sudo или acl или setuid/setgid?
Можно всегда вызывать оболочку cmd с правами администратора (или любой другой метод рун) и использовать инструмент, такой как SETX для изменения пути постоянно. Существующие оболочки и/или запускающие программы будут, вероятно, использовать старый путь, но любая новая оболочка/программа будет использовать новые настройки.
Лучшие практики: поддержите sudoers файл и используйте sudo.
На моей персональной машине я предпочитаю setuid/gid, но я - единственный на своем компьютере; и я не делаю этого ни к чему очевидно опасному как rm.
-
1+1 - I' ve замеченный ACL' s сбивают с толку многих людей, поскольку они не ожидаются/распространены - и Ваши logrotate инструменты сохранят ACLs? Просто используйте sudo - it' s легче для следующего парня, который поймет. – James 2 June 2010 в 00:48
-
2со значением по умолчанию acl набор, logrotate wouldn' t вред вообще здесь. – Xavier Maillard 2 June 2010 в 02:14
Лучшие практики (и наиболее распространенный) склоняются к использованию sudo. Sudo предлагает Вам мелкомодульное управление, и конфигурация может обработать несколько машин внезапно.
Используя ACLs может дополнить это - sudo операции дескрипторов как корень; ACLs дают и устраняют права на каталоги и файлы пользователям и группам. Я не рассчитывал бы на setgid и setuid, чтобы сделать что-либо разумное.
Я также реализовал бы группу колеса; это поможет увеличить безопасность. Проверьте, чтобы видеть если Ваш su программа поддерживает группу колеса.
Еще одна вещь: если Вы имеете view или less как способ считать файл журнала, затем Вы находитесь в опасности: обе из этих программ предлагают доступ оболочки.
-
1Но доступ оболочки может быть отключен в использовании sudoers, ограничивают или noexec. – Paused until further notice. 2 June 2010 в 00:58
-
2Я не вижу, почему setuid/setgid (как mysql здесь) был бы более опасным, чем использование sudo. Наличие корня setuid является другой историей, но здесь мы говорим о некоторых непривилегированных пользователях. – Xavier Maillard 2 June 2010 в 02:13
It seems to me that the sudoers option is a bit more compact than the setuid/setguid/ACL.
Without grouping users, your ACLS will be very long. And if you do group users, you're back to the same place you started.
The bigger issue is that without some kind of central management of it, access control gets spread throughout the filesystem. Of course you can easily get around that with i.e. macros, templating, config management and so on. But that's a whole other layer which does nothing to reduce complexity.
In my small Drupal shop I use ACLs quite extensively for all working files but sudo for all management access. The configuration management layer I'm using is Ansible and the nice thing about that is that I can easily template users, their roles, and therefore what groups they get, on what machines, and so on. Sudoers is similarly managed. That seems pretty best practice to me because it is most transparent.
Of course, I probably don't have near as many users or groups as you. I could envision putting ACLs in config management as well. But for the life of me, I don't see a straightforward way of managing many machines, many users, and many groups that way.