Quelle est la différence entre l'ajout d'un utilisateur à /etc/sudoers
et usermod -a -G sudo
? Quelle méthode utiliser pour accorder sudo?
Quelle est la différence entre l'ajout d'un utilisateur à /etc/sudoers
et usermod -a -G sudo
? Quelle méthode utiliser pour accorder sudo?
Réponses:
Si vous pouvez l'éviter, n'accordez jamais de privilèges sudo à des utilisateurs individuels. Accordez toujours des privilèges à un groupe , puis ajoutez des utilisateurs à ce groupe.
Pour les serveurs basés sur Ubuntu, au lieu d'ajouter des lignes à /etc/sudoers
, ajoutez des fragments de fichier de configuration dans /etc/sudoers.d
. Ceci est plus flexible, plus facile à comprendre, plus résistant face aux mises à niveau et fonctionne mieux avec les systèmes gérés par des systèmes de gestion de configuration.
REMARQUE: ne modifiez jamais /etc/sudoers
directement. Au lieu de cela, utilisez visudo
, qui effectuera une vérification de la syntaxe sur vos modifications, vous empêchant de casser votre configuration sudo avec une syntaxe non valide.
/etc/sudoers
?
usermod -a -G sudo
visudo
. Certaines personnes ne réalisent pas qu'il existe une raison /etc/sudoers
marquée comme étant en lecture seule.
Je viens de trouver ce petit truc là-bas ... semble que vous devez être particulièrement prudent avec l'utilisation de l' -G
option dans Ubuntu, en particulier dans l' -g
option de combinaison . Donc:
usermod -aG
pour ajouter le ou les utilisateurs à un groupe. $ sudo
visudo
commande (invoque automatiquement un éditeur privilégié avec vérification de la syntaxe).Voici les informations sur l' -aG
option sur Ubuntu, extraites d'ici http://ubuntuforums.org/showthread.php?t=1240477 :
«Je lis la Wiley« Linux Command Line and Scripting Bible » - et ils ont dit que usermod -G« ajoute »un groupe au compte d'utilisateur que vous modifiez. J'ai trouvé que c'était faux dans Ubuntu, je ne sais pas si c'est juste différent dans d'autres distributions, ou une faute de frappe dans le livre. Il vous supprime de CHAQUE autre groupe auquel vous appartenez, à l'exception de votre groupe d'utilisateurs par défaut (modifié par l'option -g). J'ai réussi à me retirer du groupe d'administration et je ne pouvais plus rien créer de sudo. Dieu merci pour le mode de récupération ... '
L'option correcte est usermod -aG . Leçon apprise...
Vous ne nous dites pas la taille de votre environnement, mais s'il s'agit de plusieurs machines, vous pouvez également envisager de configurer à l' sudo
aide de LDAP une alternative à la modification locale des sudoers (via visudo
ou en utilisant la /etc/sudoers.d
méthode des fragments).
La configuration LDAP est un moyen bien testé de s'assurer que plusieurs machines ont la même sudo
configuration et présente un bel environnement unifié (avec gestion centrale d'un important mécanisme d'autorisation). En prime, si vous utilisez déjà LDAP (ou AD) pour l'authentification / l'autorisation dans votre environnement, vous pouvez profiter de l'infrastructure existante (et si vous ne l'utilisez pas, vous devriez la considérer sérieusement - la centralisation présente de nombreux avantages).
Tout ce que les gens ont déjà dit dans les autres réponses sur la création de groupes autorisés est toujours d'actualité - il est plus facile de passer à l'échelle pour accorder des privilèges à un groupe et de gérer l'appartenance au groupe que de gérer les droits des utilisateurs individuels.
/etc/sudoers
sous aucune condition. Ajoutez plutôt des fragments de configuration dans le/etc/sudoers.d
répertoire. L'utilisation du dossier fragments facilite la mise à niveau depuis la modification d'un conffile.