GNU/Linux >> Tutoriels Linux >  >> Linux

Quelle est la différence entre l'ajout d'un utilisateur à sudoers et le groupe root ?

Bien que la question mentionne "Debian Linux server", elle est actuellement étiquetée à la fois avec Debian et Ubuntu. Étant donné que les informations sur plusieurs systèmes d'exploitation semblent présenter un certain intérêt, je vais simplement ignorer complètement les références à des systèmes d'exploitation spécifiques et décrire simplement les normes les plus répandues.

Les groupes sont listés dans /etc/group et il y a souvent un groupe nommé "root". Ce fichier répertorie les noms des groupes et leurs valeurs numériques "ID de groupe" ("GID") correspondantes.

Tout membre d'un groupe nommé "root" aura la possibilité de lire, d'écrire ou d'exécuter des fichiers dont le "propriétaire du groupe" est défini sur le même "ID de groupe" ("GID") que le groupe nommé root. Ainsi, si un fichier appartient à "bin:root" et dispose des autorisations "rwxrwx---", un utilisateur du groupe "root" pourra exécuter le fichier grâce à l'ensemble d'autorisations du milieu.

En revanche, le standard défini par le logiciel "sudo" est basé sur la configuration stockée dans le fichier /etc/sudoers. Dans le fichier /etc/sudoers, les noms de groupe de style Unix sont affichés après des signes de pourcentage, comme indiqué dans la page de manuel sudoers (au format HTML) :section sur le format de fichier "sudoers". Ainsi, une référence à %sudoers dans le fichier /etc/sudoers fait référence à un groupe nommé "sudoers" qui se trouve dans le fichier /etc/groups.

Le fichier /etc/sudoers par défaut ne contient pas de référence à un groupe nommé "sudoers". Notez que je fais référence au fichier /etc/sudoers réel par défaut, que vous pouvez afficher en consultant le référentiel sudo, en cliquant sur "parcourir" dans le cadre de gauche, puis sur "exemples", puis sur "sudoers".

Cependant, de nombreux systèmes d'exploitation ont un fichier /etc/sudoers personnalisé installé par défaut. Il est donc tout à fait possible que votre système d'exploitation ait un support spécial pour un groupe nommé sudoers. Pour comprendre l'impact exact, consultez le fichier /etc/sudoers.

Vraisemblablement, ce qui est probable, c'est que si votre système d'exploitation a un groupe nommé sudoers, alors une personne de ce groupe pourra élever les autorisations à l'aide de la commande sudo. (La méthode recommandée pour confirmer cela impliquerait de vérifier le fichier /etc/sudoers.)

Lorsqu'une personne élève ses privilèges, cette personne peut avoir besoin de saisir une authentification acceptable (un mot de passe) ou ne pas en avoir besoin. Même s'ils le font, après avoir été authentifiés, ils peuvent avoir un "jeton" pendant un certain temps, ce qui leur permettra de s'élever à nouveau sans avoir besoin de s'authentifier à nouveau (jusqu'à ce que ce laps de temps soit écoulé). Cette période de temps est de 5 minutes à moins que /etc/sudoers ne spécifie quelque chose de différent en utilisant une option appelée "timeout".

En revanche, une personne du groupe "root" n'aurait pas besoin de saisir un mot de passe pour accéder à un fichier appartenant au groupe "root".

Notez que le groupe "sudoers" pourrait être préférentiel. En élevant, une personne peut être en mesure d'obtenir un accès superutilisateur complet. (C'est typique. Le fichier /etc/sudoers peut permettre à une personne de basculer vers un autre utilisateur ou de s'élever, mais avec des restrictions sur la commande initialement exécutée. Habituellement, avec des configurations par défaut/simples, une personne qui élève obtient juste plein élévation.) Lorsqu'il est authentifié en tant que superutilisateur complet, un utilisateur n'est généralement pas soumis aux autorisations basées sur les propriétés typiques du système de fichiers Unix (les paramètres "propriétaire" et "propriétaire du groupe"). L'utilisateur peut toujours être soumis à d'autres limitations basées sur les autorisations, telles que les autorisations appliquées par la manière dont une partition a été montée (c'est la raison pour laquelle le logiciel ne permet pas à un utilisateur d'écrire sur un CD-ROM en lecture seule), ou une autre autre raison pour laquelle un fichier peut ne pas fournir d'autorisations (comme si un fichier est verrouillé, indiquant que le fichier est déjà utilisé). Si un fichier appartient à :

racine :racine

et a les permissions de :

rwx------

Ensuite, un utilisateur n'obtient pas d'autorisations sur le fichier simplement parce que l'utilisateur appartient à un groupe appelé "root". Ainsi, le groupe "root" peut être plus pratique (aucun mot de passe nécessaire), bien qu'il puisse être plus limité. (Ou, un groupe dans /etc/sudoers peut être plus limité, en fonction de la configuration de /etc/sudoers.)


Le "groupe racine", comme dans ce que vous spécifiez dans /etc/group, concerne les autorisations Unix. Chaque fichier a des autorisations d'utilisateur, de groupe et "autre". Si un fichier est défini de manière à ce que les utilisateurs du groupe racine puissent le lire, vous pouvez accorder à un utilisateur la possibilité de lire ce fichier en le plaçant dans le groupe racine. Bien sûr, cet utilisateur peut lire chaque fichier dont le bit de lecture est défini pour le groupe racine.

Le fichier sudoers consiste à exécuter des commandes avec l'ID effectif d'autres utilisateurs. Vous avez un contrôle plus précis sur les commandes que chaque utilisateur peut exécuter et en tant que qui. Donc, si vous voulez qu'un utilisateur ne puisse exécuter qu'une seule commande spécifique en tant que root, vous devez le définir dans le fichier sudoers.


Linux
  1. Quelle est la différence entre InnoDB et MyISAM ?

  2. Différence entre l'utilisateur Sudo et l'utilisateur root ?

  3. Quel est le but du groupe "roue" sous Linux

  4. L'utilisateur n'est pas dans le fichier sudoers. Cet incident sera signalé

  5. Quelle est la différence entre ls et l ?

Quelle est la différence entre Linux et Unix ?

Useradd vs Adduser :quelle est la différence ?

Qu'est-ce qu'un Hyperviseur ? Quelle est la différence entre les types 1 et 2 ?

Quelle est la différence entre curl et Wget ?

Quelle est la différence entre unlink et rm ?

Centos 7 - ajouter un utilisateur au groupe sudoers - n'est toujours pas dans le fichier sudoers - pourquoi ?