rootとしてログインするのではなく、なぜsuでrootになるのですか？

rootユーザーとして直接ログインするよりも、suでrootにした方が良いとよく耳にします（もちろん、sudoを使用した方が良いと言う人もいます）。私は、一方が他方より優れている理由を本当に理解したことはありません、洞察？

推論は唯一にあるsuか、sudo必要なとき。

ほとんどの日常的なタスクはルートシェルを必要としません。したがって、特権のないシェルをデフォルトの動作として使用し、特別なタスクを実行する必要がある場合にのみルートに昇格することをお勧めします。

そうすることで、使用するアプリケーションの危険なミス（不適切なスクリプト、誤ったワイルドカードなど）や脆弱性の範囲を減らすことができます。特にインターネットに接続するもの-古い格言「IRCをルートとしてはいけない」を参照してください。

sudo このような特権の使用をきめ細かく監査できるため、多くの場合推奨されます。

これらのプラクティスを観察することにより、リモートルートログインを無効にすることもできます。これにより、攻撃者は「ホイール」グループのメンバーであり、理想的にはSSH公開キーのみで許可される通常のユーザーアカウントとルートアカウントの両方を侵害する必要があるため、侵入者のエントリバーが増加します。

リモートからのルートアクセスを無効にして、攻撃者が最初にユーザーを侵害してからルートにエスカレートすることなくルートを侵害できないようにする必要があります。コンソールでのみルートアクセスを有効にします。

さらに、説明責任が生じます。:)

主な理由は、監査証跡を作成することです。通常のユーザーとしてシステムにログインしてからsuにログインする必要がある場合は、特定のアクションの責任者を追跡できます。

また、sudoはすべてのコマンドをsyslogに自動的に記録し、各ユーザーが使用できるコマンドを定義できます。

別の正当な理由：sudoを介してrootに昇格するとき、ユーザーは自分の資格情報で認証します。つまり、必ずしもrootパスワードを与える必要がないため、誰かが組織を離れたときに物事をロックダウンしやすくなります。

監査証跡を作成し、ここで説明した「sudo su-」または「sudo vim foo.txt」の問題の犠牲にしたくない場合は、「sudosh」を使用できます。sudoを介してrootアクセスを配布しますが、「sudosh」を実行する唯一の許可コマンドを作成します。

sudoshはロギングシェルです。後日、ターミナルセッション全体を再生して、ユーザーがターミナルで見たものを正確に表示することができます。

セキュリティを徹底的に練習する必要があります。

リモートルートアクセス（または、少なくともパスワードによるルートアクセス）を許可しません。（キーによるルートアクセスを許可する場合、それらのキーを慎重に制御するか、キーの集中的な取り消しを許可するKerberosのようなものを使用することをお勧めします）。

suを無効にし、sudoを使用します。この方法では、ユーザーはキー（好ましくは暗号化された）を使用してシステムにアクセスし、パスワードを特権の昇格にのみ使用します。ユーザーがsudoを使用してアクセスするプログラムを制限できますが、ほとんどの場合、rootパスワードを知っているユーザーのみにアクセスを制限します。

理想的な世界では、あなたのマシンへのアクセスを他の人に許可したとしても（/ etc / sudoersファイルにそれらを入れていなくても）、ルートパスワードをインターネット上で公開できるはずです。もちろん、ルートパスワードを公開すべきではありませんが、同心の保護層でシステムを保護するという考え方です。

考えは、rootログインを無効にすることであり、したがって、デフォルトの管理者アカウントを持っていません。そのようにすると、攻撃者はユーザー名とパスワードの両方を推測する必要があります（パスワードだけでなく）。

rootを定期的に使用している場合、アクセス権が間違っているか、ファイルまたはディレクトリのr / w / xにsudo権限または新しいグループ権限を付与する必要がある場合があります。

優れた許可スキームは、長年のLinuxユーザーでさえ間違えたり、自分が持っているスコープを認識しないものです。

Ubuntuが何をしたのか、始めてはいけません！

rm -r -fを実行できないようにします/ 2日前に実行しました（非特権ユーザーとして、rm -r -f *を実行するつもりでした）