Який метод використовувати для надання судо

13

Яка різниця між додаванням користувача до /etc/sudoersта usermod -a -G sudo? Який метод слід використовувати для надання судо?

ubuntu  sudo 
Sonique
джерело
6
Для Ubuntu вам слід дуже категорично уникати редагування /etc/sudoersза будь-яких умов. Замість цього додайте у /etc/sudoers.dкаталог фрагменти конфігурації . Використання папки фрагментів полегшує оновлення, оскільки ви змінили конфіле.
Зоредаче
@Zoredache - відмінний момент. Вам байдуже, якщо я додам це до своєї відповіді? Я не хочу брати за це кредити, але ця порада повинна відповісти десь на випадок, якщо боги-коментарі з якихось причин зводять це.
EEAA
2
@EEAA, я надаю вам дозвіл на використання вищезазначеного та будь-які інші коментарі, які я публікую, щоб об'єднатись у фактичні відповіді. Я додаю коментарі, тому що я занадто ледачий / зайнятий, щоб додати повну відповідь, але не проти, якщо люди приймуть мої коментарі та інтегрують їх у повну гарну відповідь.
Зоредаче

Відповіді:

19

Якщо ви можете цього уникнути, ніколи не надайте пільги sudo окремим користувачам. Завжди надайте групі привілеї, а потім додайте користувачів до цієї групи.

Для серверів, що базуються на ubuntu, замість додавання рядків до них /etc/sudoersдодайте фрагменти конфігураційного файлу /etc/sudoers.d. Це гнучкіше, легше зрозуміти, більш стійке до оновлення та краще працює із системами, керованими системами управління конфігурацією.

ПРИМІТКА: ніколи не редагуйте /etc/sudoersбезпосередньо. Натомість використовуйте visudo, що буде перевіряти синтаксис ваших змін, не даючи вам порушити конфігурацію sudo з недійсним синтаксисом.

EEAA
джерело
чому б не додати групу до /etc/sudoers?
Flak DiNenno
1
@FlakDiNenno - правильно, саме це я і запропонував.
EEAA
а-а-а ... я думав, ти маєш на увазіusermod -a -G sudo
Flak DiNenno
+1 за попередження про використання visudo замість прямого редагування
Flak DiNenno
Хороший момент о visudo. Деякі люди не розуміють, що є причина, яка /etc/sudoersпозначена як лише для читання.
ub3rst4r
9

Я щойно знайшов цей маленький ласощі ... Ви, здається, вам потрібно бути особливо обережним з використанням -Gопції в Ubuntu, зокрема в комбінованому -gваріанті. Так:

  1. Використовуйте usermod -aGдля додавання користувачів до групи.
  2. Тоді, як @EEAA запропонував , додайте групу до файлу / etc / sudoers за допомогою $ sudovisudoкоманди (автоматично викликає привілейований редактор при перевірці синтаксису).

Ось інформація про -aGпараметр Ubuntu, взята звідси http://ubuntuforums.org/showthread.php?t=1240477 :

"Я читаю Wiley" Linux Command Line and Scripting Bible " - і вони сказали, що usermod -G" додає "групу до будь-якого облікового запису користувача, який ви змінюєте. Я виявив, що це неправдиво в Ubuntu, не знаю, чи просто він відрізняється в інших дистрибутивах чи помилках у книзі. Це видаляє вас із КОЖНОЇ іншої групи, до якої ви належите, за винятком групи користувачів за замовчуванням (змінена параметром -g). Мені вдалося видалити себе з групи адміністратора і більше не міг нічого судо. Дякую добру за режим відновлення ... '

Правильний варіант - usermod -aG . Урок засвоєний ...

Флак ДіНенно
джерело
2
Чи можна людям надавати люб’язність, щоб надати дещо конструктивну критику. тіа.
Flak DiNenno
Я не відповідав вам, але ваша "відповідь" насправді не відповідає на поставлене запитання. Це досить суворий веб-сайт із питань запитання, ми, як правило, очікуємо, що відповіді будуть безпосередньо спрямовані на поставлене питання. До речі, я знаю, ви дещо вирішуєте це питання, але ваша відповідь, мабуть, найбільше говорить про те, що сказав ЄЕА, але попередити про цю дивну вигадку.
Зоредаче
@Zoredache дякую, що знайшли час. Чи не в кроці 1 і 2 чітко даються вказівки щодо "кращого способу надання судового"? Про що запитувала ОП?
Flak DiNenno
1

Ви не кажете нам, наскільки велике ваше середовище, але якщо це більше однієї машини, ви також можете розглянути можливість налаштування sudoза допомогою LDAP s альтернативою локальному редагуванню судерів ( visudoабо методом /etc/sudoers.dфрагментів).

Конфігурація LDAP - це добре перевірений спосіб переконатися, що декілька машин мають однакову sudoконфігурацію, і являє собою приємне єдине середовище (з центральним управлінням важливого механізму авторизації). Як бонус, якщо ви вже використовуєте LDAP (або AD) для аутентифікації / авторизації у вашому оточенні, ви можете скористатися наявною інфраструктурою (а якщо цього не потрібно, то серйозно розглянути це - централізація має багато переваг).

Все, про що люди вже говорили в інших відповідях про створення авторизованих груп, все ще стоїть - це простіше, коли ви збільшуєте масштаби, щоб надати привілеї групі та керувати членством у групі, ніж це стосуватися управління правами для окремих користувачів.

voretaq7
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.