Die HOST-Variable in / etc / sudoers

7

Angenommen, mymachine:/etc/sudoersenthält die Zeile

joe  someremotehost = (ALL) NOPASSWD: ALL

aber someremotehost:/etc/sudoersnicht nicht etwas Besonderes sagen joe, was dann wirkt sich die obige Zeile haben?

Arney
quelle

Antworten:

7

In der Standardkonfiguration sudosieht in der sudoersDatei auf der lokalen Maschine (dh auf der Maschine , auf die sie aufgerufen wird) , um zu bestimmen , was zu tun - es ist nicht in Kontakt mit anderen Host , um herauszufinden , was es erlauben würde, so in diesem Fall würde die joe someremotehostLeitung auf Ihrem lokalen Computer den Betrieb von sudoon nicht beeinträchtigen someremotehost. Und da es eine Hostnamenbeschränkung angibt, würde sudoauf Ihrem lokalen Computer die Regel ignoriert, da der Hostname in der Konfiguration nicht mit dem Hostnamen übereinstimmt, der sudoaus der C-Bibliothek abgerufen wird.

Mit der sudoersDateisyntax können Sie Einschränkungen für Hostnamen festlegen, sodass die Verwaltung von Richtlinien für eine große Gruppe von Hosts so einfach ist, wie die Datei an einem Ort zu bearbeiten und sie dann an alle Hosts in der Verwaltungsdomäne weiterzuleiten.

D_Bye
quelle
1
Am besten bleiben Sie /etc/sudoersunberührt (nicht durcheinander bringen root) und synchronisieren einen zentralen Konfigurationsordner /etc/sudoers.d/auf jedem Computer per Push-Synchronisierung , oder?
Arney
Das würde bedeuten, dass das Beibehalten des ALL anstelle eines bestimmten Hostnamens die Sudoer nicht weniger sicher macht, wenn sie nur lokal auf einer Box eingesetzt werden, oder?
Menschheit und
4

Wenn Sie Puppet verwenden oder die Datei für viele Hosts in Ihrem Netzwerk freigeben, wird der Abschnitt HOST relevanter.

Felipe Alvarez
quelle
3

Eigentlich nichts. Die Datei auf dem Remote-Host wird nie konsultiert, aber die lokale Datei gibt nur die Berechtigung auf dem anderen Host, nicht auf diesem Host.

John
quelle