LINUX.ORG.RU

Чем плох su в отличие от sudo?

 ,


2

3

Периодически проскакивают мнения, что su и ввод пароля рута это менее безопасно, чем sudo.

Но ведь казалось бы, чтобы получить root-доступ через su, злоумышленнику надо сперва получить доступ к обычному пользователю, а затем еще узнать пароль рута, а если же в системе используется sudo для выполнения привилегированных действий, то достаточно знать пароль обычного пользователя.

Хотелось бы ясности в этом вопросе

ps: случай, когда можно сразу логиниться под рутом, не рассматриваю, это другой случай.

★★★★
Ответ на: комментарий от futurama

он может требовать другой пароль, нежели пароль пользователя? Одним из методов получения доступа к обычному пользователю является узнать его пароль.

cvs-255 ★★★★ ()
Последнее исправление: cvs-255 (всего исправлений: 1)

Периодически проскакивают мнения, что su и ввод пароля рута это менее безопасно, чем sudo.

Потому что 10 обезьян скомпрометируют пароль быстрее, чем одна

Потому, что sudo требует не только shell, но и terminal

Потому, что sudo позволяет дать ограниченный доступ

Потому, что sudo в принципе можно настроить на требование другого пароля

А su предназначен в первую очередь для init скриптов

Но ты можешь продолжать разрушать легенды. Твой локалхост, твои проблемы

router ★★★★★ ()

В многоквартирном доме можно каждому дать ключ от его квартиры. А можно всем поставить одинаковые замки и просто каждому выдать копию единого ключа.

i-rinat ★★★★★ ()

На локалхосте su удобней, но и sudo бывает нужен (например, ntfs монтировать/размонтировать). На многоюзверном компе sudo более предпочтителен, т.к. логи есть (хотя, имеющие доступ к sudo bash запросто могут их подчистить).

anonymous ()

надо сперва получить доступ к обычному пользователю, а затем еще узнать пароль рута

Прочти man pam и man pam_wheel, узнай про возможность вписать auth sufficient pam_wheel.so trust use_uid в /etc/pam.d/su.

если же в системе используется sudo для выполнения привилегированных действий, то достаточно знать пароль обычного пользователя

Прочти man sudoers, узнай про rootpw, targetpw и runaspw.

dexpl ★★★★★ ()
Ответ на: комментарий от router

man sudoers, /requiretty

Вот именно, что sudo может требовать терминал, а может и не требовать; su требует терминал всегда.

init скриты запускаются от рута, пароль не нужен

То-то и оно, что скрипты — от рута, а демоны — от соответствующих учетных записей. Впрочем,

If the PAM session is not required then recommended solution is to use setpriv(1) command.

(из man runuser).

dexpl ★★★★★ ()
Ответ на: комментарий от bread

молодой человек, вы пьяны? это двойное богохульство, это вообще против всякой безопасности и не по религии. И вообще, если серьёзно, так опасно писать, вроде как. Точно не помню, но будут последствия.

cheerlight ()

Периодически проскакивают мнения, что su и ввод пароля рута это менее безопасно, чем sudo.

Чьи мнения? Местных «экспертов» на дуалбуте Windows-Ubuntu?

devzero ()

Если сервер с одним админом, то «sudo или su» - без разницы , а если у вас стоит Oracle или SAP и админам прикладных систем нужен доступ то тут однозначно ТОЛЬКО sudo. Иначе все поломают

igorprint ()
Ответ на: комментарий от vaddd

Я предпочитаю su и никаких sudoer-ов. Рутовый пароль знает только одно лицо.
На случай непредвиденных обстоятельств копия рутового пароля лежит в сейфе в запечатанном конверте.
Да, это не про localhost.

anonymous ()
Ответ на: комментарий от anonymous

О! Вот об этом и речь. Su и sudo - это разные команды с разными функциями. Su - это инструмент администратора, любой человек, знающий рутовый пароль, по факту - администратор.

A sudo - это инструмент пользователя, даже если они где-то пересекаются с su и оба предназначены для повышения привилегий. Поэтому сравнивать sudo и su - все равно что молоток с отверткой или теплое с мягким.

vaddd ()
Ответ на: комментарий от vaddd

даже если они где-то пересекаются

Он не «где-то пересекаются», они очень пересекаются.
И вот поэтому сравнивать их между собой совсем не то, что сравнивать:

молоток с отверткой или теплое с мягким.

anonymous ()
Ответ на: комментарий от anonymous

Он не «где-то пересекаются», они очень пересекаются.
И вот поэтому сравнивать их между собой совсем не то, что сравнивать:

Вы мне свою субъективщину не навязывайте, мне моей достаточно ) «очень перескаются», «не очень пересекаются»... )

Если вы в состоянии забить винт молотком или гвоздь отверткой, это не значит что одно из них хороший инструмент, а другое плохой ) Главное чтобы вам нравилось и вы чувствовали себя в безопасности )

vaddd ()