यह हमेशा से मेरी विचारधारा रही है कि, एक उपयोगकर्ता के रूप में आप लिनक्स पर और बाकी सब चीजों के लिए जो चाहें कर सकते हैं sudo
। sudo
कुछ चीजों को कुछ अन्य उपयोगकर्ताओं के रूप में निष्पादित करने की अनुमति देता है, ज्यादातर मामलों में root
सिस्टम प्रशासन के लिए। sudo
मेरे रूटीन कार्यों और विशेषाधिकारों को कुछ (कुछ) उपयोगकर्ता को कुछ अन्य लोगों को सौंपने के लिए अधिक से अधिक लाभ संसाधन रहा है और अपने समय और दूसरों के समय को बेहतर बनाने के लिए और अधिक से अधिक विशेषाधिकार प्राप्त किए बिना बेहतर प्रबंधन करने में मदद करता है। उसी समय, यह उन पर मेरा विश्वास है जो उनकी प्रविष्टियों को उपस्थित रखता हैsudoers
विन्यास फाइल। मुझे यकीन नहीं है कि अगर यह संबंधित हो सकता है, लेकिन मैं क्या कह सकता हूं कि, सुडो आपको एक बेहतर सुरक्षा परिप्रेक्ष्य देता है कि सभी कौन और वे अपने विश्वसनीय विशेषाधिकार के साथ क्या कर सकते हैं। यहां तक कि अगर कुछ गलत हो जाता है, तो भी वे जिम्मेदार होते हैं। (मैं हमेशा कुछ डरपोक चोटी कर सकता हूं सूडोज के साथ अपराधियों को खोजने के लिए लॉग जानकारी)। मेरे लोगों ने हमेशा मुझे अपनी चिंता व्यक्त की है कि उन्हें लिनक्स वातावरण में उन्नत विशेषाधिकार के साथ जो कुछ करना चाहते थे, उसके लिए उन्हें सूडो टाइप करना होगा। यहाँ भी मुझे वही सवाल मिला।
विकल्पों को खोजने के लिए समाधान और मेरी खोज को देखने के लिए, मैं संसाधन आधारित अभिगम नियंत्रण RBAC
पर आया था, लेकिन Solaris
जैसे उपकरण pfexec
आदि के साथ एक अन्य साहसिक भूमि में । यह दृष्टिकोण अधिक बेहतर है क्योंकि इससे उपयोगकर्ताओं के विशेषाधिकार पहले से ही बढ़ जाएंगे और भरोसा करेंगे विवेक और सतर्कता पर sysadmins अपने विशेषाधिकारों के साथ क्या करना चाहते हैं।
RBAC के उपलब्ध समाधान और लिनक्स दुनिया में इसके कार्यान्वयन को ध्यान में रखते हुए, मैं भर में ठोकर खाई
SELinux http://www.ibm.com/developerworks/linux/library/l-rbac-selinux/
grsecurity http://en.wikipedia.org/wiki/Grsecurity
और जबकि कुछ अन्य कार्यान्वयन हैं, मैं सूची के शीर्ष क्रम में उन पर विचार करूंगा। RBAC को लागू करना एक संगठन में बहुत काम है, खासकर जब कई उपयोगकर्ता हैं। RBAC सजातीय वातावरण में अधिक बड़े समाधान की ध्वनि करेगा। हालांकि, जब नेटवर्क में विषम यूनिक्स इंस्टॉलेशन होते हैं और उपयोगकर्ता डेटाबेस सामान्य होता है, तो यह संभवतः विफल हो जाएगा। चूंकि SELinux Solaris पर स्केलेबल / लागू नहीं है और RBAC / pfexec टूल लिनक्स पर लागू नहीं होते हैं। किसी एक काम को करने के लिए अलग-अलग दृष्टिकोण मौजूद हैं। उदाहरण के लिए: http://blogs.oracle.com/darren/entry/opensolaris_rbac_vs_sudo/howto
नेटवर्क वाइड विभिन्न इंस्टॉलेशन इस दृष्टिकोण का समर्थन नहीं कर सकते हैं (हालांकि ओपनब्रैक को सामान्य कार्यान्वयन दृष्टिकोण माना जा सकता है) जैसे कि sudoers एकल होस्ट दृष्टिकोण है या नेटवर्क / डोमेन में केंद्रीकृत कॉन्फ़िगरेशन के लिए सक्षम नहीं है।/etc/sudoers
हर बार समन्वयित किए जाने की आवश्यकता होती है। अधिक जानकारी, sudoers फ़ाइल को संचालित करते समय नॉलेजबेस की आवश्यकता होती है, किसी भी गलतियों को न करने और किसी भी अनुदान की अनुमति देने के लिए sudoers कॉन्फ़िगरेशन की नीति भाषा को समझना आवश्यक है। RBAC एक हद तक एक केंद्रीकृत दृष्टिकोण की पेशकश कर सकता है, जबकि सुरक्षा प्रोफाइल सामान्य हो सकती है, दी गई भूमिका से एक उपयोगकर्ता को जोड़ना / हटाना एक ही स्थान से किया जा सकता है (यह वह जगह है जहां उपयोगकर्ता / पासवार्ड / समूह की जानकारी संग्रहीत है) डोमेन जैसे LDAP, NIS या AD)। यह भी स्पष्ट रूप से कुछ, जा रहा है जैसे smexec, smmultiuser जैसे RBAC डेटाबेस पर काम करने के लिए आवश्यक आदेशों को समझने की आवश्यकता होगी।
सूडो यहां अभी भी अधिक क्रॉस-प्लेटफ़ॉर्म दृष्टिकोण की पेशकश कर सकते हैं, यह सभी यूनिक्स / जैसे प्लेटफार्मों पर काम करता है जो सेट्यूड सुविधाएँ प्रदान करते हैं। दोनों sudo
और RBAC
गैर-रूट उपयोगकर्ताओं को कुछ विशेषाधिकार है कि देने के साथ किया जा सकता है में सफल होने दे रही है root
पासवर्ड ही। सूडो कमांड लाइन के तर्कों पर अधिक बारीक / बारीक आधारित दृष्टिकोण दे सकते हैं जिनका उपयोग कमांड चलाते समय किया जा सकता है और विशुद्ध रूप से प्रतिबंधित किया जा सकता है कि तर्कों के साथ कमांड को उन्नत विशेषाधिकार के साथ कैसे चलाया जा सकता है। जबकि RBAC स्थापित कमांड या बायनेरी तक का उपयोग करने के लिए प्रतिबंधित हो सकता है लेकिन कमांड लाइन के तर्कों पर कोई नियंत्रण नहीं है। जबकि आरबीएसी वातावरण में ऑडिटिंग बेहतर और निर्मित हैsudo
, यह विन्यास पर निर्भर करता है और साथ ही साथ सिक्योरिटी की कमी के कारण (जैसे शेल को मंजूरी नहीं देता है और विशेष रूप से मेजबानों को किसी भी समस्या के बिना अन्य होस्ट में प्रवेश करने की अनुमति है)। ये कुछ अंतर हैं जो मैं उद्धृत कर सकता हूं और मुझे व्यक्तिगत रूप से आरबीएसी की तुलना में सुडो का उपयोग करने के लिए झुकाव है, हालांकि उक्त सीमाओं के साथ मैं कुछ कामों को लागू करने में आ सकता हूं। आरबीएसी द्वारा बेहतर सूदो के लाभ के लिए सभी समस्याओं को संबोधित किए जाने तक, मुझे नहीं लगता कि सूदो के लिए यह सरल है।