ユーザーを「root」グループに追加する必要がある理由はありますか?

ユーザーを「root」グループに追加する必要がある理由はありますか?

sudoユーザーやグループの作成、sudoersファイルの編集などについて、オンラインで多くの議論があります。

たとえば、機密性の高い設定ファイルやシェルスクリプトがあり、ファイルの所有権をroot:rootchmodなど0700に設定した可能性があります。

sudoでサーバーにログインすると、sudo ...これらのファイルに直接アクセスできます。

しかし、具体的にユーザーを追加するのに良いケースがあるかどうか疑問に思います。 sudoユーザー、rootグループ用...これを行う理由はありますか?それともベストプラクティスに従った場合、これを行う必要はありませんか?

答え1

rootユーザーとは異なり、このrootグループには一意の権限や権限はありません。したがって、グループから取得する特別な権限は、グループ内のファイルに対するグループ権限によるrootものであるか、sudoなどの機能が追加の権限を提供するように構成できるためです。root

このグループはsudoで使用され、rootsudoグループに加えて、多くの構成ファイルにまだ存在します。また、当時はグループ0を「wheel」と呼びましたroot。わかりやすくするために、wheelここではグループルートをユーザーと区別するために「」と呼びますroot

Unixセキュリティの傾向は、システムファイルの所有権を取得することです。root:wheelこのような所有権が原因でファイルが破損(または漏洩)するのがより困難になるという前提があります。したがって、wheelこれを他の目的に使用するのではなく、特別なグループ(例:sudo交換)を作成し、wheel可能な追加の権利をさらに分離して希釈する傾向がありますwheel

したがって、ユーザーを追加するのが妥当かどうかは、wheel完全にどの追加アクセスが提供されるかによって決まります。すでにグループに属している場合は、グループへのアクセス権を付与するsudo必要はありません。ホイールに排他的な読み取りまたは書き込みアクセス権を持つファイルwheelはありますか?wheel問題のユーザーに必要ですか、または必要に応じて問題が発生しますか?

たとえば、特定の時間にrootログファイルを読み込むことができますwheel。現在の傾向は、この権限をさらに分離しようとする試みで、ほとんどのログファイルグループをに変更adm(または同様のスペル)することです。ただし、グループにはいくつかのログファイルの痕跡が残っている可能性がありますwheel。他の地域でも同様の変化が発生し、以前に取り上げた権限がさらに弱体化しましたwheel

権限がある場合、なぜwheel(またはadm)権限が必要なのですかsudo

sudoの使用頻度が低く、sudoの使用に慣れていないほど、ユーザーとして実行する必要がある作業を誤ってrootとして実行する可能性が低くなります。したがって、ログファイルを調べるにはsudo(たとえば)を使用する必要があり、ログファイル名を取得するためにファイル名の補完を使用することさえ不快で潜在的に危険である可能性があります。ユーザーをファイルグループ(およびその親ディレクトリ)に追加することをお勧めします。

関連情報