저는 Yocto를 사용하여 마더보드용 이미지를 구축하고 있습니다. 이 사용자를 비활성화했습니다 root. 새 사용자를 추가하고 있습니다 adminuser1. 관리자로서 두 가지 옵션이 있는 것 같습니다 adminuser1.
adminuser1sudoers 가 /etc/sudoers에 추가되었습니다 .- 새 파일을 만들고
/etc/sudoers.d/0001_admin1한 줄을 추가하세요.adminuser1 ALL=(ALL) ALL
/etc/sudoers이 sudo댓글 그룹은 기본적으로 사용 가능합니다.# %sudo ALL=(ALL) ALL
보안 측면에서 어떤 방법이 더 나은지 이해하려고 노력 중입니다.
- 그룹
adminuser1에 추가 하고 주석을 제거 해야 하나요?sudo# %sudo ALL=(ALL) ALL/etc/sudoers - 파일에만 추가
/etc/sudoers.d/0001_admin1하고 추가하세요 .adminuser1 ALL=(ALL) ALL
답변1
sudoers둘 사이의 선택은 sudoers.d보안과는 아무 관련이 없으며 모든 것은 유지 관리성과 관련이 있습니다.
sudo그룹 행의 주석 처리를 제거하여 sudo 액세스 권한이 필요한 모든 사용자를 그룹에/etc/sudoers추가할 수 있습니다 . 설정에 따라 .NET 파일sudo에 새 파일을 추가하는 것보다 쉬울 수도 있고 그렇지 않을 수도 있습니다 .sudoers.d그러나 함께 제공되는 구성 파일을 변경하면 작업이 더 어려워질 수 있습니다(예를 들어 배포판에 sudoers 파일을 덮어쓰는 업데이트가 있는 경우 변경 사항을 유지해야 합니다).- 에 파일을 추가하면
/etc/sudoers.d위에서 암시한 업데이트 문제가 발생하지 않지만 그룹adminuser1대신 구성을 명시적으로 추가하는 경우 sudo 권한을 가지기 위해 더 많은 파일을 추가해야 할 수도 있고 그렇지 않을 수도 있습니다. 올바른 그룹에 추가하는 것보다 더 복잡합니다.sudo/etc/sudoers.d
"최상의" 접근 방식은 없으며 "어떤 파일에서 sudo 권한을 구성해야 합니까?"에 따른 보안 문제도 없습니다. 두 접근 방식의 장점 및/또는 단점을 고려하고 사용 사례에 가장 적합한 접근 방식을 사용하세요.
답변2
위키피디아에서:
최소 권한의 원칙(최소 권한의 원칙 또는 최소 권한의 원칙이라고도 함)에서는 컴퓨팅 환경의 특정 추상화 수준에서 각 모듈(예: 프로세스, 사용자 또는 프로그램)이 주체)는 합법적인 목적의 정보 및 리소스에 필요한 것만 액세스할 수 있어야 합니다.
즉, adminuser1의 권한을 사용자 정의할 수 있으므로 옵션 2가 가장 좋습니다. 옵션 1을 사용하면 나중에 sudo 그룹에 adminuser2를 추가하면 동일한 권한을 갖게 되지만 두 사용자의 권한을 사용자 정의할 수는 없습니다.
또한 항상 사용하십시오.비쥬도sudoers 파일을 편집합니다.
화타이