我在设计访问控制策略时大量使用了用户组。我发现用户组非常方便,因为使用PAM.
我将用户组织为不同组的另一个原因是实施(最小)RBAC。但是当我看到sudoers(我工作的公司的)文件时,我发现它由各种User_Alias而不是使用组组成。我明白使用Command_Aliasor的意义Host_Alias,但我的问题是,
- 为什么使用
User_Alias而不是groups? - 使用组而不是使用别名是好是坏?
答案1
您可能希望使用User_Alias而不是%group当您希望特定用户拥有更多(或更少)权限,但不需要创建新组 - 它只是一个用户,或者用户暂时存在并且创建特定组是不必要的,等等。这只是在 Linux 中配置事物的另一种选择。你不会出错的。