Как sudo соотносится с Solaris? (больше всего интересует Solaris 11)

Мы будем создавать новую модель сборки сервера с использованием Solaris 11, и я хотел узнать немного больше о sudo.

У меня было очень ограниченное представление о том, как это работает в Ubuntu Linux, но мы используем это только для рабочих станций. Интересно, есть ли потенциал в Solaris.

Я понимаю, что некоторым пользователям может быть предоставлен root-доступ без предоставления им root-пароля. Мне это нравится.
Я также видел, что это подразумевает, что какие-то сопоставления могут применяться только для разрешения определенного доступа. Это, конечно, имеет ограниченное использование, но может
- добавить уровень работы, прежде чем пользователь сможет саботировать систему, возможно, отложив саботаж до тех пор, пока его / ее доступ не будет отменен. (это никогда не должно быть проблемой, но было бы хорошо иметь меры на случай, если через пару лет возникнет неверное доверие)
- предотвращать ошибки, например, случайное отключение не той машины.
- упростить некоторые процессы, например, пользователю может быть поручено поддерживать DNS-сервер в актуальном состоянии, и в этом случае ему может быть предоставлен доступ к конкретный файлы зоны, а также разрешение на запуск svcadm refresh dns-server.

Мои вопросы

Какие возможности применимы к Solaris, в отличие от Linux или просто мифа?
У вас есть рекомендуемые материалы для чтения sudo? (что касается Solaris)
Вы порекомендуете мне его использовать или просто останетесь с su -?

solaris sudo

sudo работает в Solaris почти так же, как и в Linux, FreeBSD, AIX и т. д. - Основное предостережение заключается в том, что вам необходимо установить и настроить его в Solaris (Вы можете скачать это здесь).

На этом веб-сайте также есть обширная документация по sudo, и если вы не знакомы с ней, я бы посоветовал вам потратить некоторое время на то, чтобы прочитать о том, что такое sudo и что он может сделать для вас, а затем подумать о том, как лучше всего интегрировать его в вашу среду.

Обратите внимание, что я не верю, что на данный момент существуют пакеты Solaris 11 для sudo - вам, вероятно, придется скомпилировать его самостоятельно (и / или создать свой собственный пакет). Это не так уж сложно: прочтите документацию и продолжайте внимательно. Если вы чувствуете, что не в своей тарелке, есть списки рассылки (опять же, см. Сайт, на который я ссылался выше), которые могут вам помочь.
Как указывали другие sudo очевидно был поглощен Solaris 11 - без компиляции, только конфигурация.
Опять же, документы на сайте, указанном выше, расскажут вам почти все, что вам нужно знать.

С точки зрения безопасности я бы ОПРЕДЕЛЕННО рекомендую использовать sudo - не выдавать настоящий Пароль root - огромное преимущество, а более детальный контроль доступа стоит необходимого администрирования.

Sudo работает с Solaris точно так же, как и с Ubuntu и т. Д., Поэтому любой предыдущий опыт работы с ним будет полезен. Однако Solaris поставляется с управлением доступом на основе ролей (RBAC), который дает вам довольно точный контроль над тем, что людям разрешено запускать с повышенными привилегиями.

Использование sudo или RBAC предпочтительнее su, поскольку их можно использовать для регистрации предпринятых действий.

Какие возможности применимы к Solaris, в отличие от Linux или просто мифа?

Это тот же код, и параметры компиляции аналогичны тем, которые используются в Linux, поэтому настройка и назначение идентичны. Одно отличие состоит в том, что root (по умолчанию) является ролью в Solaris 11 Express, а не учетной записью пользователя. Это означает, что использование sudo или rbac (pfexec) теперь обязательно в Solaris.

У вас есть рекомендуемые материалы для чтения по sudo? (что касается Solaris)

Вы, вероятно, найдете этот документ интересным, он объясняет, почему sudo был введен в Solaris: http://mail.opensolaris.org/pipermail/opensolaris-arc/2008-June/009146.html

Вы бы порекомендовали мне его использовать или просто остаться с su -?

sudo или pfexec лучше, чем su - Чем меньше кто-то пользуется root, тем лучше. Sudo имеет собственную функцию ведения журнала. pfexec имеет некоторые дополнительные возможности и интегрируется с аудитом Solaris, поэтому в некоторых случаях может быть предпочтительным решением.

Два примечания:

В Solaris 11 express входит sudo, поэтому вам не нужно его компилировать или даже устанавливать в этой ОС.
При установке по умолчанию sudo является обязательным компонентом, поскольку root по умолчанию не подходит для прямого входа в систему, а установщик больше не использует rbac для предоставления дополнительных привилегий исходной учетной записи пользователя.

В Solaris можно использовать как sudo, так и RBAC. До версии 11 приходилось устанавливать sudo самостоятельно.

То, что вы используете в своей системе, будет соответствовать вашим предпочтениям и потребностям. Я рекомендую использовать RBAC. Он получил более тонкий контроль, который позволит вам позволить пользователю делать только определенные вещи с помощью pfexec или pfedit. Вы также захотите изучить использование RBAC для создания ролей для ограничения привилегий для учетных записей «группы» или «приложения». то есть: Интернет, база данных, ...

Solaris 11 теперь также позволяет вам использовать «roleauth = user», чтобы вы могли использовать пароль пользователя, чтобы принять роль, вместо необходимости поддерживать пароли для ролей. Он также позволяет вам назначить профиль пользователя консоли, чтобы пользователи могли входить в консоль теперь, когда root является ролью по умолчанию.