我在設計存取控制策略時大量使用了使用者群組。我發現用戶群組非常方便,因為使用PAM.
我將使用者組織為不同群組的另一個原因是實施(最小)RBAC。但是當我看到sudoers(我工作的公司的)文件時,我發現它是由各種User_Alias而不是使用群組組成。我明白使用Command_Aliasor的意義Host_Alias,但我的問題是,
- 為什麼要使用
User_Alias而不是groups? - 使用群組而不是使用別名是好是壞?
答案1
您可能希望使用User_Alias而不是%group當您希望特定用戶擁有更多(或更少)權限,但不需要創建新群組 - 它只是一個用戶,或者用戶暫時存在並且創建特定群組是不必要的,等等。只是在Linux 中配置事物的另一種選擇。你不會出錯的。