suに対するsudoの利点は何ですか?


19

Ubuntu(またはDebian派生物)がrootユーザーを無効にすることで達成する実際の利点は何ですか?

私が読むところはどこでも、それは経験の浅いユーザーの意図しない損害を防ぐために言っています。sudo(私が知っている/使用している)すべてのコマンドを実行できるので、正確に何を知りたいです。

だから、どのような場合にルートはダメージを引き起こすことができますが、sudoできませんか?

PS:仕組みはわかっていますsudo


回答:


31

だから、どのような場合にルートが損傷を引き起こす可能性がありますが、sudoはできませんか?

通常sudo、特権を必要とする何かを実行するたびに起動する必要があるため、理由は「跳躍する前に考える」ことです。するつもりです。

ではsu、あなたがにいる一度一方で、あなたはにいる。あなたは何も、すべてを行うために白紙委任(オープンライセンス)持っている、と推論はあなたがそれらの権限を持っていることを一瞬忘れて、あなたの場合かもしれないです「不運なことに、システムに深刻な影響を与える/ダメージを与えるようなものを実行してください。su特権がなければ、コマンドは何も深刻なことはしませんでした。


8
「飛躍する前に考える」ロジックは、「TrashTheComputer.Virusを本当にインストールしますか:はい/いいえ?」というダイアログボックスが表示されたときに、ユーザーが考えるのをやめると考えるほど単純です。マルウェア感染率が低下します。
ダンニーリー

9
@DanNeely-そうは思わない。私は多くのコマンドを入力しますが、それらのほとんどはを必要としないためsudo、使用しません。使用すると、一時停止します。はい、私は平均的なユーザーではなくプログラマーとして話しますが、平均的なユーザーはコマンドラインを使用しません。
ネイサンロング

2
@NathanLongはLinuxではまったく当てはまりません。この質問が存在する理由は、「平均ユーザー」がsudoover を使用する理由を理解していないことを示していますsu。多くの場合、人々は「sudoはsuより安全であるため、sudoを使用する」と言います。これはまったく安全ではないと考えてナイーブです。使用したことを忘れるのsuは言い訳にはなりません。誤ってrootとしてコマンドを実行した場合、それはまったく無能です。
アッシュ

1
@ash私はまだ、平均的なユーザーは、ユーザー特権をエスカレートする2つの方法のセキュリティへの影響を比較することを求めていないと言います。実際、OPにはStackOverflowに関する質問があります。しかし、OPを別にすれば、15秒前に行ったことを思い出すことは昨日行ったことを思い出すよりも簡単であり、数日間にわたるターミナルセッションを簡単に行うことができます。ですから、をいつ使用するかを忘れないようにするのはあなた次第ですsuが、個人的には、爆弾をセットアップするのは、それらを武装解除することを忘れないでおくと思います。
ネイサンロング

16

IMO suに対するsudoの主な利点は、sudoには実行されたコマンドの優れたロギングがあり、sudoはユーザーが実行できることをより細かく制御できることです。

suはallまたはnoneですが、sudoは、すべてではなく一部のコマンドへのアクセスを許可するように構成できます。

長所と短所を含むより完全な説明については、https://help.ubuntu.com/community/RootSudoを参照してください


11

su-

rootとしてログインすると、開始するタスク、トリガーするアクション、または特定のWebサイトへのアクセスなどによって発生するランダムイベントなどがスーパーユーザーとして実行されます

須藤

コマンドの実行時にsudoを呼び出すと、そのコマンドのみがスーパーユーザーとして実行されます

コマンドを実行する前に、パスワードの入力を求められます。そのため、ユーザーによるユーザーインタラクションも必要です

sudoを起動する試みも記録できます


2
実際、現在のユーザーのパスワードを要求するため、rootパスワードの管理が容易になります。アカウントがシステムから削除された場合、rootパスワードをリセットする必要はありません。さらに良いことに、ルートアカウントはパスワードをまったく必要としないため、ルートアカウントはブルートフォースによって侵害されることはありません。
ジッピー

@jippieの一般的なベストプラクティスでは、ルートパスワードを削除/ブロック/無効化し、を介しsudo suたアクセスのみを許可することを定めています。ハイフンながら-で受け入れフラグであるsuユーザーとしてログインしているかのように自分の殻やお菓子(環境ファイルの異なるセットを実行するには、すなわち.bashrcに/ .profileに)

3

sysadminsのユーザー/パスワード管理についてです。

複数のユーザーがいる場合、それらはすべて個別のアカウントを持ち、それらのアカウントを使用して追跡できる必要があります。これは、人々が自分のアイデンティティを隠すことができないことを意味します。また、特定のユーザーのアクセス許可を取り消す必要がある場合は、rootパスワードをリセットする必要もありません。2人以上の管理者がいる環境のすべての人にルートパスワードを与えると、1人が辞めたときに悪夢になります。あなたはそれを変更するだけでなく、それを伝えなければなりません。このようなことはすべて、彼らの一人がラップトップを盗まれたり、そのようなものを持っているときにも起こらなければなりません。1人に1つのパスワードを持つ1つのアカウントにより、管理が簡単になります。各サービスが独自のアカウントを持つべき理由の背後にある哲学に似ています。1つのアカウントが侵害された場合、別のアカウントを使用するために別のダースサービス(バックアップタスクなど)を再構成する必要はありません。

また、追跡、紛失、危殆化のために別のパスワードを持たないことが個人的に便利だと思います。RHELでは、sudoを構成した後にルートアカウントを具体的に無効にするため、追跡する必要はありません。しばらくすると、ユーザーはsudoファイルをb0rksしますが、これはシングルユーザーモードで修正可能です。(当然、通常は実動マシンです。)

注:「sudo bash」を使用すると、各コマンドのsudoの入力をスキップできます...


私はいつもsudo mc:D-
ロニー

ここでの投票に値する唯一の回答は、質問をさらに曖昧にしたり、情報に対する誤った感覚に人々を誤解させたりすることなく、質問に明確に回答します。
アッシュ

@flickerfly、「同じユーザーのrootパスワードをリセットする」では、「その同じユーザーの」を削除する必要があると考えています。その方が正確です。
Richlv

@Richlv、あなたは正しい。あなたが提案した編集を行いました。そこで何を意図していたのかわかりません。
フリッカーフライ

2

私は最初、私たちがどのようなSUに調べる必要があり、実際に須藤と思いますされています

su-代理ユーザーの略。これを使用して、そのユーザーのパスワードを使用して別のユーザーとしてシェルに切り替えます。一般にルートで使用されます。ルートとして実行する場合、パスワードは必要ありません。

sudo-許可されたユーザーは、指定されたコマンドを別のユーザーとして実行できます。また、ルートで一般的に使用されます。ただし、これにより、別の用途として実行できるコマンドを具体的に管理できます。(たとえば、init.dスクリプトを実行する機能をユーザーに与えることができますが、それ以外は何もできません。)

注:いつでも実行できます。sudo suまたはsudo -i、これによりルートシェルが提供されます。ただし、rootパスワードがないということは、rootとして直接ログインしないことを意味します。つまり、だれもそのユーザーに侵入できないということです。

編集:ので、多分あなたが探して、この答えは:あなたが使用するには、rootのパスワード力を持っていないsudoとあなた揃えた順番に自然に、sudoあなたがrootとして実行アクションをより細かく制御を強化することを提案哲学。


私はこれを自分で書いた
....-user606723

2

さらに、sudoとsuの間で考慮すべきロギングの考慮事項があります。suになると、すべてがrootとして実行され、認証ログの1行以外のエントリがなく、rootになったと表示されます。

一方、sudo-常にエスカレートされた特権を持つユーザーIDとして記録されます。


0

通常、管理タスクを実行する場合、suとしてログインする方が簡単です。ただし、少なくとも1つの例外があります。ファイルの所有権が重要な場合です。ユーザーをファイルの所有者にする必要がある場合は、そのユーザーとしてログインし、sudoを使用してファイルをダウンロードまたはコピーします。簡単な例は、ブックマークと壁紙ファイルです。ユーザーがファイルを所有していない場合、Firefoxの「復元」ブックマーク「ファイルから」は失敗します。デスクトップの壁紙を設定すると、ファイルを所有していないと機能しない場合があります。特権を設定したり、実行可能ファイルとして有効にしたりできる場合もありますが、ファイルの所有者でない場合、一部の設定やプログラムは失敗します。


ルートとしてログインし、Firefoxを使用してWebを閲覧しますか?これがルートアカウントを無効にする理由だと思います。これは、日常的に使用するためにルートとしてログインするだけの可能性を排除します。
adempewolff
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.