¿Qué enfoque es mejor?
Para el uso de escritorio, parece que sudo es mejor ya que:
- Puedo tener un historial más consistente como usuario normal
- No necesito recordar dos contraseñas, lo cual es especialmente cierto cuando no hago cosas administrativas regularmente.
- No es necesario crear una cuenta raíz adicional en la instalación.
Pero acerca de la gestión del servidor?
En el servidor, por lo general, ya tiene una cuenta raíz creada y es probable que realice tareas administrativas con frecuencia. Entonces, las ventajas de sudo ya no parecen sostenerse.
Además, es fácil configurar su en la línea de comandos en la mayoría de las distribuciones, solo agregue el usuario al grupo de rueda. (Incluso puede pasar -G wheel
cuando useradd
ing.) Por lo tanto, la configuración de su se puede automatizar fácilmente en scripts de shell.
Pero para sudo? Primero debe agregar el usuario, que ejecutar de forma visudo
interactiva. Esto es malo ya que no puede automatizarlo en scripts de shell.
(Bueno, puedes. Por ejemplo,
echo '%wheel ALL=(ALL) ALL' >> /tmp/sudoers.tmp
cp /etc/sudoers /etc/sudoers.old
visudo -c -f /tmp/sudoers.tmp && mv /tmp/sudoers.tmp /etc/sudoers
Pero al menos no es tan fácil).
Entonces, ¿cuál es tu opinión? Para un entorno de servidor, ¿cuál preferirá, sudo o su root?
visudo -c
comando, ya que creo que necesitavisudo -c -f
verificar un archivo específico.Respuestas:
La cuenta raíz es necesaria en los servidores con seguridad, pero prefiero otorgar derechos de sudo, especialmente cuando hay varios usuarios en la máquina, y esto por varias razones:
En cuanto a administrarlo con scripts, las nuevas versiones de sudo admiten inclusiones, pero prefiero usar puppet y establecer clases que concatenan los contenidos de sudoers.
Puppet también se puede asociar con Augeas para administrar su archivo de sudoers.
fuente
Parece que te estás poniendo las cosas difíciles a ti mismo (cuando se trata de administrar / etc / sudoers). Un simple
bastaría. Todo lo que hace Visudo es bloquear el archivo contra ediciones simultáneas y asegurarse de que el archivo aún se analiza correctamente.
fuente