/etc/sudoers vs /etc/sudoers.d/ file，用于为用户启用sudo

Question

我正在使用Yocto为一个董事会建立形象。我已经禁用了root用户。我正在添加一个新用户，比方说adminuser1。在我看来，有两个选项可以让adminuser1成为管理员。

• 在/etc/sudoers中将adminuser1添加到sudoers
• 创建一个新文件/etc/sudoers.d/0001_admin1并添加一行adminuser1 ALL=(ALL) ALL

默认的/etc/sudoers有sudo组注释的# %sudo ALL=(ALL) ALL

我正在努力理解哪一种方法在安全方面是更好的办法：

• 我应该将adminuser1添加到sudo组并取消/etc/sudoers中的# %sudo ALL=(ALL) ALL注释吗？
• 在文件中添加/etc/sudoers.d/0001_admin1和只添加adminuser1 ALL=(ALL) ALL。

Answer 1

维基百科：

最小特权原则(也称为最小特权原则或最小权限原则)要求，在计算环境的特定抽象层中，每个模块(如进程、用户或程序，视主题而定)只能访问其合法目的所需的信息和资源。

这意味着选项2是最好的选项，因为您可以定制adminuser1的权限。使用选项1，在将来将adminuser2添加到sudo组时，它们将具有相同的特权，不允许您裁剪两个用户的权限。

此外，始终使用visudo编辑sudoers文件。

HTH