Я часто слышал, что лучше использовать su для получения root-прав, чем напрямую входить в систему как root-пользователь (и, конечно же, люди также говорят, что даже лучше использовать sudo). Я никогда толком не понимал, почему один лучше другого, понимание?
Вывод состоит только в том, чтобы su или sudo при необходимости.
Для большинства повседневных задач не требуется корневая оболочка. Поэтому рекомендуется использовать непривилегированную оболочку в качестве поведения по умолчанию, а затем повышать уровень до root только тогда, когда вам нужно выполнять специальные задачи.
Поступая таким образом, вы сокращаете количество опасных ошибок (плохие сценарии, неуместные подстановочные знаки и т. Д.) И уязвимостей любых приложений, которые вы используете. Особенно те, которые подключаются к Интернету - см. Старую пословицу "Не использовать IRC как root".
sudo часто рекомендуется, потому что он позволяет детализировать и проверять использование таких привилегий.
Соблюдая эти методы, вы также можете отключить удаленный вход в систему с правами root. Это увеличивает барьер входа для любого потенциального злоумышленника, поскольку им потребуется скомпрометировать как учетную запись обычного пользователя, которая была членом группы «wheel» и в идеале только авторизована открытыми ключами SSH, так и саму учетную запись root.
Вы должны отключить root-доступ с удаленного доступа, чтобы злоумышленник не смог скомпрометировать root, не скомпрометировав сначала пользователя, а затем перейдя на root. Мы разрешаем root-доступ только на консоли.
Плюс к этому создается ответственность. :)
Основная причина - создать контрольный журнал. Если вам нужно войти в систему как обычный пользователь, а затем выполнить su, можно отследить, кто отвечает за определенные действия.
sudo также автоматически регистрирует каждую команду в системном журнале, и вы можете определить команды, которые может использовать каждый пользователь.
Еще одна веская причина: при повышении до root с помощью sudo пользователь аутентифицируется со своими собственными учетными данными, что означает, что ему не обязательно давать пароль root, что упрощает блокировку, когда кто-то покидает вашу организацию.
Если вы хотите создать контрольный журнал и не хотите стать жертвой упомянутых здесь проблем «sudo su -» или «sudo vim foo.txt», вы можете использовать «sudosh». Раздайте root-доступ через sudo, но сделайте единственно допустимую команду для запуска «sudosh».
Sudosh - это оболочка для ведения журнала, и вы можете воспроизвести всю сессию терминала позже, точно показывая, что пользователь видел на своем терминале.
Вы должны глубоко практиковать безопасность.
Запретить удаленный root-доступ (или хотя бы root-доступ через пароли). (если вы разрешаете root-доступ с помощью ключей, тщательно контролируйте эти ключи или, еще лучше, используйте что-то вроде kerberos, которое позволяет централизованно отзывать ключи).
Я бы отключил su и использовал sudo. Таким образом, пользователи используют ключи (желательно зашифрованные) для доступа к системе, а затем используют их пароль только для повышения привилегий. Вы можете ограничить доступ к программам с помощью sudo, но в большинстве случаев вы просто ограничиваете доступ тем, кто знает пароль root.
В идеале вы должны иметь возможность публиковать свои корневые пароли в Интернете, и это не имеет значения, даже если вы предоставили людям доступ к своей машине (но не поместили их в файл / etc / sudoers). Конечно ты не должен опубликуйте пароль root, но идея состоит в том, что вы защищаете свои системы концентрическими уровнями защиты.
Идея состоит в том, чтобы отключить вход в систему root и, следовательно, не иметь учетной записи администратора по умолчанию. Таким образом, злоумышленник должен угадать имя пользователя и пароль (а не только пароль).
Если вы регулярно используете root, то ваши разрешения могут быть неправильными или вам может потребоваться предоставить права sudo или права новой группы для чтения / записи / чтения файлов или каталогов.
Хорошие схемы разрешений - это то, что даже давние пользователи Linux ошибаются или не осознают возможности.
Даже не заставляйте меня рассказывать о том, что сделала Ubuntu!
Это удерживает вас от запуска rm -r -f / Я запускал это только 2 дня назад (как непривилегированный пользователь я имел в виду запустить rm -r -f *)