我知道我不应该以root身份直接login到我的服务器上进行configuration。 所以,我总是创build一个新帐户并将其添加到/ etc / sudoers 。 但是,我想获得关于configuration此维护帐户的一些提示。
你给它一个主目录? 你怎么称呼它? 你在哪里存储你的pipe理脚本? 等等…
这有两个思想stream派:
sudo访问的东西 在前者中,您只需创build一个“您”的账户。 这是你在OS X和Ubuntu上看到的一个策略。 该帐户只是一个正常的用户帐户,恰好有能力更改系统设置。 没有特别的事情要考虑,只是在调用命令行条目来改变系统时使用sudo。 在GUI-land中,系统将提示您input密码以确认键盘末端确实存在人,而不是恶意脚本或程序,请求更改。
在后面,帐户是非常具体的这个angular色,你应该只用于这些目的。 如果你设立了这种帐户,那么你会想要使它统一。 如果您有某种单点login设置(SSO),那么您应该查看该模式认为是“本地pipe理员”的内容。 例如,如果我将Ubuntu计算机joinWindows域,并希望拥有这种pipe理帐户,我将创build一个名称为“本地pipe理员”的“localadmin”帐户,然后将该帐户尽可能地映射到Windows域控制器在机器上认为是“本地pipe理员”。 如果您使用的是Kerberos之类的东西,则可能需要考虑创build一个Kerberos帐户,该帐户在本地映射时具有adm组中的成员资格,并通过sudo授予adm组访问系统资源的权限。 这将为所有机器创build一个“pipe理员”帐户,并提供额外的隔离。
普通用户帐户,与任何其他用户帐户无法区分。 不知道你的意思是“pipe理脚本”,这部分无法回答,但我可以说我永远不会有他们在用户的家庭文件夹。
会计(AAA中孤独的第三个A)表明你应该能够审核具有pipe理权限的人员的活动。 你可以做的审计级别取决于你lockingsudo的紧密程度(例如,如果你让某人通过sudo得到一个shell,你就看不到他们在shell中做了什么)。
为了能够执行这个审计,你想看看究竟是谁提高了他们的权限,所以这个账户应该被绑定到一个人,而不是一个angular色。 当他们调用sudo时,个人扮演angular色。
如果您希望有两个帐户能够执行相同的pipe理任务,则应该让sudo访问这两个帐户,而不是让两个不同的用户login到同一个帐户。
如果您需要存放共享脚本的地方,请根据操作系统发行版和/或个人偏好的要求在/ usr / local或/ opt下创build一个目录层次结构。