Como o sudo se relaciona com o Solaris? (mais interessado no Solaris 11)

3

Nós iremos criar um novo modelo de construção de servidor usando o Solaris 11 e eu queria saber um pouco mais sobre sudo .

Eu tive uma introdução muito limitada sobre como funciona no Ubuntu Linux, mas nós só usamos isso para estações de trabalho. Eu me pergunto é potencial no Solaris.

  1. Entendo que determinados usuários podem receber acesso root sem fornecer a senha raiz. Eu gosto disso.
  2. Também vi que isso implica que alguns tipos de correspondência podem ser aplicados para permitir apenas determinados acessos. Isto, obviamente, tem uso limitado, mas pode
    • adicione uma camada de trabalho antes que um usuário sabote o sistema, talvez atrasando a sabotagem até que seu acesso seja revogado. (isso nunca deve ser um problema, mas é bom ter medidas em vigor no caso de haver má confiança daqui a alguns anos)
    • evita erros, por exemplo, desligar acidentalmente a máquina errada.
    • simplifique alguns processos, por exemplo, um usuário pode ser encarregado de manter o servidor DNS atualizado, caso em que eles poderiam ter acesso a arquivos de zona específicos , bem como permissão para executar svcadm refresh dns-server .

Minhas perguntas são

  • Quais recursos se aplicam ao Solaris, em oposição ao Linux ou apenas ao mito?
  • Você recomendou a leitura de material em sudo ? (no que se refere ao Solaris)
  • Você recomendaria que eu usasse ou apenas ficasse com su - ?
por George Bailey 07.09.2011 / 23:35

4 respostas

7

O Sudo funciona exatamente da mesma maneira com o Solaris, como com o Ubuntu, etc., portanto, qualquer experiência anterior que você tenha com ele é útil. O Solaris vem com o controle de acesso baseado em função ( RBAC ), que oferece granulação fina controle sobre o que as pessoas podem usar com privilégios elevados.

Usar sudo ou RBAC é preferível ao su - como eles podem ser usados para registrar quais ações foram executadas.

    
por 07.09.2011 / 23:56
9

sudo funciona basicamente de forma idêntica no Solaris como no Linux, FreeBSD, AIX, etc. - A principal advertência é que você precisará instalá-lo e configurá-lo no Solaris (Você pode baixá-lo aqui ).

Esse site também tem extensa documentação sobre o sudo, e se você não estiver familiarizado com isso eu sugiro que você invista algum tempo lendo sobre o que é o sudo e o que ele pode fazer por você, então pense sobre como melhor integrá-lo seu ambiente.

Note que eu não acredito que existam pacotes do Solaris 11 para o sudo neste ponto - você provavelmente precisará compilar você mesmo (e / ou construir seu próprio pacote). Isso não é horrivelmente complicado: leia a documentação e prossiga com cuidado. Se você acha que está fora de sua profundidade, há listas de discussão (mais uma vez, veja o site que eu criei acima) que podem te ajudar.
Como outros apontaram, o sudo foi aparentemente absorvido pelo Solaris 11 - Sem compilação, apenas configuração.
 Mais uma vez, os documentos no site relacionados acima lhe dirão praticamente tudo que você precisa saber.

Do ponto de vista da segurança, eu DEFINITIVAMENTE recomendo usar sudo - Não distribuir a senha raiz real é um grande benefício, e o controle de acesso mais refinado vale o administração necessária.

    
por 07.09.2011 / 23:56
3
  • What capabilities apply to Solaris, as opposed to either Linux or just myth?

É o mesmo código e as opções de compilação são similares àquelas usadas no Linux, então a configuração e a finalidade são idênticas. Uma diferença é que root é (por padrão) uma função no Solaris 11 Express, não uma conta de usuário. Isso significa que usar sudo ou rbac (pfexec) agora é obrigatório no Solaris.

  • Do you have recommended reading material on sudo? (as it relates to Solaris)

Você provavelmente achará esse documento interessante. Ele explica por que o sudo foi introduzido no Solaris: link

  • Would you recommend that I use it, or just stay with su -?

sudo ou pfexec são melhores que su - , pois quanto menos alguém for root, melhor. Sudo tem seu próprio recurso de registro. O pfexec tem alguns recursos extras e integra-se à auditoria do Solaris, portanto, pode ser uma solução preferencial em alguns casos.

Duas notas:

  • O Solaris 11 Express é um pacote de sudo, portanto você não precisa compilá-lo nem instalá-lo nesse SO.

  • Nas instalações padrão, o sudo é um componente obrigatório, dado que o root é, por padrão, inadequado para logins diretos e o instalador não usa mais o rbac para conceder privilégios extras à conta de usuário inicial.

por 08.09.2011 / 01:32
1

Você pode usar o sudo ou o RBAC no Solaris. Antes da v11, você teria que instalar o sudo sozinho.

Qual você usa no seu sistema seria sua preferência, junto com suas necessidades. Eu recomendo olhar usando o RBAC. Ele tem um controle de granulação mais refinado que permite que você faça com que um usuário faça apenas certas coisas usando pfexec ou pfedit. Você também vai querer usar o RBAC para criar funções para limitar privilégios para contas "grupo" ou "aplicativo". ou seja: web, banco de dados, ...

O Solaris 11 agora também permite usar "roleauth = user" para que você use a senha dos usuários para assumir a função vs precisar manter senhas para as funções. Ele também permite atribuir um perfil de usuário do console para permitir que os usuários entrem no console, agora que o root é uma função por padrão.

    
por 10.01.2017 / 23:30

Tags