<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt; font-family: Verdana,Geneva,sans-serif'>
<p>Evgeny Sinelnikov писал 9.11.18 10:52:</p>
<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0"><!-- html ignored --><!-- head ignored --><!-- meta ignored -->
<div dir="auto">...<br />
<div dir="auto">2lav: Кстати, в инсталяторе сейчас никто не спрашивает - будет ли первый пользователь входить в группу wheel или нет. Это не имеет смысла лишать его такой возможности. Иначе он не сможет сделать su-. Но второй пароль рута ему тоже нужен. Иначе возможность запуска su- ему не поможет.</div>
<div dir="auto"> </div>
<div dir="auto">В итоге, возможности не давать ему группу wheel у нас не предусмотрено. Так что это не "первый попавшийся пользователь".</div>
</div>
</blockquote>
<p>Я никогда не знал, и не представляю, как это узнать при установке, в каких группах окажется первосоздаваемый пользователь. В корпоративном сегменте я бы предпочёл его вообще не создавать (но так не даёт инсталлятор), потому что все пользователи должны прилетать из AD.</p>
<p>Как я понимаю, мне хотелось бы иметь группы, размещение в одной из которых пользователю давало бы возможность использовать sudo, а размещение в другой — возможность (без)парольно становиться root.</p>
<p>Может быть, мы просто должны опеределиться с тем, как они должны называться, раз вешать это на wheel вдруг оказалось неправильным (так повелось, что у меня на всех системах именно вхождение в группу wheel разрешает повышать привилегии).</p>
<p>На всякий случай добавлю, что у нас есть проблемы с пакетом sudo и умолчанием в нём, поэтому я поддерживаю изменения, направленные на то, чтобы конфиг sudo требовалось поменьше переделывать после установки системы, а концепция использования sudo была более ясной.</p>
<p><br /></p>
<div>-- <br />
<div class="pre" style="margin: 0; padding: 0; font-family: monospace">С уважением,<br /> Виталий Липатов,<br /> Etersoft</div>
</div>
</body></html>