/ etc / sudoers vs arquivo /etc/sudoers.d/ para ativar o sudo para um usuário

0

Estou usando o Yocto para criar imagens para um quadro. Eu desabilitei o usuário root . Estou adicionando um novo usuário, digamos adminuser1 . Como parece para mim, existem duas opções para fazer adminuser1 como admin.

  • Adicione adminuser1 aos sudoers em / etc / sudoers
  • Crie um novo arquivo /etc/sudoers.d/0001_admin1 e adicione uma linha adminuser1 ALL=(ALL) ALL

O padrão /etc/sudoers tem o grupo sudo comentado # %sudo ALL=(ALL) ALL

Estou tentando entender qual é a melhor abordagem em termos de segurança:

  • Devo adicionar adminuser1 a sudo group e descomentar o # %sudo ALL=(ALL) ALL em /etc/sudoers
  • Adicionando /etc/sudoers.d/0001_admin1 e adicionando apenas adminuser1 ALL=(ALL) ALL no arquivo.
por sob 05.07.2017 / 11:20

2 respostas

3

A escolha entre sudoers e sudoers.d não tem nada a ver com segurança, mas tudo com capacidade de manutenção.

  • Descomentando a linha do grupo sudo em /etc/sudoers , você pode adicionar todos os usuários que precisam ter acesso sudo ao grupo sudo . Isso pode ou não ser mais fácil de fazer do que adicionar um novo arquivo em sudoers.d , dependendo da sua configuração. No entanto, alterar o arquivo de configuração enviado pode dificultar as coisas (por exemplo, se houver uma atualização de sua distribuição que substituiria o arquivo sudoers, você deverá garantir que sua alteração seja mantida).
  • Ao adicionar um arquivo a /etc/sudoers.d , você não tem o problema de atualização que eu indico acima, mas se você adicionar explicitamente a configuração para adminuser1 em vez do grupo sudo , adicionar mais usuários a ter direitos sudo exigirá que mais arquivos sejam adicionados a /etc/sudoers.d ; isso pode ou não estar mais envolvido do que apenas adicioná-los ao grupo certo.

Não há um caminho que seja "melhor"; e certamente não há um problema de segurança baseado em "em qual arquivo eu configuro os direitos sudo". Apenas considere as vantagens e desvantagens de ambos os métodos e use o que funcionar melhor para seu caso de uso.

    
por 05.07.2017 / 11:26
0

Da Wikipedia:

the principle of least privilege (also known as the principle of minimal privilege or the principle of least authority) requires that in a particular abstraction layer of a computing environment, every module (such as a process, a user, or a program, depending on the subject) must be able to access only the information and resources that are necessary for its legitimate purpose.

Isso significa que a opção 2 é a melhor porque você pode adaptar a permissão do seu adminuser1. Com a opção 1, quando no futuro você adicionará adminuser2 ao grupo sudo, eles terão os mesmos privilégios que não permitem que você ajuste os privilégios dos dois usuários.

Além disso, sempre use visudo para editar o arquivo sudoers.

HTH

    
por 05.07.2017 / 11:28

Tags