root(すべてのことができるものとは異なり)管理のみを複数の管理者に割り当てることができます。部分体系的なもの?
たとえば、システムには3人の管理者がいるとします。
Application Administrator- プログラムをインストールまたは削除できますが、ネットワーク設定を変更したり、ユーザーを追加または削除したりすることはできません。Network Administrator- ネットワーク設定は可能ですが、プログラムのインストールやユーザーの追加/削除はできません。User Administrator- ユーザーを追加または削除することはできますが、プログラムをインストールしたりネットワーク設定を構成したりすることはできません。
3人の管理者は自分に割り当てられたタスクのみを管理できる必要があるため、すべてのrootアカウントを付与することはお互いの仕事を妨げる可能性があるため、望ましくありません。
この分割を処理する正しい方法は何ですか?
答え1
追加の権限を提供するには、他のユーザーにrootアカウントへのアクセス権を付与する必要があります。また、sudoroot権限を付与することなく、他の管理者の制御範囲を制限することもできます。しかし、全体的に、あなたが説明する内容は、技術的な問題ではなく、政治的/訓練の問題に近いようです。お互いを邪魔することなく、必要に応じてお互いを助けることができる正しいスタッフを雇います。
答え2
sudoを使用すると、ユーザーはsudoを介していくつかのコマンドにアクセスできますが、すべてのコマンドにアクセスすることはできません。
このvisudoコマンドを使用すると、/ etc / sudoersファイルを安全に編集し、実際にファイルを保存する前にいくつかの構文チェックを実行できます。
ファイル内には、
mike ALL=(root) /usr/bin/aptitude, /usr/bin/apt-get
sudoを介してmikeにaptitudeやapt-getへのアクセスを許可するなどの行を追加できますが、他のコマンドは追加できません。
これは非常に安全ではありません。プログラムは、多くの場合、root として実行されると、プログラムを実行しているユーザーが完全な root アクセス権を持つため、脆弱性に対する特別な保護がないと想定されます。コマンドが実行されると、ユーザーはrootとしてログインし、root状態で任意のコマンドを実行できるトリックがある場合があります。信頼できないユーザーにはこれを行うべきではありませんが、ユースケースには問題ありません。
ここから取得した詳細: https://ubuntu-tutorials.com/2007/03/01/allowing-limited-sudo-access-with-visudo/
答え3
簡単な事実は、人が自分でプログラムをインストールできる場合は、おそらくroot権限で実行されるプログラムをインストールすることができます。 IE rootとして実行されているものをインストールまたは変更できる人は誰でもrootまたは簡単にrootになります。
認証を分離するには、認証マネージャだけが管理する一種の集中型ディレクトリサービスを考慮する必要があります。したがって、誰もがローカルユーザーを作成することを許可しないで、作成されたローカルユーザーを削除/表示するシステムを構築してください。その後、すべてのシステムを中央ディレクトリに接続するだけです。
今日、これらのタスクのほとんどは、可能な場合はいつでも構成管理システムを介して間接的に処理する必要があります。その後、構成管理システムにある種の検査を実装して、特定のグループだけが特定の項目を管理できるようにすることができます。また、構成管理ファイルの変更を本番システムに適用する前に、少数の人にのみ承認するようにすることもできます。その後、その人は承認された人が各変更を行ったかどうかを確認します。
答え4
Sudoは選択したツールで、グループごとにアクセスを分割できます。
管理者になる3つのグループを作成し、各グループに必要なユーザーを追加します。
/etc/sudoersでコマンドエイリアスを設定する
Cmnd_Alias APPADM = /usr/bin/yum
Cmnd_Alias USEADM = /usr/sbin/useradd
Cmnd_Alias NETADM = /usr/bin/ServiceNetwork*
その後、グループへのアクセス
%appadm ALL=(ルート) APPADM
%useadm ALL=(ルート) USEADM
%netadm ALL=(ルート) NetADM
似たようなことがうまくいくはずです。