ただし、上のアクセス許可はルートパスワードのブルートフォース試行を阻止するものでsu
は-rwsr-xr-x
ありません。
はい。通常のLinuxシステムを想定すると、pam_unix.so
モジュールは失敗した認証試行を2秒まで遅らせますが、同時試行を停止するものはないと思います。
失敗した試行はもちろん記録されます:
Aug 16 22:52:33 somehost su[17387]: FAILED su for root by ilkkachu
パスワードを監視するための何らかのシステムがある場合、パスワードを総当たり攻撃することはログに顕著に現れるはずです。信頼できないローカルユーザーがいる場合は、そうする必要があります。信頼されていないローカルユーザーも、ローカルのみの特権エスカレーションエクスプロイトを使用しようとする可能性があり、リモート特権エスカレーションよりもはるかに一般的です。
それが役に立たないように思えるという点で、さらに私を困惑させます。
もちろん便利root
です。パスワードを知っていれば、に昇格できます。
実行su
する必要がなく、直接実行できますsudo su
が、これはほとんど不便ではありません。
sudo su
やや冗長です。別のユーザーとしてプログラムを実行できるようにするための2つのプログラムを使用する必要はありません。1つで十分です。シェルを実行する場合は、sudo -i
or sudo -s
(またはsudo /bin/bash
など)を使用します。
私は何かを見落としていますか?歴史的な理由で、世界はsuに対して許可を実行していますか?
上記を参照。さて、すべてのシステムにsudo
代替手段があるわけではありませんが、それを歴史的なものと考えるかどうかはわかりません。
私がまだ遭遇していない許可を削除することの欠点はありますか?
そうではありません、私が知る限りではありません。私は考えていくつかのシステムをしているsu
特定のグループのメンバーのみが(」ように設定wheel
「)、それを実行することができます。sudo
好きなら(chown root.sudousers /usr/bin/sudo && chmod 4710 /usr/bin/sudo
)も同じことができます。
または、必要のないプログラムのいずれかまたは両方を削除することもできます。Debianではパッケージにsu
付属しlogin
ているため、パッケージ全体を削除することはおそらくお勧めできません。(そしてlogin
、su
そのようなペアリングと一緒の組み合わせは、やや歴史的に思えます。)
sudo
インストールされていないシステムはどうですか?私はそこにかなり大きな不便があると思います;)