Consenti all'utente di utilizzare il comando sudo ha diversi modi, quale è meglio?

5

Sono un principiante di Linux, sto solo imparando e usando Debian 7.0 Wheezy. Ho visto due metodi per consentire all'utente di utilizzare sudo

Uno è da usare visudoper modificare /etc/sudoerse aggiungere quanto segue

username ALL=(ALL) ALL

Un altro è aggiungere l'utente al sudogruppo, usando questo

usermod -a -G sudo username

Entrambi i metodi hanno lo stesso impatto? Esistono vantaggi e svantaggi di ciascun metodo?

linux  ubuntu  debian  sudo 
SAMTECH
fonte
In generale, è meglio avere un gruppo di utenti separato per gli amministratori, ma non nel sudogruppo, come in questo caso. In invece visudopotresti fare %wheel ALL=(ALL) ALLe aggiungere l'utente al wheelgruppo (o qualunque gruppo tu decida). Mi piace la domanda e sono curioso di sapere quali risposte riceverai.
nerdwaller,
2
L'uso di un gruppo dedicato all'accesso sudo consente agli altri utenti di vedere facilmente che questo utente è un amministratore - non lo si ottiene inserendo il nome utente in sudoers, che è leggibile solo da root.
Xenopathic l'

Risposte:

4

Entrambi questi metodi hanno un effetto per lo più simile. Poiché il file sudoers predefinito su Debian include la riga:

%sudo   ALL=(ALL:ALL) ALL

Concessione dell'autorizzazione a tutti i membri del sudogruppo.

Un paio di differenze che potrebbero interessarti.

  • Quando la modifica diventa effettiva. Se aggiungi esplicitamente l'utente al file sudoers, quell'utente sarà in grado di utilizzare immediatamente tali autorizzazioni. Se invece aggiungi l'utente al gruppo sudo, lui o lei dovrà disconnettersi e quindi riconnettersi prima di poter usare sudo.

  • Limitazioni successive. Se in seguito decidi di voler limitare ciò che può essere fatto con sudo per tutti gli utenti, sarà più semplice se utilizzi il metodo group poiché puoi quindi modificare solo la singola voce nel file sudoers anziché avere voci separate per ciascun utente.

qqx
fonte
1

Su un computer desktop di base con una sola persona che avrà bisogno di scopi amministrativi, il usernamemetodo va bene. Quando hai a che fare con sistemi che avranno più utenti e potenzialmente più persone con diritti sudo, sarebbe più semplice usare il metodo di gruppo (è semplice come aggiungere o rimuovere persone da quel gruppo).

Nel complesso, tuttavia, penso che le persone tendano a utilizzare il metodo di gruppo come best practice, poiché è preferito per il sistema multiutente e non è peggio del usernamemetodo per un sistema monoutente.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.