Muszę umożliwić użytkownikowi martin
przejście na użytkownika martin-test
bez hasła
su - martin-test
Myślę, że można to skonfigurować /etc/pam.d/su
. W tym pliku jest już kilka wierszy, które można odkomentować. Jednak nie podoba mi się pomysł dodania użytkownika martin
do grupy wheel
. Nie chcę dawać martin
więcej przywilejów niż możliwość zmiany martin-test
. Ja też nie chcę używać sudo
.
Jaki byłby najlepszy sposób na to, przy jednoczesnym utrzymaniu martin
minimalnych uprawnień użytkownika ?
sudo
tylko z tego powodu (zwykle nie używam sudo
i nie lubię tego szczególnie). I myślę, że używanie pam
jest czystszym i bardziej przejrzystym sposobem na to.
sudo
było przeznaczone. Jakie są zastrzeżenia oprócz tego, że normalnie go nie używasz?
pam
, wolałbym to sudo
. Jeśli sudo
jest to jedyna możliwość, to też jest w porządku. Moje zastrzeżenia sudo
są głównie ideologiczne: nie podoba mi się pomysł użytkownika administrującego sudo foo
. Kiedy potrzebuję administracji, loguję się jako root. W przeciwnym razie loguję się jako użytkownik. Te dwie różne role nie powinny być mieszane. Ponadto mam już pam
zainstalowaną infrastrukturę. Nie chcę instalować innego setuid
programu, który może wprowadzić błędy bezpieczeństwa.
sudo foo
określonych poleceń. Sudo ma, sudo -s
który uruchomi powłokę. sudo jest bardzo powszechnym narzędziem, co oznacza, że jego bezpieczeństwo zostało dokładnie sprawdzone, o wiele bardziej niż inne oszustwa. Argumentowałbym również, że uzyskanie powłoki root do zadań jest znacznie bardziej niepewne niż uruchamianie określonych poleceń. Po uruchomieniu powłoki uruchamiasz wszystko jako root. Jeśli którakolwiek z tych rzeczy (np. Prosta ls
) ma lukę w zabezpieczeniach, właśnie otworzyłeś lukę w zabezpieczeniach.
sudo
npsudo -u martin-test -i
. Czy jest jakiś powód, dla którego pytasz konkretniesu
?