sudo
ユーザーやグループの作成、sudoers
ファイルの編集などについて、オンラインで多くの議論があります。
たとえば、機密性の高い設定ファイルやシェルスクリプトがあり、ファイルの所有権をroot:root
chmodなど0700
に設定した可能性があります。
sudoでサーバーにログインすると、sudo ...
これらのファイルに直接アクセスできます。
しかし、具体的にユーザーを追加するのに良いケースがあるかどうか疑問に思います。 sudoユーザー、root
グループ用...これを行う理由はありますか?それともベストプラクティスに従った場合、これを行う必要はありませんか?
答え1
rootユーザーとは異なり、このroot
グループには一意の権限や権限はありません。したがって、グループから取得する特別な権限は、グループ内のファイルに対するグループ権限によるroot
ものであるか、sudoなどの機能が追加の権限を提供するように構成できるためです。root
このグループはsudoで使用され、root
sudoグループに加えて、多くの構成ファイルにまだ存在します。また、当時はグループ0を「wheel
」と呼びましたroot
。わかりやすくするために、wheel
ここではグループルートをユーザーと区別するために「」と呼びますroot
。
Unixセキュリティの傾向は、システムファイルの所有権を取得することです。root:wheel
このような所有権が原因でファイルが破損(または漏洩)するのがより困難になるという前提があります。したがって、wheel
これを他の目的に使用するのではなく、特別なグループ(例:sudo
交換)を作成し、wheel
可能な追加の権利をさらに分離して希釈する傾向がありますwheel
。
したがって、ユーザーを追加するのが妥当かどうかは、wheel
完全にどの追加アクセスが提供されるかによって決まります。すでにグループに属している場合は、グループへのアクセス権を付与するsudo
必要はありません。ホイールに排他的な読み取りまたは書き込みアクセス権を持つファイルwheel
はありますか?wheel
問題のユーザーに必要ですか、または必要に応じて問題が発生しますか?
たとえば、特定の時間にroot
ログファイルを読み込むことができますwheel
。現在の傾向は、この権限をさらに分離しようとする試みで、ほとんどのログファイルグループをに変更adm
(または同様のスペル)することです。ただし、グループにはいくつかのログファイルの痕跡が残っている可能性がありますwheel
。他の地域でも同様の変化が発生し、以前に取り上げた権限がさらに弱体化しましたwheel
。
権限がある場合、なぜ
wheel
(またはadm
)権限が必要なのですかsudo
?
sudoの使用頻度が低く、sudoの使用に慣れていないほど、ユーザーとして実行する必要がある作業を誤ってrootとして実行する可能性が低くなります。したがって、ログファイルを調べるにはsudo(たとえば)を使用する必要があり、ログファイル名を取得するためにファイル名の補完を使用することさえ不快で潜在的に危険である可能性があります。ユーザーをファイルグループ(およびその親ディレクトリ)に追加することをお勧めします。