Biến HOST trong / etc / sudoers


7

giả sử mymachine:/etc/sudoersbao gồm các dòng

joe  someremotehost = (ALL) NOPASSWD: ALL

nhưng someremotehost:/etc/sudoerskhông không nói bất cứ điều gì đặc biệt về joe, sau đó không những dòng trên có những gì có hiệu lực?

Câu trả lời:


7

Trong cấu hình mặc định của nó, hãy sudotìm sudoerstệp trên máy cục bộ (nghĩa là trên máy được gọi) để xác định phải làm gì - nó không liên hệ với máy chủ khác để tìm hiểu xem sẽ cho phép cái gì , vì vậy trong trường hợp này , joe someremotehostdòng trên máy cục bộ của bạn sẽ không ảnh hưởng đến hoạt động của sudobật someremotehost. Và vì nó chỉ định hạn chế tên máy chủ, sudotrên máy cục bộ của bạn sẽ bỏ qua quy tắc này, vì tên máy chủ trong cấu hình không khớp với tên máy chủ sudonhận được từ thư viện C.

Các sudoerscú pháp tập tin cho phép bạn xác định các giới hạn tên máy để quản lý chính sách đối với một nhóm lớn các đạo binh là dễ dàng như việc chỉnh sửa các tập tin trong một nơi, và sau đó đẩy nó ra để tất cả các host trong lĩnh vực hành chính.


1
Tốt nhất để giữ /etc/sudoersnguyên (không gây rối root) và đồng bộ hóa thư mục cấu hình trung tâm /etc/sudoers.d/trên mọi máy, phải không?
arney

Điều đó có nghĩa là việc giữ TẤT CẢ thay vì một tên máy chủ cụ thể làm cho các sudoers không kém phần an toàn, nếu chỉ được sử dụng cục bộ trên một hộp, phải không?
nhân

4

Khi sử dụng con rối hoặc chia sẻ tệp với nhiều máy chủ trong mạng của bạn, thì phần HOST sẽ trở nên phù hợp hơn.


3

Hiệu quả không có gì. Tệp trên máy chủ từ xa không bao giờ được tham khảo, nhưng tệp cục bộ chỉ cấp quyền cho máy chủ khác, không phải trên máy chủ này.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.