사용자를 "루트" 그룹에 추가해야 하는 타당한 이유가 있습니까?

사용자를 "루트" 그룹에 추가해야 하는 타당한 이유가 있습니까?

sudo사용자 및 그룹 생성, sudoers파일 편집 등에 관해 온라인에서 많은 토론이 있습니다 .

예를 들어 민감한 구성 파일이나 쉘 스크립트가 있을 수 있으며 파일 소유권을 root:rootchmod 등 0700으로 설정했을 수 있습니다.

sudo로 서버에 로그인하면 sudo ...이러한 파일에 직접 액세스할 수 있습니다.

그런데 구체적으로 사용자를 추가하는 데 좋은 사례가 있는지 궁금합니다. sudo 사용자, root그룹용... 이렇게 해야 할 이유가 있습니까? 아니면 모범 사례를 따른다면 이 작업을 수행할 필요가 전혀 없습니까?

답변1

루트 사용자와 달리 이 root그룹에는 고유한 권한이나 권한이 없습니다. 따라서 그룹에서 얻는 특수 권한은 그룹의 파일에 대한 그룹 권한 root때문이거나 sudo와 같은 기능이 추가 권한을 제공하도록 구성될 수 있기 때문입니다.root

이 그룹은 sudo에 사용되었으며 rootsudo 그룹 외에도 많은 구성 파일에 여전히 존재합니다. 또한 당시에는 그룹 0을 " wheel"라고 불렀습니다 root. 명확성을 위해 wheel여기서는 그룹 루트를 user 와 구별하기 위해 ""로 지칭 하겠습니다 root.

Unix 보안의 추세는 시스템 파일의 소유권을 가져오는 것입니다. root:wheel이러한 소유권으로 인해 파일이 손상(또는 유출)되기가 더 어려워진다는 가정이 있습니다. 따라서 wheel이를 다른 용도로 사용하는 것이 아니라 특수 그룹(예: sudo교체) 을 만들고 wheel가능한 추가 권리를 더욱 분리하고 희석하는 경향이 있습니다 wheel.

따라서 사용자를 추가하는 것이 합당한지 여부는 wheel전적으로 어떤 추가 액세스가 제공되는지에 따라 결정됩니다. 이미 그룹에 속해 있는 경우에는 그룹에 대한 액세스 권한을 부여받을 sudo필요가 없습니다 . 휠에 독점적인 읽기 또는 쓰기 액세스 권한이 있는 파일이 wheel있습니까 ? wheel문제의 사용자에게 필요한가요, 아니면 필요한 경우 문제가 발생하나요?

예를 들어, 특정 시간에는 root또는 로만 로그 파일을 읽을 수 있습니다 wheel. 현재 추세는 이 권한을 더욱 분리하려는 시도에서 대부분의 로그 파일 그룹을 로 변경 adm(또는 유사한 철자법)하는 것입니다. 하지만 그룹에 일부 로그 파일의 흔적이 여전히 남아 있을 수 있습니다 wheel. 다른 영역에서도 유사한 변화가 발생하여 이전에 다루었던 권한이 더욱 약화되었습니다 wheel.

권한 이 있는 경우 왜 wheel(또는 adm) 권한이 필요합니까 sudo?

sudo를 덜 자주 사용하고 sudo 사용에 덜 익숙할수록 사용자로서 수행해야 하는 작업을 실수로 루트로서 수행할 가능성이 줄어듭니다. 따라서 로그 파일을 검사하려면 sudo(예를 들어)를 사용해야 하며, 로그 파일 이름을 얻기 위해 파일 이름 완성을 사용하는 것조차 불편하고 잠재적으로 위험할 수 있습니다. 사용자를 파일 그룹(및 해당 상위 디렉터리)에 추가하는 것이 좋습니다.

관련 정보