解决方法
使用sudo而不是分发root密码有几个好处.没有特别的顺序:
>您没有提供root密码
作为一般规则,如果有人离开您的公司并且他们知道root密码,您现在必须在任何地方更改这些密码.通过适当的配置管理,这是一个小麻烦.没有它,这是一件巨大的苦差事.
>你没有放弃王国的钥匙
sudo允许您指定用户可以运行的命令的受限列表,因此如果您确定Alice只需要能够停止和启动Apache,但Bob需要完全root权限,您可以相应地设置它们.
>您可以集中管理授权
sudo支持LDAP配置,这意味着公司中的每个系统都可以查看中央LDAP服务器,以确定允许谁做什么.
需要授权(或取消授权)某人?更改LDAP中的sudoers配置,您的所有系统都会立即更新.
>有审计线索
除了允许sudo su –,sudo sh或等效的用户之外,sudo将生成一个用户运行哪些命令的审计跟踪.
(它还会生成一个列表,其中列出了自己未记录根shell的人,因此您可以将其指向他们并且不赞成嘶嘶声.)> sudo不仅仅是root用户的好处每个人都专注于sudo作为超级用户做事的方式,但这并不是一件好事.说Alice负责特定的软件构建,但Bob也应该能够运行构建脚本.你可以给Bob一个sudoers条目,让他以Alice的用户身份运行构建脚本. (是的,确定,有更好的方法来处理这种特殊情况,但让用户A以用户B运行程序的原则可能很有用……).当你这样做时,你也获得了我上面提到的所有相同的审计跟踪优势……