Я активно использовал группы пользователей при разработке политик контроля доступа. Я нахожу группы пользователей очень удобными, поскольку их очень легко реализовать с помощью PAM.
Другая причина, по которой я организовал пользователей в различные группы, заключается в реализации (минимальной) RBAC. Но когда я увидел файл sudoers(компании, в которой я работаю), я увидел, что он состоит из различных, User_Aliasа не из групп. Я понял, что использовать Command_Aliasили Host_Alias, но у меня есть вопросы,
- Почему
User_Aliasвместоgroups? - Хорошо или плохо использовать группы вместо псевдонимов?
решение1
Вы можете использовать User_Aliasвместо %group, когда хотите, чтобы конкретный пользователь имел больше (или меньше) привилегий, но нет необходимости создавать новую группу — это просто один пользователь, или пользователь существует временно, и создание конкретной группы не нужно и т. д. Это просто еще один вариант настройки Linux. С ним вы не ошибетесь.