sudo 与 Solaris 有何关系?(对 Solaris 11 最感兴趣)

sudo 与 Solaris 有何关系?(对 Solaris 11 最感兴趣)

我们将使用 Solaris 11 创建一个新的服务器构建模型,我想了解更多相关信息sudo

我对它在 Ubuntu Linux 中的工作原理了解得非常有限,但我们只在工作站上使用。我想知道它在 Solaris 中是否有潜力。

  1. 我知道某些用户可以获得 root 访问权限而无需提供 root 密码。我喜欢这个。
  2. 我还看到有人暗示某些匹配器可以应用于仅允许某些访问。这当然用途有限,但它可以
    • 在用户能够破坏系统之前添加一层工作,也许会延迟破坏直到他/她的访问权限被撤销。(这永远不应该成为问题,但最好采取措施以防几年后出现错误的信任)
    • 防止错误,例如意外关闭错误的机器。
    • 简化一些流程,例如,用户可能需要负责保持 DNS 服务器的更新,在这种情况下,他们可以被授予访问权限具体的区域文件,以及运行的权限svcadm refresh dns-server

我的问题是

  • 与 Linux 或仅仅是神话相比,Solaris 具有哪些功能?
  • 您有推荐阅读的材料吗sudo?(与 Solaris 相关)
  • 您会建议我使用它吗,或者只是保留它su -

答案1

Sudo 在 Solaris 中的工作方式与在 Ubuntu 等中的完全相同,因此您之前的任何使用经验都很有用。不过 Solaris 确实带有基于角色的访问控制(RBAC),它可以让您非常细粒度地​​控制哪些人可以以提升的权限运行。

与 su 相比,使用 sudo 或 RBAC 更可取 - 因为它们可用于记录已采取的操作。

答案2

sudo在 Solaris 上的工作方式与在 Linux、FreeBSD、AIX 等上的工作方式几乎相同 - 主要需要注意的是,您需要在 Solaris 上安装和配置它(你可以在这里下载)。

该网站还提供了有关 sudo 的大量文档,如果您不熟悉它,我建议您花一些时间阅读 sudo 是什么以及它能为您做什么,然后考虑如何最好地将其集成到您的环境中。

请注意,我认为目前没有适用于 sudo 的 Solaris 11 软件包 - 您可能需要自己编译它(和/或构建自己的软件包)。这并不复杂:阅读文档并谨慎操作。如果您觉得自己力不从心,可以使用邮件列表(再次参见我上面链接的网站)来帮助您。
正如其他人指出的那样,它sudo显然已被 Solaris 11 吸收 - 无需编译,只需配置。
同样,上面链接的网站上的文档将告诉您几乎所有您需要知道的信息。


从安全角度来看确实建议使用 sudo - 不给出真实的root 密码是一个巨大的好处,并且更细粒度的访问控制值得管理。

答案3

  • 与 Linux 或仅仅是神话相比,Solaris 具有哪些功能?

它是相同的代码,并且编译选项与 Linux 上使用的类似,因此设置和目的相同。一个区别是 root(默认情况下)是 Solaris 11 Express 上的角色,而不是用户帐户。这意味着在 Solaris 上现在必须使用 sudo 或 rbac (pfexec)。

  • 您有关于 sudo 的推荐阅读材料吗?(与 Solaris 相关)

您可能会发现该文档很有趣,它解释了为什么在 Solaris 中引入 sudo:http://mail.opensolaris.org/pipermail/opensolaris-arc/2008-June/009146.html

  • 您会建议我使用它吗,或者还是继续使用 su -?

sudo 或 pfexec 更好,su -因为 root 身份越少越好。Sudo 有自己的日志记录功能。pfexec 有一些额外的功能,并与 Solaris 审计集成,因此在某些情况下可能是首选解决方案。

两点说明:

  • Solaris 11 express 捆绑了 sudo,因此您不需要编译它,甚至不需要在该操作系统上安装它。

  • 在默认安装中,sudo 是必需组件,因为默认情况下 root 不适合直接登录,并且安装程序不再使用 rbac 向初始用户帐户授予额外权限。

答案4

您可以在 Solaris 上同时使用 sudo 或 RBAC。在 v11 之前,您必须自行安装 sudo。

您在系统上使用哪种方式取决于您的偏好和需求。我建议您考虑使用 RBAC。它具有更细粒度的控制,允许您让用户使用 pfexec 或 pfedit 仅执行某些操作。您还需要考虑使用 RBAC 创建角色以限制“组”或“应用程序”帐户的权限。即:Web、数据库、...

Solaris 11 现在还允许您使用“roleauth=user”,这样您就可以使用用户密码来承担角色,而无需维护角色的密码。它还允许您分配控制台用户配置文件,以允许用户进入控制台,因为 root 默认是一个角色。

相关内容