요점은 단 한 명의 사용자에게만 sudo 액세스 권한이 부여되기를 원한다는 것입니다. 실제로는 설정 및 긴급 상황에만 해당됩니다. 나는 항상 sudo 액세스 권한이 있다고 믿지 않습니다. 이를 수행하는 모범 사례가 있습니까? 예:
sudo 액세스 권한을 부여하지 않고 사용자/그룹에게 특정 포트(다른 포트는 아님)에 대한 액세스 권한을 부여합니다. (일부 답변은 net_bind, iptables 및 authbind입니다.) 사용자가 sudo 없이 apache와 같은 서비스를 사용할 수 있는 방식으로 Node.js 등을 설치합니다. 시스템은 다음과 같이 설계되었습니다. 다른 사용자가 사용할 수 있는 프로그램을 설치할 수 있는 광범위한 권한을 사용자 또는 그룹에 부여할 수 있는 방법입니다. 다른 사람에게 sudo 또는 루트 액세스 권한을 부여하지 않아도 해당 사용자는 이를 수행할 수 있는 권한이 없습니다. . 머신이 중단되는 경우(sudoer 중단, /etc/passwd 중단[실제로 나에게 발생한 일], 루트에서 ssh를 통한 로그인을 방해하는 모든 중단 등) 발생하면 어떻게 해야 합니까?
요점은 단 한 명의 사용자에게만 sudo 액세스 권한을 부여하고 싶다는 것입니다. 실제로는 설정 및 긴급 상황에만 해당됩니다. 나는 항상 sudo 액세스 권한이 있다고 믿지 않습니다. 이를 수행하는 모범 사례가 있습니까?
답변1
"최상의" 방법은 모르겠지만 sudo
기본 제한 사항보다 더 편안하다고 느끼면 다음을 수행해야 한다고 생각합니다.
상당히 다른 프롬프트를 사용하여 명시적인 로그인이 필요하고 루트 권한으로
/etc/sudoers
설치 프로그램( 등)을 실행할 수 있는 일반 사용자 "설치" 사용자를 만듭니다.apt-get
yum
다음을 통해 전체 루트 권한을 가진 다른 명명된 사용자를 설정합니다.
/etc/sudoers
루트 권한이 필요한 다른 특정 작업에 대해 첫 번째 작업을 반복할 수 있습니다.
두 번째 지점 대신 루트로 명시적으로 로그인할 수 있습니다. 하나 이상의 특별 계정을 갖는 장점은 일부 작업을 통해 사용자가 눈치채지 못하거나 추가적인 인력(예: 인쇄하여 봉투에 넣어두는 등) 없이 액세스할 수 없는 계정에 대한 비밀번호를 생성할 수 있다는 것입니다. ) 오직 한 사람만이 각각을 알고 있습니다). 결합하다외딴로깅 기능( root
머신 자체의 로그는 변경될 수 있음) 누가 액세스 권한을 얻었는지 추적하고 그 이유와 실제로 필요한지 여부를 확인할 수 있습니다.
나는 지난 30년 동안 Unix와 Linux 시스템에 이런 "컨트롤" 중 하나를 어떤 형태로든 추가해 왔습니다. 완벽하지는 않을 수도 있지만 피해를 제한하고 경우에 따라 소프트웨어 도난을 밝히는 억제책 역할을 하기에 충분합니다.