Linux

您的“維護賬戶”是如何配置的?

  • August 2, 2009

我知道我不應該直接以 root 身份登錄來配置我的伺服器上的東西。所以,我總是創建一個新帳戶並將其添加到**/etc/sudoers**。不過,我想獲得一些有關配置此維護帳戶的提示。

你給它一個主目錄嗎?你怎麼稱呼它?您將管理腳本儲存在哪裡?等等…

有兩種思想流派:

  • 該帳戶是“正常”帳戶,您可以直接通過sudo
  • 該帳戶的唯一目的是進行管理

在前者中,您只需創建一個“您”的帳戶。這是您在 OS X 和 Ubuntu 中看到的策略;該帳戶只是一個普通使用者帳戶,恰好具有更改系統設置的能力。沒有什麼特別的事情需要考慮,只是在呼叫旨在更改系統的命令行條目時使用 sudo。在 GUI-land 中,系統會提示您輸入密碼以確認鍵盤末端確實有人,而不是惡意腳本或程序,請求更改。

在後面,該帳戶非常特定於該角色,您只能將其用於這些目的。如果您設置這種帳戶,那麼您將希望使其統一。如果您有某種單點登錄設置 (SSO),那麼您應該查看該架構認為的“本地管理員”。例如,如果我將 Ubuntu 機器加入到 Windows 域並且我想擁有這種管理帳戶,我將創建一個名為“Local Administrator”的“localadmin”帳戶,然後儘可能將該帳戶映射到Windows 域控制器認為是機器上的“本地管理員”。如果您使用的是 Kerberos 之類的東西,您可能希望創建一個 Kerberos 帳戶,該帳戶在本地映射時具有 adm 組的成員資格,並通過 sudo 授予 adm 組對系統資源的訪問權限。這將為所有機器創建一個“管理員”帳戶並提供額外的隔離。

引用自:https://serverfault.com/questions/48921