为用户分配sudo权限而不是使用root的实际好处是什么?

Modified on: Wed, 10 Jul 2019 17:20:02 +0800

我对服务器管理还比较陌生,我看到很多网站都建议为root用户创建的用户分配sudo权限,并为root用户提供一个非常长的密码以提高安全性。

如果新创建的用户可以执行与root用户相同的功能,那么这样做的实际好处是什么?

最佳答案

使用sudo而不是分发root密码有几个好处。没有特别的顺序:

  • 您没有透露root密码
    作为一般规则,如果有人离开您的公司并且他们知道root密码,您现在必须在任何地方更改这些密码。通过适当的配置管理,这是一个小麻烦。没有它,这是一项繁重的苦差事。

  • 你没有放弃王国的钥匙
    sudo允许您指定用户可以运行的命令的受限列表,因此如果您确定Alice只需要能够停止和启动Apache,但Bob需要完全root权限,您可以相应地设置它们

  • 您可以集中管理授权
    sudo支持LDAP配置,这意味着公司中的每个系统都可以查看中央LDAP服务器,以确定允许谁做什么。
    需要授权(或取消授权)某人?更改LDAP中的sudoers配置,您的所有系统都会立即更新。

  • 有审计线索
    除了允许执行sudo su -sudo sh或等效的用户之外,sudo将生成一个审计跟踪用户运行了什么命令
    (它还会生成一个列表,其中列出了未记录root shell的人员,因此您可以将其指向他们并且不赞成嘶嘶声。)

  • sudo不仅仅是root
    每个人都专注于sudo作为东西的方式,作为su peruser,但这不是所有它对。
    说Alice负责特定的软件构建,但Bob也应该能够运行构建脚本。你可以给Bob一个sudoers条目,让他以Alice的用户身份运行构建脚本。 (是的,当然,有更好的方法来处理这种特殊情况,但Let user A run a program as user B运行程序的原则可能很有用......)。
    当你这样做时,你也获得了我上面提到的所有相同的审计跟踪优势......

作者:,voretaq7

相关问答

添加新评论