Я знаю, что я не должен входить в систему как root напрямую, чтобы настраивать вещи на моем сервере. Итак, я всегда создаю новую учетную запись и добавляю ее в / и т.д. / sudoers. Однако я хотел бы получить несколько советов по настройке этой учетной записи для обслуживания.
Вы даете ему домашний каталог? Как ты это называешь? Где вы храните свои сценарии администрирования? и т.д...
Есть две точки зрения на это:
sudoВ первом случае вы просто создаете учетную запись, которая является «вами». Это стратегия, которую вы видите в OS X и Ubuntu; Учетная запись - это просто учетная запись обычного пользователя, которая может изменять системные настройки. Нет никаких особых вещей, которые следует учитывать, просто вы используете sudo при вызове записей командной строки, которые предназначены для изменения системы. В графическом интерфейсе пользователя вам будет предложено ввести пароль, чтобы подтвердить, что на конце клавиатуры действительно находится человек, а не вредоносный скрипт или программа, запрашивающие изменение.
В последнем случае учетная запись очень специфична для этой роли, и вы должны использовать ее только для этих целей. Если вы создадите такую учетную запись, вы захотите сделать ее единообразной. Если у вас есть какая-то установка единого входа (SSO), вам следует посмотреть, что эта схема считает «локальным администратором». Например, если я присоединяю машины Ubuntu к домену Windows и хочу иметь такую административную учетную запись, я создам учетную запись «localadmin» с именем «Локальный администратор», а затем сопоставлю учетную запись как можно точнее с что контроллер домена Windows считает «локальным администратором» на машине. Если вы используете что-то вроде Kerberos, вам может потребоваться создать учетную запись Kerberos, которая при локальном сопоставлении имеет членство в группе adm и предоставить группе adm доступ к системным ресурсам через sudo. Это создает единую учетную запись администратора для всех машин и обеспечивает дополнительную изоляцию.
Бухгалтерский учет (одинокая третья буква A в AAA) предполагает, что вы должны иметь возможность контролировать деятельность людей с административным доступом. Уровень аудита, который вы можете выполнить, зависит от того, насколько жестко вы заблокируете sudo (т.е. если вы позволите кому-то получить оболочку через sudo, вы не сможете увидеть, что они делают в этой оболочке).
Чтобы иметь возможность выполнять этот аудит, вы хотите точно видеть, кто повысил свои привилегии, поэтому учетная запись должна быть привязана к человеку, а не к роли. Человек берет на себя роль, когда они вызывают sudo.
Если вы когда-нибудь захотите иметь две учетные записи, способные выполнять одни и те же задачи администрирования, вам следует предоставить sudo доступ к обеим учетным записям, а не позволять двум разным людям входить в одну учетную запись.
Если вам нужно место для хранения общих скриптов, создайте иерархию каталогов в / usr / local или / opt в зависимости от вашего дистрибутива ОС и / или личных предпочтений.
Обычная учетная запись пользователя, неотличимая от любой другой учетной записи пользователя. Не зная, что вы подразумеваете под «сценариями администратора», на эту часть невозможно ответить, но я могу сказать, что никогда бы не поместил их в домашнюю папку пользователя.