私はYoctoを使ってマザーボード用のイメージを構築しています。このユーザーを無効にしましたroot
。新しいユーザーを追加していますadminuser1
。管理者として2つのオプションがあるようですadminuser1
。
adminuser1
sudoersが/ etc / sudoersに追加されました。- 新しいファイルを作成し、1
/etc/sudoers.d/0001_admin1
行を追加します。adminuser1 ALL=(ALL) ALL
/etc/sudoers
このsudo
コメントグループはデフォルトで有効になっています。# %sudo ALL=(ALL) ALL
セキュリティの観点からどのような方法が良いかを理解しようとしています。
- グループ
adminuser1
に追加してコメントを削除する必要がありますか?sudo
# %sudo ALL=(ALL) ALL
/etc/sudoers
- ファイルにのみ追加し
/etc/sudoers.d/0001_admin1
て追加してください。adminuser1 ALL=(ALL) ALL
答え1
sudoers
2つの間の選択はsudoers.d
セキュリティとは何の関係もなく、すべてはメンテナンス性に関連しています。
sudo
グループ行のコメントを外して、sudoアクセス権を必要とするすべてのユーザーをグループに/etc/sudoers
追加できます。設定によっては、.NETファイルsudo
に新しいファイルを追加するよりも簡単にすることも、そうでない場合もあります。sudoers.d
ただし、付属の構成ファイルを変更すると、作業がより困難になる可能性があります(たとえば、ディストリビューションにsudoersファイルを上書きする更新プログラムがある場合は変更を維持する必要があります)。- にファイルを追加すると、上記で示唆し
/etc/sudoers.d
た更新の問題は発生しませんが、グループの代わりに設定を明示的adminuser1
に追加する場合は、sudo権限を持つために追加のファイルを追加する必要があるかもしれません。正しいグループに追加するよりも複雑です。sudo
/etc/sudoers.d
「最良の」アプローチはなく、「どのファイルでsudo権限を設定する必要がありますか?」に基づくセキュリティ上の問題もありません。両方のアプローチの長所と短所を考慮し、ユースケースに最も適したアプローチを使用してください。
答え2
ウィキペディアから:
最小特権の原則(最小特権の原則または最小特権の原則とも呼ばれます)では、コンピューティング環境の特定の抽象化レベルで各モジュール(プロセス、ユーザー、プログラムなど)が主体であることは、合法的な目的の情報とリソースに必要なものです。アクセスできる必要があります。
つまり、adminuser1の権限をカスタマイズできるため、オプション2が最適です。オプション1を使用すると、後でsudoグループにadminuser2を追加すると同じ権限が得られますが、2人のユーザーの権限をカスタマイズすることはできません。
また、常に使用してください。ビジュドsudoers ファイルを編集します。
ファタイ