Які переваги судо над су?

Яка реальна вигода, яку досягають Ubuntu (або похідні Debian), відключаючи root користувача?

Де б я не читав, він говорить про запобігання ненавмисних збитків для недосвідчених користувачів. Я хочу знати, що саме, оскільки sudoможу виконувати всі команди (що я знаю / використовую).

То в якому випадку корінь може завдати шкоди, тоді як sudoне може?

PS: Я знаю, як sudoпрацює.

То в якому випадку корінь може завдати шкоди, тоді як судо не може?

Оскільки, як правило, потрібно викликати sudoкожен раз, коли ви хочете робити щось, що вимагає привілеїв, аргументація полягає в тому, що ви будете "думати, перш ніж стрибати", тобто не просто приклеювати судо перед чимось, не замислюючись ні на секунду, яку команду виконуєш збирається робити.

З suіншого боку, як тільки ви входите, ви перебуваєте. У вас є карт-бланш (відкрита ліцензія) робити що-небудь і все, і міркування - ви можете на мить забути, що у вас є ці пільги, і якщо ви Вам не пощастило, виконайте щось, що серйозно вплине / пошкодить вашу систему - якби у вас не було привілеїв су, команда не зробила б нічого серйозного.

Основними перевагами sudo над судо IMO є те, що sudo має чудовий журнал запуску команд, а sudo дає точніший контроль над тим, що можуть робити користувачі.

su - це все або немає, але sudo може бути налаштований для доступу до деяких, але не всіх команд.

Дивіться https://help.ubuntu.com/community/RootSudo для більш повної дискусії, включаючи переваги та недоліки.

су -

Коли ви ввійдете в систему як root , будь-яке розпочате завдання, дії, які ви запускаєте, або випадкова подія, спричинена відвідуванням певного веб-сайту тощо, буде виконуватись як суперкористувач .

судо

Коли ви запускаєте команду sudo , під час виконання команди, лише ця команда виконуватиметься як суперкористувач .

Перед виконанням команди вам буде запропоновано пароль . Тому взаємодія з вами також необхідна .

Спроби викликати sudo також можуть бути зареєстровані .

Йдеться про управління користувачем / паролем для sysadmins.

Якщо у вас є кілька користувачів, усі вони повинні мати окремі облікові записи і їх слід відслідковувати за допомогою цих облікових записів. Це означає, що люди не можуть приховати свою особу. Крім того, якщо вам потрібно скасувати дозволи певних користувачів, вам також не доведеться скидати пароль root. Надати кожній людині в оточенні більше ніж 2 адміністраторів корінний пароль створює кошмар, коли одна людина заходить. Ви повинні не тільки змінити його, але і повідомити його тощо. Усі ці речі також мають відбуватися, коли в одного з них вкрадений ноутбук або подібні речі. Один обліковий запис з одним паролем на людину спрощує адміністрування. Це схоже на філософію, чому кожен сервіс повинен мати свій рахунок. Якщо один обліковий запис порушено, вам не доведеться переналаштовувати ще десяток служб (наприклад, завдання резервного копіювання), щоб використовувати інший обліковий запис.

Мені також вважається зручним не мати ще одного пароля, щоб відстежувати, втрачати та йти на компрометацію. У RHEL я спеціально відключаю кореневий обліковий запис після налаштування sudo, тому мені не доведеться його відслідковувати. Один раз користувач b0rk файл sudo, але це можна виправити в режимі для одного користувача. (Природно, це зазвичай машина виробництва.)

ПРИМІТКА: 'sudo bash' дозволить вам пропустити введення sudo для кожної команди ...

Я думаю, що спочатку ми повинні розглянути, що насправді є судо

su - означає Замінника користувача. Ви використовуєте це для переключення на оболонку, як інший користувач, що використовує пароль цього користувача. Зазвичай використовується з коренем. Не вимагає пароля при виконанні як root.

sudo - дозволяє дозволеному користувачеві виконувати задану команду як інший користувач. Також часто використовується з коренем. Однак це дозволяє спеціально керувати тим, які команди можуть виконуватися в якості іншого використання. (Наприклад, ви можете дати користувачеві можливість запускати сценарій init.d, але нічого іншого.)

Зауважте, ви завжди можете запустити sudo suабо, sudo -iі це дасть вам кореневу оболонку. Однак жоден кореневий пароль не означає входити в систему безпосередньо як root ... а це означає, що ніхто не може зламати цього користувача.

EDIT: тому, можливо, ця відповідь, яку ви шукаєте: відсутність пароля root змушує вас використовувати sudo, що, в свою чергу, природно узгоджує вас з sudoфілософією, яка пропонує вам посилити контроль над діями, що виконуються як root.

Крім того, між судо і су є також міркування щодо ведення журналів. Будучи су, просто робить все як root без жодного запису, окрім одного рядка в журналі auth, що говорить, що ви стали root.

Sudo з іншого боку - завжди отримує реєстрацію як ваш ідентифікатор користувача із збільшенням priveleesw.

Зазвичай вхід як su є простішим під час виконання адміністративних завдань. Однак є принаймні один виняток: коли питання власності на файли мають значення. Якщо вам потрібно, щоб користувач був власником файлу, тоді увійдіть як цей користувач і використовуйте sudo для завантаження або копіювання файлів. Прості приклади - файли закладок та шпалер. Якщо користувач не володіє файлом, закладки Firefox "Відновити" "З файлу" не вдасться. Під час встановлення шпалер на робочий стіл він може не працювати, якщо ви не володієте файлом. Іноді ви можете просто встановити привілеї або включити як виконуваний файл, але деякі налаштування чи програми виходять з ладу, якщо ви не є власником файлу.