English Polish
Gaining Privileges Uzyskiwanie Uprawnień
System administrators, and in some cases users, need to perform certain tasks with administrative access. Accessing the system as the `root` user is potentially dangerous and can lead to widespread damage to the system and data. This chapter covers ways to gain administrative privileges using setuid programs such as [command]#su# and [command]#sudo#. These programs allow specific users to perform tasks which would normally be available only to the `root` user while maintaining a higher level of control and system security. Administratorzy systemu, a w niektórych przypadkach użytkownicy, muszą wykonywać określone zadania z dostępem administracyjnym. Dostęp do systemu za pomocą użytkownika `root` jest potencjalnie niebezpieczny i może prowadzić do rozległych uszkodzeń systemu i danych. W tym rozdziale omówiono sposoby uzyskiwania uprawnień administracyjnych za pomocą programów setuid takich jak [command]#su# i [command]#sudo#. Programy te pozwalają konkretnym użytkownikom na wykonanie zadań, które normalnie byłyby dostępne jedynie dla użytkownika `root`, jednocześnie zachowując wyższy poziom kontroli i bezpieczeństwa systemu.
See the link:++https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/++[Red{nbsp}Hat Enterprise{nbsp}Linux{nbsp}7 Security Guide] for more information on administrative controls, potential dangers, and ways to prevent data loss resulting from improper use of privileged access. Polecamy zapoznać się również z link:++https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/++[Poradnikiem Bezpieczeństwa Red{nbsp}Hat Enterprise{nbsp}Linux{nbsp}7], gdzie znajdziesz dodatkowe informacje na temat mechanizmów zarządzania systemem, potencjalnych zagrożeń oraz sposobów na uniknięcie utraty danych z powodu niepoprawnego użycia uprawnień administratora.
The su Command Polecenie su
When a user executes the [command]#su# command, they are prompted for the `root` password and, after authentication, are given a `root` shell prompt. Gdy użytkownik wywoła polecenie [command]#su#, zostanie poproszony o hasło do konta`root`. Po poprawnym uwierzytelnieniu zostanie uruchomiona linia komend użytkownika `root`.
Once logged in using the [command]#su# command, the user *is* the `root` user and has absolute administrative access to the system. Note that this access is still subject to the restrictions imposed by SELinux, if it is enabled. In addition, once a user has become `root`, it is possible for them to use the [command]#su# command to change to any other user on the system without being prompted for a password. Po zalogowaniu za pomocą komendy [command]#su#, użytkownik *używa* konta `root` i ma pełen dostęp do komputera jako administrator. Warto mieć na uwadze, że dostęp ten wciąż jest limitowany przez ograniczenia narzucane przez program SELinux, o ile jest włączony. Dodatkowo, gdy użytkownik używa konta `root`, może ponownie użyć polecenia [command]#su# aby zalogować się na dowolnego innego użytkownika w systemie bez potrzeby podawania hasła.
Because this program is so powerful, administrators within an organization may want to limit who has access to the command. Z racji możliwości tego programu, zalecane jest aby administratorzy systemowi w ramach swoich organizacji ograniczali dostęp do tej komendy.
One of the simplest ways to do this is to add users to the special administrative group called _wheel_. To do this, type the following command as `root`: Jednym z prostszych sposobów, aby dać użytkownikowi uprawnienia do tej komendy jest dodanie go do specjalnej grupy administratorów zwanej _wheel_. Aby to zrobić, wpisz następujące polecenie jako `root`:
~]# usermod -a -G wheel pass:quotes[_username_]
~]# usermod -a -G wheel pass:quotes[_nazwaUżytkownika_]
In the previous command, replace _username_ with the user name you want to add to the `wheel` group. W powyższym poleceniu zastąp słowo _użytkownik_ nazwą użytkownika, którego chcesz dodać do grupy `wheel`.
You can also use the [application]*Users* settings tool to modify group memberships, as follows. Note that you need administrator privileges to perform this procedure. Możesz również użyć zakładki [application]*Użytkownicy* w ustawieniach systemu aby zarządzać grupami użytkowników. Potrzebujesz do tego uprawnień administratora.
Press the kbd:[Super] key to enter the Activities Overview, type [command]#Users# and then press kbd:[Enter]. The [application]*Users* settings tool appears. The kbd:[Super] key appears in a variety of guises, depending on the keyboard and other hardware, but often as either the Windows or Command key, and typically to the left of the kbd:[Spacebar]. Wciśnij przycisk kbd:[Super] aby otworzyć Podgląd Aktywności, wpisz [command]#Użytkownicy# i wciśnij kbd:[Enter]. Narzędzie [application]*Użytkownicy* zostanie wyświetlone. Przycisk kbd:[Super] ma różny wygląd w zależności od klawiatury, ale zwykle jest to przycisk Windows lub Command, zazwyczaj ulokowany na lewo od kbd:[Spacji].
To enable making changes, click the btn:[Unlock] button, and enter a valid administrator password. Aby umożliwić wprowadzanie zmian, wciśnij przycisk btn:[Odblokuj...] i wpisz prawidłowe hasło administratora.
Click a user icon in the left column to display the user's properties in the right-hand pane. Wybierz ikonę użytkownika z kolumny po lewej stronie, aby wyświetlić jego ustawienia w panelu po prawej stronie.
Change the Account Type from `Standard` to `Administrator`. This will add the user to the `wheel` group. Zmień typ konta ze `Standardowe` na `Administrator`za pomocą suwaka. To doda użytkownika do grupy `wheel`.
See xref:basic-system-configuration/Managing_Users_and_Groups.adoc#s1-users-configui[Managing Users in a Graphical Environment] for more information about the [application]*Users* tool. Zapoznaj się z rozdziałem xref:basic-system-configuration/Managing_Users_and_Groups.adoc#s1-users-configui[Zarządzanie użytkownikami w środowiskach graficznych] aby uzyskać więcej informacji na temat narzędzia [application]*Użytkownicy*.
After you add the desired users to the `wheel` group, it is advisable to only allow these specific users to use the [command]#su# command. To do this, edit the PAM configuration file for [command]#su#, `/etc/pam.d/su`. Open this file in a text editor and uncomment the following line by removing the `#` character: Po dodaniu odpowiednich użytkowników do grupy `wheel`, zaleca się ograniczenie dostępu do komendy [command]#su# tylko do kont z tej grupy. Aby tego dokonać, należy zmodyfikować plik konfiguracji PAM dla komendy [command]#su#, `/etc/pam.d/su`. Otwórz ten plik w edytorze tekstowym i odkomentuj następującą linię poprzez usunięcie znaku `#`:
#auth required pam_wheel.so use_uid
#auth required pam_wheel.so use_uid
This change means that only members of the administrative group `wheel` can switch to another user using the [command]#su# command. Ta zmiana spowoduje, że tylko członkowie grupy administracyjnej `wheel` będą mieli możliwość przełączenia się na inne konto za pomocą polecenia [command]#su#.
Note Uwaga