Qual método usar para conceder sudo

Navegue suas respostas
13

Qual é a diferença entre adicionar um usuário a /etc/sudoers e usermod -a -G sudo ? Qual método deve ser usado para conceder sudo?

    
por Sonique 10.06.2014 / 21:34

3 respostas

19

Se você puder evitá-lo, nunca conceda privilégios de sudo a usuários individuais. Sempre conceda privilégios a um grupo e adicione usuários a esse grupo.

Para servidores baseados em Ubuntu, em vez de adicionar linhas a /etc/sudoers , adicione fragmentos de arquivos de configuração em /etc/sudoers.d . Isso é mais flexível, mais fácil de entender, mais resiliente diante de atualizações e funciona melhor com sistemas gerenciados por sistemas de gerenciamento de configuração.

NOTA: nunca edite /etc/sudoers diretamente. Em vez disso, use visudo , que executará a verificação de sintaxe nas suas edições, evitando que você quebre sua configuração de sudo com uma sintaxe inválida.

    
por 10.06.2014 / 21:39
9

Acabei de encontrar este pequeno boato lá fora ... parece que você precisa ter cuidado especial ao usar a opção -G no Ubuntu, em particular na combinação -g opção. Então:

  1. Use usermod -aG para adicionar o (s) usuário (s) a um grupo.
  2. Em seguida, como sugerido pelo @EEAA , adicione o grupo ao arquivo / etc / sudoers usando o comando $ sudo visudo ( chama automaticamente um editor privilegiado com verificação de sintaxe).

Aqui estão as informações sobre a opção -aG no Ubuntu, tiradas daqui link :

'I'm reading the Wiley "Linux Command Line and Scripting Bible" - and they said that usermod -G "appends" a group to whatever user account you are modifying. I found this to be false in Ubuntu, don't know if it's just different in other distro's, or a typo in the book. It removes you from EVERY other group you belong to, except your default user group (modified by the -g option). I managed to remove myself from the admin group and could no longer sudo anything. Thank goodness for recovery mode...'

The correct option is usermod -aG. Lesson learned...

    
por 10.06.2014 / 22:00
1

Você não nos diz quão grande é o seu ambiente, mas se for mais de uma máquina, você também pode querer considerar configurando sudo usando LDAP é uma alternativa para editar sudoers localmente (através de visudo ou usando o método /etc/sudoers.d fragments).

A configuração LDAP é uma maneira bem testada de garantir que várias máquinas tenham a mesma configuração de sudo e apresenta um ambiente unificado (com gerenciamento central de um importante mecanismo de autorização). Como bônus, se você já usa LDAP (ou AD) para autenticação / autorização em seu ambiente, você pode aproveitar a infraestrutura existente (e, se você não o considerar seriamente, a centralização terá muitos benefícios).

Tudo o que as pessoas já disseram nas outras respostas sobre a criação de grupos autorizados ainda é mais fácil à medida que você amplia para conceder privilégios a um grupo e gerenciar membros do grupo do que lidar com direitos de gerenciamento para usuários individuais.

    
por 10.07.2014 / 18:40

Tags

Qual é a diferença entre executar um programa como uma conta de administrador de domínio e executar um programa como “Executar como administrador” no Windows 7? Existe uma maneira de proteger o SSD da corrupção devido à perda de energia?