将用户添加到 sudo 组与创建 sudoers 文件

将用户添加到 sudo 组与创建 sudoers 文件

以下之间的实际区别是什么:

  • 将用户添加到sudo(Debian) 或wheel(RHEL) 组

    sudo usermod -aG sudo/wheel <username>
    

  • 创建一个名为username以下内​​容的文件/etc/sudoers.d/

    username ALL=(ALL:ALL) ALL
    

答案1

有效差异?不多。我能想到的最重要的是,通过将用户添加到sudoers组(或任何需要的组)中,用户需要注销/登录或使用 newgrp才能真正成为该组的成员并能够sudo,而下面的文件/etc/sudoers.d/则不会不需要额外的步骤。

长期维护等,涉及的不仅仅是一个用户……组成员资格可能会“更好”——这实际上取决于工作流程等,并且它会迅速将这个问题进一步推向灰色的模糊状态称为“基于意见的答案”的领域。显然,选择其中之一可能存在一些技术原因(即,www-usersudo不想或无法启动/停止网络服务器),但“哪个更好”几乎总是基于意见和情况。

答案2

sudoers我能看到的唯一实际差异是文件是在不同机器之间共享(部署)的标准的情况。 (并且用户/组数据库由于某种原因未共享。IMO,这种情况不太可能发生。)

sudo在这种情况下,添加到/组的用户wheel将能够以仅该计算机上的任何用户身份执行任何命令,而在文件中具有显式条目的用户sudoers将能够以每台计算机上的任何用户身份执行任何命令。

相关内容