sudo 부여에 사용할 방법

에 사용자를 추가 차이점은 무엇이며 /etc/sudoers그리고 usermod -a -G sudo? sudo를 부여하려면 어떤 방법을 사용해야합니까?

이를 피할 수 있다면 개별 사용자에게 sudo 권한을 부여하지 마십시오. 항상 그룹에 권한을 부여한 다음 해당 그룹에 사용자를 추가하십시오.

우분투 기반 서버의 경우에 줄을 추가하는 대신 /etc/sudoers구성 파일 조각 을 에 추가하십시오 /etc/sudoers.d. 이는 업그레이드시보다 유연하고 이해하기 쉬우 며 복원력이 뛰어나며 구성 관리 시스템으로 관리되는 시스템에서 더 잘 작동합니다.

참고 : /etc/sudoers직접 편집하지 마십시오 . 대신을 사용 visudo하면 편집에서 구문 검사를 수행하여 잘못된 구문으로 sudo 구성을 손상시키지 않습니다.

방금이 작은 음식을 발견했습니다 ... 특히 -G우분투 의 옵션, 특히 조합 -g옵션 을 사용하는 데 특히주의해야 할 것 같습니다 . 그래서:

1. usermod -aG사용자를 그룹에 추가하는 데 사용 합니다.
2. 그런 다음 @EEAA가 제안한대로$ sudovisudo 명령을 사용하여 그룹을 / etc / sudoers 파일에 추가하십시오 (구문 검사를 통해 권한있는 편집기를 자동으로 호출 함).

다음 -aG은 Ubuntu 의 옵션에 대한 정보 입니다. http://ubuntuforums.org/showthread.php?t=1240477 :

' 와일리 "리눅스 커맨드 라인과 스크립팅 성경"을 읽고 있는데 usermod -G는 수정하는 사용자 계정에 그룹을 "추가"한다고 말했다. 우분투에서는 이것이 잘못된 것으로 판명되었습니다. 다른 배포판이나 책의 오타가 다른지 모르겠습니다. 기본 사용자 그룹 (-g 옵션으로 수정)을 제외하고 귀하가 속한 다른 모든 그룹에서 귀하를 제거합니다. 관리 그룹에서 자신을 제거하고 더 이상 아무것도 할 수 없었습니다. 복구 모드에 감사합니다 ... '

올바른 옵션은 usermod -aG 입니다. 교훈은 ...

환경이 얼마나 큰지 우리에게 말하지는 않지만, 하나 이상의 머신이라면 , sudoer를 로컬에서 ( 프래그먼트 방법을 통해 또는 조각을 사용하여) 편집하는 대신 LDAP를 사용하여 구성 sudo하는 것을 고려할 수도 있습니다 .visudo/etc/sudoers.d

LDAP 구성은 여러 시스템이 동일한 sudo구성을 갖도록하는 검증 된 방법이며 (중요한 권한 부여 메커니즘의 중앙 관리를 통해) 통합 환경이 훌륭합니다. 이미 환경에서 인증 / 권한 부여를 위해 LDAP (또는 AD)를 사용하는 경우 보너스로 기존 인프라를 활용할 수 있습니다 (심지어 고려하지 않으면 중앙 집중화에 많은 이점이 있음).

승인 된 그룹 생성에 대한 다른 답변에서 이미 언급 한 모든 내용은 여전히 ​​유효합니다. 개별 사용자의 권한 관리를 처리하는 것보다 그룹에 권한을 부여하고 그룹 구성원을 관리하는 것이 더 쉽습니다.