/etc/sudoers および /etc/sudoers.d/ ファイルは、ユーザーに対して sudo を有効にします。

/etc/sudoers および /etc/sudoers.d/ ファイルは、ユーザーに対して sudo を有効にします。

私はYoctoを使ってマザーボード用のイメージを構築しています。このユーザーを無効にしましたroot。新しいユーザーを追加していますadminuser1。管理者として2つのオプションがあるようですadminuser1

  • adminuser1sudoersが/ etc / sudoersに追加されました。
  • 新しいファイルを作成し、1/etc/sudoers.d/0001_admin1行を追加します。adminuser1 ALL=(ALL) ALL

/etc/sudoersこのsudoコメントグループはデフォルトで有効になっています。# %sudo ALL=(ALL) ALL

セキュリティの観点からどのような方法が良いかを理解しようとしています。

  • グループadminuser1に追加してコメントを削除する必要がありますか?sudo# %sudo ALL=(ALL) ALL/etc/sudoers
  • ファイルにのみ追加し/etc/sudoers.d/0001_admin1て追加してください。adminuser1 ALL=(ALL) ALL

答え1

sudoers2つの間の選択はsudoers.dセキュリティとは何の関係もなく、すべてはメンテナンス性に関連しています。

  • sudoグループ行のコメントを外して、sudoアクセス権を必要とするすべてのユーザーをグループに/etc/sudoers追加できます。設定によっては、.NETファイルsudoに新しいファイルを追加するよりも簡単にすることも、そうでない場合もあります。sudoers.dただし、付属の構成ファイルを変更すると、作業がより困難になる可能性があります(たとえば、ディストリビューションにsudoersファイルを上書きする更新プログラムがある場合は変更を維持する必要があります)。
  • にファイルを追加すると、上記で示唆し/etc/sudoers.dた更新の問題は発生しませんが、グループの代わりに設定を明示的adminuser1に追加する場合は、sudo権限を持つために追加のファイルを追加する必要があるかもしれません。正しいグループに追加するよりも複雑です。sudo/etc/sudoers.d

「最良の」アプローチはなく、「どのファイルでsudo権限を設定する必要がありますか?」に基づくセキュリティ上の問題もありません。両方のアプローチの長所と短所を考慮し、ユースケースに最も適したアプローチを使用してください。

答え2

ウィキペディアから:

最小特権の原則(最小特権の原則または最小特権の原則とも呼ばれます)では、コンピューティング環境の特定の抽象化レベルで各モジュール(プロセス、ユーザー、プログラムなど)が主体であることは、合法的な目的の情報とリソースに必要なものです。アクセスできる必要があります。

つまり、adminuser1の権限をカスタマイズできるため、オプション2が最適です。オプション1を使用すると、後でsudoグループにadminuser2を追加すると同じ権限が得られますが、2人のユーザーの権限をカスタマイズすることはできません。

また、常に使用してください。ビジュドsudoers ファイルを編集します。

ファタイ

関連情報