Quale metodo utilizzare per la concessione di sudo

13

Qual è la differenza tra l'aggiunta di un utente a /etc/sudoerse usermod -a -G sudo? Quale metodo dovrebbe essere usato per la concessione di sudo?

ubuntu  sudo 
Sonique
fonte
6
Per Ubuntu dovresti evitare fortemente di modificare le /etc/sudoerscondizioni in qualsiasi condizione. Aggiungi invece i frammenti di configurazione nella /etc/sudoers.ddirectory. L'uso della cartella dei frammenti semplifica l'aggiornamento poiché hai modificato un conffile.
Zoredache,
@Zoredache - punto eccellente. Ti interessa se lo aggiungo alla mia risposta? Non voglio prendermi il merito, ma questo suggerimento dovrebbe vivere in una risposta da qualche parte nel caso in cui il commento degli dei lo annulli per qualche motivo.
EEAA,
2
@EEAA, ti concedo il permesso di utilizzare quanto sopra e tutti gli altri commenti che inserisco per unirmi in risposte effettive. Aggiungo commenti perché sono troppo pigro / occupato per aggiungere una risposta completa, ma non mi importa se le persone prendono i miei commenti e li integrano in una risposta completa e buona.
Zoredache,

Risposte:

19

Se puoi evitarlo, non concedere mai i privilegi di sudo ai singoli utenti. Concedere sempre i privilegi a un gruppo e quindi aggiungere utenti a quel gruppo.

Per i server basati su Ubuntu, invece di aggiungere linee a /etc/sudoers, aggiungere frammenti di file di configurazione in /etc/sudoers.d. Questo è più flessibile, più facile da capire, più resistente di fronte agli aggiornamenti e funziona meglio con i sistemi gestiti dai sistemi di gestione della configurazione.

NOTA: non modificare mai /etc/sudoersdirettamente. Invece, usa visudo, che eseguirà il controllo della sintassi sulle tue modifiche, impedendoti di interrompere la tua configurazione sudo con sintassi non valida.

EEAA
fonte
perché non aggiungere il gruppo a /etc/sudoers?
Flak DiNenno,
1
@FlakDiNenno - giusto, è esattamente quello che ho suggerito.
EEAA,
ahhh ... Pensavo ti riferissi alusermod -a -G sudo
Flak DiNenno il
+1 per l'avvertimento sull'uso di visudo invece della modifica diretta
Flak DiNenno,
Un buon punto visudo. Alcune persone non si rendono conto che c'è un motivo /etc/sudoerscontrassegnato come di sola lettura.
ub3rst4r,
9

Ho appena trovato questo piccolo bocconcino là fuori ... sembra che tu debba stare particolarmente attento con l'uso -Gdell'opzione in Ubuntu, in particolare in combinazione -g. Così:

  1. Utilizzare usermod -aGper aggiungere gli utenti a un gruppo.
  2. Quindi, come suggerito da @EEAA , aggiungi il gruppo al file / etc / sudoers usando il $ sudovisudocomando (invoca automaticamente un editor privilegiato con controllo della sintassi).

Ecco le informazioni -aGsull'opzione su Ubuntu, prese da qui http://ubuntuforums.org/showthread.php?t=1240477 :

'Sto leggendo la Wiley "Linux Command Line and Scripting Bible" - e hanno detto che usermod -G "aggiunge" un gruppo a qualsiasi account utente che si sta modificando. Ho scoperto che questo è falso in Ubuntu, non so se è solo diverso nelle altre distro o un errore di battitura nel libro. Ti rimuove da OGNI altro gruppo a cui appartieni, tranne il tuo gruppo di utenti predefinito (modificato dall'opzione -g). Sono riuscito a rimuovermi dal gruppo admin e non ho più potuto fare nulla. Grazie al cielo per la modalità di recupero ... '

L'opzione corretta è usermod -aG . Lezione appresa...

Flak DiNenno
fonte
2
può il downvoter avere la cortesia di fornire alcune critiche costruttive qui. tia.
Flak DiNenno,
Non ti ho sottovalutato, ma la tua "risposta", in realtà non risponde alla domanda posta. Questo è un sito di domande e risposte piuttosto rigido, generalmente ci aspettiamo che le risposte rispondano direttamente alla domanda posta. A proposito, sì, so che in qualche modo affronti un po 'la domanda, ma la tua "risposta" sembra dire la maggior parte di ciò che ha detto l'AEAA, ma fai attenzione a questa strana stranezza.
Zoredache,
@Zoredache grazie per aver dedicato del tempo. I passaggi 1 e 2 non danno chiaramente istruzioni per "un metodo preferito per la concessione di sudo"? Qual è ciò che l'OP ha chiesto?
Flak DiNenno,
1

Non ci dici quanto è grande il tuo ambiente, ma se si tratta di più di una macchina potresti anche considerare di configurare la configurazione sudousando LDAP come alternativa alla modifica locale dei sudoer (attraverso visudoo usando il /etc/sudoers.dmetodo dei frammenti).

La configurazione LDAP è un modo ben collaudato per assicurarsi che più macchine abbiano la stessa sudoconfigurazione e presenti un ambiente unificato piacevole (con gestione centralizzata di un importante meccanismo di autorizzazione). Come bonus se usi già LDAP (o AD) per l'autenticazione / autorizzazione nel tuo ambiente puoi sfruttare l'infrastruttura esistente (e in caso contrario dovresti prenderla seriamente in considerazione - la centralizzazione ha molti vantaggi).

Tutto ciò che la gente ha già detto nelle altre risposte sulla creazione di gruppi autorizzati è ancora valido: è più facile quando si scala per concedere privilegi a un gruppo e gestire l'appartenenza al gruppo piuttosto che gestire i diritti per i singoli utenti.

voretaq7
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.