web-dev-qa-db-ja.com

「sudoers」グループと「root」グループにユーザーを追加することの違いは何ですか?

私はいくつかの調査を行い、ユーザーがSudoコマンドを使用できるようにするには、それらを「sudoers」グループに追加する必要があります。これにより、rootのパスワードを入力する限り、root権限が付与されます。しかし、ユーザーに「sudoers」グループの代わりに「root」グループを追加する例にも遭遇しました。私の質問は、2つのグループ間で異なる特権が与えられているか、そしてその場合、それらは何であり、両方の手法の利点は何ですか?

Debian Linuxサーバーを使用しています。

ありがとう

5
Michael

/ etc/groupで指定する「ルートグループ」は、UNIXの権限に関するものです。すべてのファイルには、ユーザー、グループ、および「その他」の権限があります。グループrootのユーザーがファイルを読み取ることができるようにファイルが設定されている場合、ユーザーをグループrootに置くことにより、そのファイルを読み取る権限をユーザーに付与できます。もちろん、そのユーザーはeveryファイルを読み取ることができます。このファイルには、グループルートの読み取りビットが設定されています。

Sudoersファイルは、他のユーザーの有効なIDでコマンドを実行するためのものです。各ユーザーが実行できるコマンドを、誰と同じように細かく制御できます。したがって、ユーザーが特定のコマンドをrootとして実行できるようにしたい場合は、そのコマンドをsudoersファイルに設定します。

4
robbie.huffman

質問は「Debian Linuxサーバー」について言及していますが、現在、DebianとUbuntuの両方でタグ付けされています。複数のオペレーティングシステムに関する情報は興味があるようですので、特定のオペレーティングシステムへの参照を完全に無視し、最も広く普及している標準についてのみ説明します。

グループは/ etc/groupにリストされ、「root」という名前のグループが頻繁に存在します。このファイルには、グループの名前と、対応する「グループID」(「GID」)の数値がリストされています。

「root」という名前のグループの誰でも、「group owner」がrootという名前のグループと同じ「グループID」(「GID」)に設定されているファイルを読み取り、書き込み、または実行することができます。したがって、ファイルが「bin:root」によって所有されており、「rwxrwx ---」の権限がある場合、「root」グループのユーザーは、中間の権限セットのためにファイルを実行できます。

対照的に、「Sudo」ソフトウェアによって設定された標準は、/ etc/sudoersファイルに格納されている構成に基づいています。/etc/sudoersファイルでは、Unixスタイルのグループ名がパーセント記号の後に表示されます。これは sudoersのmanページ(HTML形式):「sudoers」ファイル形式のセクション で説明されています。したがって、/ etc/sudoersファイル内の%sudoersへの参照は、/ etc/groupsファイル内にある「sudoers」という名前のグループを指します。

デフォルトの/ etc/sudoersファイルには、「sudoers」という名前のグループへの参照が含まれていません。実際のデフォルトの/ etc/sudoersファイルを参照していることに注意してください。このファイルは、 Sudo repository を表示し、左側のフレームで[参照]、[例]、[sudoers]の順にクリックして表示できます。

ただし、多くのオペレーティングシステムには、デフォルトでカスタムの/ etc/sudoersファイルがインストールされています。したがって、オペレーティングシステムがsudoersという名前のグループを特別にサポートしている可能性があります。正確な影響を理解するには、/ etc/sudoersファイルを確認してください。

おそらく、オペレーティングシステムにsudoersという名前のグループがある場合、そのグループのユーザーはSudoコマンドを使用してアクセス許可を昇格できると考えられます。 (これを確認する推奨方法は、/ etc/sudoersファイルをチェックすることです。)

人が特権を昇格するとき、そのような人は、受け入れ可能な認証(パスワード)を入力する必要がある場合と、ない場合があります。その場合でも、認証された後、一定期間「トークン」が存在する可能性があります。これにより、再度認証する必要なく(その期間が経過するまで)昇格できます。/etc/sudoersが「タイムアウト」と呼ばれるオプションを使用して別のものを指定しない限り、この期間は5分です。

対照的に、「ルート」グループのユーザーは、「ルート」グループが所有するファイルにアクセスするためにパスワードを入力する必要はありません。

「sudoers」グループが優先される場合があることに注意してください。昇格することにより、ユーザーは完全なスーパーユーザーアクセスを取得できる場合があります。 (これは一般的なことです。/etc/sudoersファイルを使用すると、ユーザーは別のユーザーに切り替えたり昇格したりできますが、最初に実行するコマンドに制限があります。通常、デフォルト/単純な構成では、昇格したユーザーがいっぱいになるだけです。昇格。)完全なスーパーユーザーとして認証された場合、ユーザーは通常、典型的なUnixファイルシステムの所有権(「所有者」と「グループ所有者」の設定)に基づく権限の対象にはなりません。ユーザーは、パーティションがマウントされた方法によって適用されるアクセス許可など、他のアクセス許可ベースの制限を受ける可能性があります(これにより、ソフトウェアはユーザーに読み取り専用のCD-ROMへの書き込みを許可しません)、またはファイルがアクセス許可を提供しない可能性があるもう1つの理由(ファイルがロックされている場合など、ファイルが既に使用されていることを示します)。ファイルが所有している場合:

root:root

次の権限があります。

rwx ------

次に、ユーザーが「root」と呼ばれるグループに属しているという理由だけで、ユーザーはファイルへのアクセス権を取得しません。そのため、「root」グループはより制限されている場合がありますが、便利です(パスワードは不要)。 (または、/ etc/sudoers内のグループは、/ etc/sudoersの構成方法に基づいて、さらに制限することができます。)

7
TOOGAM

まず、rootユーザーは、ubuntuがマシンにインストールされた直後のsudoersグループの最初のユーザーです。次に、rootとスーパーユーザー(たとえばMichael)はどちらも同じuser idUID)of 0これはスーパーユーザーのIDです。彼らは同じ特権を持っています。第三に、唯一の違いは、super userは、特別な権限を必要とするコマンドの前にSudoコマンドを入力する必要がありますが、rootユーザーは入力する必要はありません。それらは名前だけが異なり、認識されます。

1
LD2