sudoの付与に使用する方法

13

ユーザーを追加することの違いは何である/etc/sudoersとはusermod -a -G sudo?sudoを付与するにはどの方法を使用する必要がありますか?

ubuntu  sudo 
ソニーク
ソース
6
Ubuntuの場合、/etc/sudoersどのような条件下でも編集を非常に強く避けてください。代わりに、構成フラグメントを/etc/sudoers.dディレクトリに追加します。fragmentsフォルダを使用すると、conffileを変更したためアップグレードが簡単になります。
ゾレダチェ14年
@Zoredache-素晴らしい点。私の答えにそれを追加してもいいですか?私はそれを信用したくありませんが、コメントの神が何らかの理由でこれを否定する場合、このヒントはどこかに答えに住んでいるはずです。
EEAA 14年
2
@EEAA、上記を使用する許可、および実際の回答にマージするために投稿する他のコメントを許可します。私は完全な回答を追加するのが面倒で忙しいのでコメントを追加しますが、人々が私のコメントを受け取ってそれらを完全な良い回答に統合するかどうかは気にしません。
ゾレダチェ14年

回答:

19

回避できる場合は、個々のユーザーにsudo特権を付与しないでください。常にグループに特権を付与してから、そのグループにユーザーを追加してください。

ubuntuベースのサーバーでは、に行を/etc/sudoers追加する代わりに、に設定ファイルの断片を追加します/etc/sudoers.d。これは、より柔軟で、理解しやすく、アップグレードに対する回復力があり、構成管理システムによって管理されるシステムでより適切に機能します。

注:/etc/sudoers直接編集しないでください。代わりに、を使用しますvisudo。これは、編集に対して構文チェックを実行し、無効な構文でsudo構成を壊さないようにします。

EEAA
ソース
にグループを追加してみません/etc/sudoersか?
フラクディネンノ14年
1
@FlakDiNenno-そうです、まさにそれが私が提案したものです。
EEAA 14年
ああ...私はあなたが言及していると思ったusermod -a -G sudo
フラクディネンノ14年
直接編集の代わりにvisudoを使用することに関する警告に対して+1
Flak DiNenno 14年
約良い点visudo。一部の人々は/etc/sudoers、読み取り専用としてマークされている理由があることに気付いていません。
ub3rst4r 14年
9

私はこの小さな情報を見つけました... -GUbuntu のオプション、特に組み合わせ-gオプションの使用には特に注意する必要があるようです。そう:

  1. usermod -aGユーザーをグループに追加するために使用します。
  2. 次に、@ EEAAが示唆したように$ sudovisudoコマンドを使用してグループを/ etc / sudoersファイルに追加します(構文チェックを使用して特権エディターを自動的に呼び出します)。

以下は、http//ubuntuforums.org/showthread.php?t = 1240477-aGから取得したUbuntu のオプションに関する情報です。

「私はWileyの「Linuxコマンドラインとスクリプティングバイブル」を読んでいます-そして、彼らはusermod -Gがあなたが修正しているユーザーアカウントにグループを「追加する」と言いました。これはUbuntuでは間違っていることがわかりましたが、他のディストリビューションで違うだけなのか、本のタイプミスなのかわかりません。デフォルトのユーザーグループ(-gオプションで変更)を除く、所属する他のすべてのグループからユーザーを削除します。私は管理グループから自分自身を削除することができたため、何もsudoできなくなりました。復旧モードに感謝します...」

正しいオプションはusermod -aGです。学んだ教訓...

フラク・ディネンノ
ソース
2
ここでいくつかの建設的な批判を提供するダウンボッターに礼儀を持たせることができます。ティア。
フラクディネンノ14年
私はあなたに反対票を投じませんでしたが、あなたの「答え」は、尋ねられた質問に本当に答えません。これは非常に厳格なQ&Aサイトであり、通常、回答は質問に対する直接の回答であると考えられます。ところで、はい、あなたは少しあなたが質問に少し対処していることを知っていますが、あなたの「答え」はEEAAが言ったことをほとんど言っているようですが、この奇妙な癖について警告されます。
ゾレダチェ14年
@Zoredacheお時間を割いていただきありがとうございます。ステップ1と2は、「sudoを付与するための好ましい方法」の手順を明確に示していませんか?OPは何を求めましたか?
フラクディネンノ14年
1

環境の大きさはわかりませんが、複数のマシンの場合、LDAPを使用してローカルにsudoerを編集する代わりに(fragmentsメソッドを使用して)設定sudoすることを検討することもできますvisudo/etc/sudoers.d

LDAP構成は、複数のマシンが同じsudo構成であることを確認する十分にテストされた方法であり、優れた統合環境を提供します(重要な許可メカニズムの中央管理を備えています)。お使いの環境で認証/承認にすでにLDAP(またはAD)を使用している場合のボーナスとして、既存のインフラストラクチャを利用できます(そして、そうでない場合は真剣に検討する必要があります-集中化には多くの利点があります)。

承認済みグループの作成に関する他の回答で既に述べていることはすべてそのままです。グループに特権を付与し、グループメンバーシップを管理するようにスケールアップすると、個々のユーザーの権利を管理するよりも簡単です。

voretaq7
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.