Sudo vermek için hangi yöntem kullanılır?

13

Bir kullanıcı ekleme arasındaki fark nedir /etc/sudoersve usermod -a -G sudo? Sudo vermek için hangi yöntem kullanılmalıdır?

ubuntu  sudo 
Sonique
kaynak
6
Ubuntu için /etc/sudoersherhangi bir koşulda düzenleme yapmaktan kesinlikle kaçınmalısınız . Bunun yerine /etc/sudoers.ddizine config parçaları ekleyin . Bir conffile'ı değiştirdiğinizden fragments klasörünü kullanmak yükseltmeyi kolaylaştırır.
Zoredache
@Zoredache - mükemmel nokta. Bunu cevabıma eklesem umurumda mı? Bunun için kredi almak istemiyorum, ancak yorum tanrıları bir nedenden ötürü nükleer silahla boğulursa bu ipucu bir yerde bir cevapta yaşamalıdır.
EEAA
2
@EEAA, yukarıdakileri kullanma iznini ve gerçek cevaplarla birleştirmek için gönderdiğim diğer yorumları size veriyorum. Yorum ekliyorum çünkü tam bir cevap eklemek için çok tembel / meşgulüm, ancak insanların yorumlarımı alıp tam bir iyi cevaba entegre etmelerinin bir sakıncası yok.
Zoredache

Yanıtlar:

19

Bundan kaçınabiliyorsanız, bireysel kullanıcılara asla sudo ayrıcalıkları vermeyin. Her zaman bir gruba ayrıcalık verin ve ardından bu gruba kullanıcı ekleyin.

Ubuntu tabanlı sunucular için /etc/sudoers, içine satır eklemek yerine, yapılandırma dosyası parçalarını ekleyin /etc/sudoers.d. Bu, daha esnek, anlaşılması daha kolay, yükseltmeler karşısında daha dayanıklıdır ve yapılandırma yönetim sistemleri tarafından yönetilen sistemlerle daha iyi çalışır.

NOT: asla /etc/sudoersdoğrudan düzenleme yapmayın. Bunun yerine, visudodüzenlemelerinizde sözdizimi denetimi yapacak ve sudo config'inizi geçersiz sözdizimi ile kırmanıza engel olacak şekilde kullanın.

EEAA
kaynak
grubu neden eklemiyorsun /etc/sudoers?
Flak DiNenno
1
@FlakDiNenno - doğru, tam da bunu önerdim.
EEAA
ahhh ...usermod -a -G sudo
Flak DiNenno
Doğrudan düzenleme yerine visudo kullanma uyarısı için +1
Flak DiNenno
Hakkında iyi bir nokta visudo. Bazı insanlar /etc/sudoerssalt okunur olarak işaretlenmiş bir neden olduğunu fark etmez .
ub3rst4r
9

Ben sadece bu küçük tidbit orada buldum ... özellikle -GUbuntu seçeneği, özellikle kombinasyon -gseçeneği kullanarak dikkatli olmak gerekir gibi görünüyor . Yani:

  1. usermod -aGKullanıcıları bir gruba eklemek için kullanın .
  2. Daha sonra @EEAA'nın önerdiği gibi , $ sudovisudokomutu kullanarak grubu / etc / sudoers dosyasına ekleyin (sözdizimi kontrolüyle otomatik olarak ayrıcalıklı bir düzenleyiciyi çağırır).

İşte http://ubuntuforums.org/showthread.php?t=1240477 adresinden-aG alınan Ubuntu'daki seçenek hakkında bilgi :

" Wiley" Linux Komut Satırı ve Komut Dosyası İncil "i okuyorum - ve usermod -G'nin değiştirdiğiniz kullanıcı hesabına bir grup" eklediğini "söylediler. Bunu Ubuntu'da yanlış buldum, diğer dağıtımlarda farklı mı yoksa kitaptaki bir yazım hatası mı bilmiyorum. Varsayılan kullanıcı grubunuz (-g seçeneğiyle değiştirilmiştir) dışında sizi ait olduğunuz diğer tüm gruplardan kaldırır. Yönetici grubundan kendimi kaldırmayı başardım ve artık hiçbir şey sudo edemedim. Kurtarma modu için çok şükür ... '

Doğru seçenek usermod -aG'dir . Ders öğrenildi...

Flak DiNenno
kaynak
2
Downvoter burada bazı yapıcı eleştiriler yapma nezaketine sahip olabilir. Tia.
Flak DiNenno
Seni küçümsemedim, ama 'cevabın', sorulan soruya gerçekten cevap vermiyor. Bu oldukça katı bir Soru-Cevap sitesi, genellikle cevapların doğrudan sorulan soruya cevap vermesini bekliyoruz. BTW, evet Soruyu biraz ele aldığınızı biliyorum, ama 'cevabınız' en çok EEAA'nın söylediklerini yapıyor gibi görünüyor, ancak bu garip gariplik hakkında uyarılırsınız.
Zoredache
@Zoredache zaman ayırdığınız için teşekkürler. Adım 1 ve 2 "sudo vermek için tercih edilen bir yöntem" talimatlarını açıkça vermiyor mu? OP ne sordu?
Flak DiNenno
1

Eğer çevre boyutlarını ortaya söyleme, ama daha bir makineden çok olursa da düşünebilirsiniz yapılandırmak sudoLDAP kullanarak (aracılığıyla yerel olarak sudoers düzenlemeye alternatif s visudoveya kullanan /etc/sudoers.dfragmanları yöntemi).

LDAP yapılandırması, birden çok makinenin aynı sudoyapılandırmaya sahip olduğundan emin olmak için iyi test edilmiş bir yöntemdir ve güzel bir birleştirilmiş ortam sunar (önemli bir yetkilendirme mekanizmasının merkezi yönetimi ile). Bonus olarak, ortamınızda kimlik doğrulama / yetkilendirme için zaten LDAP (veya AD) kullanıyorsanız, mevcut altyapıdan yararlanabilirsiniz (ve bunu yapmamanızı ciddi olarak düşünmelisiniz - merkezileştirmenin birçok faydası vardır).

Yetkili gruplar oluşturma hakkındaki diğer yanıtlarda zaten söylenen her şey hala duruyor - bir gruba ayrıcalık tanımak ve grup üyeliğini yönetmek, bireysel kullanıcılar için hakları yönetmekten daha kolay.

voretaq7
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.