我对服务器管理还很陌生,我看到很多网站建议为 root 用户创建的用户分配 sudo 权限,并为 root 用户提供一个非常长的密码以增强安全性。
但是,如果新创建的用户可以执行与 root 用户相同的功能,那么这样做的实际好处是什么?
vor*_*aq7 48
使用sudo过度分发 root 密码有几个好处。没有特定的顺序:
您不会泄露您的 root 密码
作为一般规则,如果有人离开您的公司并且他们知道 root 密码,您现在必须到处更改这些密码。通过适当的配置管理,这是一个小烦恼。没有它,这是一项艰巨的任务。
您不会泄露王国的密钥,
sudo允许您指定用户可以运行的受限命令列表,因此如果您决定 Alice 只需要停止和启动 Apache 的能力,但 Bob 需要完全的 root 权限,您可以设置他们相应地。
您可以集中管理授权
sudo支持 LDAP 配置,这意味着您公司中的每个系统都可以查看中央 LDAP 服务器以确定允许谁做什么。
需要授权(或取消授权)某人?更改 LDAP 中的 sudoers 配置,您的所有系统都会立即更新。
这里有一个审计跟踪
与被允许做用户除外sudo su -,sudo sh或等价的东西,sudo会产生哪些用户已运行哪些命令的审计线索。
(它还会生成一个给自己一个未记录的 root shell 的人的列表,因此您可以将手指指向他们并发出不赞成的嘶嘶声。)
sudo是不是仅仅根更多的好
每个人都集中在sudo作为一种做的东西作为苏每用户,但这不是所有它的好。
假设 Alice 负责特定的软件构建,但 Bob 也应该能够运行构建脚本。您可以在 sudoers 中给 Bob 一个条目,让他以 Alice 的用户身份运行构建脚本。(是的,当然,有更好的方法来处理这种特殊情况,但原则Let user A run a program as user B可能很有用......)。
当您执行此操作时,您还可以获得我上面提到的所有相同的审计跟踪好处......
Mic*_*ton 17
主要区别在于用户sudo使用自己的密码进行身份验证,而使用suroot 登录或直接 root 登录则使用 root 密码。
这意味着您不必与all 和 sundry共享 root 密码,并且如果您将来需要禁用一两个用户的 root 访问权限,您可以为他们禁用它,而不必更改根密码。
sudo还能够限制每个用户可以以 root 身份运行哪些命令,因此如果特定用户不需要完全 root 访问权限,则他们只能访问他们需要执行的任务。
| 归档时间: |
|
| 查看次数: |
4667 次 |
| 最近记录: |