LINUX.ORG.RU

В чём преимущество sudo для одного аккаунта при работе через ssh?

 ,


0

2

Я читал уже wiki и форумы по sudo, но пока я не могу понять в чём его преимущество при работе через ssh (я админю свой VPS), если пользователь один - т.е. админ и никого другого пока не будет в ближайшем будущем? Зачем нужно отключать возможность заходить под root через ssh?

Вот мои размышления по поводу sudo:

Рассмотрим случай использования sudo. Допустим, я на сервере делаю вот что:
1. Cоздаю юзера proto-h
2. Добавляю настройки для proto-h в sudoers
3. Потом прописываю всё, что нужно в конфиг sshd - sshd_config.
4. После этого захожу через ssh с авторизацией по ключу и паролю под proto-h.

Теперь мне нужно для каждой операции вводить команды вида:

sudo моя-команда аргументы
А это будет, наверное 99% операций. Но ведь если логиниться как root, всё можно делать проще, без лишней команды sudo.

Рассмотрим основной аргумент за sudo - так безопаснее. Но где безопасность? Если кто-то зайдёт под proto-h, он всё равно сможет сделать почти всё, что может root, ведь, если ограничить доступ для proto-h к только безопасному малому множеству команд, то под этим аккаунтом (proto-h) просто нельзя будет сделать ничего полезного по администрированию сервера.

Где провтык в моей логике и в чём действительно преимущество?

Это тема для холиваров. Как вам удобнее, так и делайте. При логине по ключу уже не так важно, чтобы был запрещён логин root'а, пароль к которому пытаются подобрать боты.

это будет, наверное 99% операций.

Это как настроить систему. Например, proto-h можно разрешить читать логи и ещё какие файлы. root нужен для внесения изменений в настройки, а операции по анализу состояния системы можно делать и без root.

mky ★★★★★ ()

не путай теплое с мягким авторизацию конкретного демона и права доступа. Рассмотрим оба случая. 1 при подборе пароля бот с уверенностью знает что у тебя точно должен быть пользователь рут, для наглядности проанализируй свой лог, наверное 80% подборов будет именно с этим пользователем. Если у тебявключена авторизация по ключу, как выше было описано то все подборы сводятся к нулю, но это не означает что у тебя отключена авторизация по паролю, а это опять же ставит твою машинку под угрозу подбора пароля. 2. Если злоумышленник попадает в систему под рутом он уже знает что он может делать все, при использовании судо пользователь сможет делать только то что ты ему розрешишь. Я всегда и везде просто отключаю пользователя рут, чтоб его даже в системе небыло, при подборе пароля угадать имя твого пользователя отличное от рута сводится к почти нулю.

CHIPOK ★★★ ()

А зачем вообще эта sudo? Че бы не: «su <пользак>» и вывалиться обратно по Ctrl+D?

deep-purple ★★★★★ ()

Зачем нужно отключать возможность заходить под root через ssh?

Потому-что заходить под root по ssh не нужно. А еще ты можешь посмотреть все команды которые выполнялись в auth.log.

anonymous_sama ★★★★★ ()

Я вообще иной раз делаю ssh root@host (естественно, ssh по паролю запрещен, только по ключу). Ну или ssh host && su -

anonymous ()

Подразумевалось, что пионерам не просто догадаться, что на произвольно торчащем в интернет хосте нужно подбирать пароль именно от proto-h.

eabi ()
Ответ на: комментарий от CHIPOK

Если у тебявключена авторизация по ключу, как выше было описано то все подборы сводятся к нулю, но это не означает что у тебя отключена авторизация по паролю, а это опять же ставит твою машинку под угрозу подбора пароля.

О, прикольно, забыл про это. Важная штука :)

Я всегда и везде просто отключаю пользователя рут, чтоб его даже в системе небыло, при подборе пароля угадать имя твого пользователя отличное от рута сводится к почти нулю.

А как тогда делать что-то важно, например, менять конфиги grub? Специального юзера завести, наделённого полной властью?

ProtoH ()
Ответ на: комментарий от ProtoH

Переименуй рута в какого-нибудь toor'а. Тупо в /etc/passwd и /etc/shadow

anonymous ()
Ответ на: комментарий от ProtoH

у меня есть отдельный пользователь который может все, но по ссх под ним подключится нельзя. Если нужно чет важное сделать то тогда sudo su - superuser и делаю что нужно. Используй директиву AllowUsers чтоб определить кому можно подключатся, смени стандартный порт, поставь Fail2ban и можешь спать спокойно.

CHIPOK ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.