıcı parolanı bilmeleri yeterli olur bu durumda.

Yapmak istediğin şeyi:

1. Parolanı kimseye söylememekle,
2. Misafir oturumu kullanarak gerçekleştirebilirsin.

@heartsmagic root parolası ile normal kullanıcının parolasının farklı olmasını kastediyorsan bu yapılabiliyor.
@onur konsolu açıp

Kod Seç Genişlet

sudo passwd root
komutunu girdikten sonra sistem normal kullanıcının parolasını soracak, o parolayı girdikten sonra sana root için 2 kere yeni parolayı soracak oraya root için istediğin parolayı girersen root'un parolası farklı olur. aşağıdaki gibi bir şey:

Kod Seç Genişlet

sayz@sanal-ubuntu:~$ sudo passwd root
[sudo] password for sayz:
Yeni parolayı girin:
Yeni parolayı tekrar girin:

[cagriemer]

@sayz root ayri bir kullanici oldugu icin dediginiz gibi ona ayri bir sifre atamak mumkun. @onuryorukoglu'nun merak ettigi sudoers'taki -varsayilani admin grubuydu 12.04 ile sudo oldu- bir kullaniciya sudo'ya kendini tanitmasi icin kullanici sifresinden farkli bir sifre verilip verilemeyecegi.

Acikcasi ben de dogru yontemin standart bir ogrenci kullanicisi acmak oldugunu dusunuyorum. Fakat bu ise uygun olmasa da iki farkli sifrenin uygulanabilirligi var mi merak ettim.

[heartsmagic]

@sayz, root'a parola atanabiliyor, onunla ayrıca giriş yapılabiliyor evet. Fakat sen root'a parola atasan bile normal kullanıcında:

Kod Seç Genişlet

sudo -i
ile veya

Kod Seç Genişlet

sudo su -
ile parola sordurabiliyor musun root için?

@onuryorukoglu, son yorumumda olduğu gibi diğer arkadaşların da katıldığı üzere öğrenciler için normal bir hesap açabilirsin. @decent tarif etmiş zaten. O açılan hesabı admin grubuna almazsan zaten sudo yetkisi falan olmayacaktır. Kısacası yeni bir hesap açıp hiç dokunmayacaksın. Bu türde bir hesabın uygulama kurup kaldıramıyor olması gerekiyor normal şartlar altında.

[onuryorukoglu]

Arkadaşlar gerçekten hepinize çok teşekkür ediyorum. Hepinizin dediği ortak nokta olan yeni bir hesap ile sorun çözüldü. Çok teşekkürler ve herkese iyi çalışmalar.

[if]

cozuldukonusu

[if]

rootpw

If set, sudo will prompt for the root password instead of the password of the invoking user. This flag is off by default.

[1]

Sanırım bu @onuryorukoglu'nun istediğini gerçekleştiriyor. Yorumumda saçmalamışım. Yapılması gereken /etc/sudoers'a

Kod Seç Genişlet

Defaults rootpw eklemek. /etc/sudoers'ı açmak için

Kod Seç Genişlet

export EDITOR="nano"
sudo -E visudo

[1] http://linux.die.net/man/5/sudoers

[heartsmagic]

Evet, sudo ile root parolasını sordurmak mümkünmüş cidden. Acaba bu şekilde sistemde yapılması gereken tüm işlerde de root parolası mı isteniyor? Denemek lazım bir ara tabi.