现在,许多Linux用户熟悉sudo。Ubuntu普及sudo做了大量的工作,而不是迫使鼓励用户转换到root帐户安装软件和执行其他管理任务。但也有许多其他的用户和管理员应该知道sudo。



许多用户不知道的是,sudo可以用来为任何用户执行命令,不只是一个root用户。在管理员经验丰富,sudo可以用来建立细粒度的权限授予用户没有权限打开门执行一些管理任务。让我们看看一些使用sudo控制系统访问权限和用户可以保持效率的最佳实践看。



记住,你必须使用visudo命令来编辑 / / sudoers文件等。



受信任的用户拥有完全的访问权限,允许他们像任何用户一样执行任何命令,这看起来既诱人又简单。请将诱惑排除在外,因为您希望限制访问尽可能少的权限。



1。限制账户切换:不配置sudo允许用户切换到其他账户,只要它是可能的。相反,你可以尝试配置sudo允许用户在他们需要操作用户的身份执行特定的命令。例如,用户需要安装的软件,让它们运行转速或APT作为根用户,但不可转换为root用户。



2、不要使用:最常见的错误是授予所有权限mdash;mdash,这意味着你可以访问所有的命令,访问所有用户,或访问任何其他权限。虽然权限锁定需要时间和精力,这是值得的麻烦。



三.分割sudoers:如果有很多的系统来管理,而不想复制同样的 / / sudoers文件等所有系统,然后sudoers文件可以被分割成几块,包括将文件与特定的sudo配置调用。例如,如果你想使用同一套指令当管理Apache和MySQL,你可以把一个独立的sudo.mysql文件并使用包括指令从文件主sudoers称它。



4。使用组好:如果可能的话,它是由组而不是单个用户授权。例如,有一个管理组有管理权限的管理软件包和更新。在这种情况下,不需要编辑或编辑sudoers文件等等,每一次用户--添加或删除;只要确保用户正确使用和添加或删除管理员组。



5。超时设置:确保有一个合适的超时设置。如果太短,用户会非常沮丧。最好的方法是设置大约5分钟。



6、遵循正确的路径:由指定的secure_path sudo指令,在路径锁定从二进制文件;——确保用户不能执行命令外secure_path。



7。日志日志文件:默认情况下,可以在一个共同的信息输入日志文件的其他系统消息记录日志。单用户系统如Ubuntu的桌面,这是一个可以接受的解决方案,但它不是服务器做的那么好。sudo配置有其自己的日志文件,所以,使用sudo的使用和sudoers的变化更加透明。



其中sudo不能用,sudo是一个功能强大的工具,但它是不容易配置,它是很难维持的。如果一个有经验的管理员用不多的系统,它是一个完整的方法来实现基于角色的访问控制。但如果它是一个更大的企业,与数十家IT人员和几十个甚至几百个服务器的sudo权利将很快暴露。其他工具可以用来支持sudo。一种方法是使用配置框架,如木偶,管理多个系统的sudo配置。这将为企业,主要是基于Linux和UNIX是特别有效的,虽然偶的学习曲线有点陡峭。



如果企业已经部署了微软的活动目录(Active Directory)的混合网络,Linux和Windows服务器的企业,同样也可用于集成Linux和UNIX系统为活动目录管理。这不仅可以链接的Linux和Unix登录与Active Directory可信网络,而且管理sudo配置网络中的所有服务器。



其他工具可以协助补充sudo提供更强大的特权用户管理,重要的一点是评估网络和确定sudo就可以满足需要。对于小企业来说,sudo往往是足够好mdash;mdash;如果你能做的最好的实践,充分了解sudo配置。如果你无法管理sudo的正确,它比简单的共享根信任几乎坏的,因为它提供了一种虚假的安全感,知道如何使用sudo和根据这些最佳实践做