使用 visudo 使wheel组能够运行所有sudo命令会产生哪些不可预见的后果?

使用 visudo 使wheel组能够运行所有sudo命令会产生哪些不可预见的后果?

CentOS release 5.11 (Final)创建了一个用户并将其添加到wheel组中,usermod但是当我查看sudoers文件时,/etc/sudoers相关行被注释掉了。看组:

[root@arrakis ~]# 
[root@arrakis ~]# grep wheel /etc/group
wheel:x:10:root,hawat
[root@arrakis ~]# 
[root@arrakis ~]# su hawat
[hawat@arrakis root]$ 
[hawat@arrakis root]$ cd
[hawat@arrakis ~]$ 
[hawat@arrakis ~]$ whoami
hawat
[hawat@arrakis ~]$ 
[hawat@arrakis ~]$ sudo echo "hello sudo"
[sudo] password for hawat: 
hawat is not in the sudoers file.  This incident will be reported.
[hawat@arrakis ~]$ 

[root@arrakis ~]# 
[root@arrakis ~]# groups wheel ; getent passwd hawat
id: wheel: No such user
hawat:x:505:505::/home/hawat:/bin/bash
[root@arrakis ~]# 

仔细看看sudoers

[root@arrakis ~]# 
[root@arrakis ~]# grep wheel /etc/sudoers
## Allows people in group wheel to run all commands
# %wheel    ALL=(ALL)   ALL
# %wheel    ALL=(ALL)   NOPASSWD: ALL
[root@arrakis ~]# 

我犹豫是否取消注释这些行,以便轮组可以使用sudo.这是一个Elastix 2.5系统CentOS;也许有一个不包含wheel在 sudo 列表中的原因?

我应该继续手动编辑sudoersvisudo

答案1

当然,用 visudo 取消注释该行%wheel ALL=(ALL) ALL显然可以sudo正常工作。强调显然。再说一次,这是 CentOS 上的 Elastix 2.5,两者都不熟悉。如果这是“好的”,那么这就是问题的答案。文件sudoers

[root@arrakis ~]# 
[root@arrakis ~]# grep wheel /etc/sudoers
## Allows people in group wheel to run all commands
 %wheel ALL=(ALL)   ALL
# %wheel    ALL=(ALL)   NOPASSWD: ALL
[root@arrakis ~]# 

现在轮组已启用,明显成功:

[root@arrakis ~]# 
[root@arrakis ~]# su hawat
[hawat@arrakis root]$ 
[hawat@arrakis root]$ cd
[hawat@arrakis ~]$ 
[hawat@arrakis ~]$ sudo echo "foo"
[sudo] password for hawat: 
foo
[hawat@arrakis ~]$ 

有替代解决方案吗?这是否会以某种方式对安全性、操作系统或 Elastix 产生负面影响?我不知道这些问题的答案。

相关内容