LINUX.ORG.RU

Чем плох su в отличие от sudo?

 ,


2

3

Периодически проскакивают мнения, что su и ввод пароля рута это менее безопасно, чем sudo.

Но ведь казалось бы, чтобы получить root-доступ через su, злоумышленнику надо сперва получить доступ к обычному пользователю, а затем еще узнать пароль рута, а если же в системе используется sudo для выполнения привилегированных действий, то достаточно знать пароль обычного пользователя.

Хотелось бы ясности в этом вопросе

ps: случай, когда можно сразу логиниться под рутом, не рассматриваю, это другой случай.

★★★★★

Последнее исправление: cvs-255 (всего исправлений: 1)

Как минимум тем, что sudoers можно настроить так, что бы позволить пользователю выполнять от рута только ограниченный набор команд.

CaveRat ★★
()

sudo может работать как su и имеет гибкие настройки, значит sudo лучше. безопасность одинаковая

/thread

futurama ★★★★★
()
Ответ на: комментарий от futurama

он может требовать другой пароль, нежели пароль пользователя? Одним из методов получения доступа к обычному пользователю является узнать его пароль.

cvs-255 ★★★★★
() автор топика
Последнее исправление: cvs-255 (всего исправлений: 1)
Ответ на: комментарий от cvs-255

может требовать пароль рута, как это делает su

futurama ★★★★★
()

Вопрос надо перевернуть. Чем плох sudo.

Да всем он плох на локалхосте с одним самсебеадмином.

ass ★★★★
()

Часто злоумышленник может заменить PATH/заалиасить su и получить тот же пароль рута чуть позже.

x3al ★★★★★
()

Периодически проскакивают мнения, что su и ввод пароля рута это менее безопасно, чем sudo.

Потому что 10 обезьян скомпрометируют пароль быстрее, чем одна

Потому, что sudo требует не только shell, но и terminal

Потому, что sudo позволяет дать ограниченный доступ

Потому, что sudo в принципе можно настроить на требование другого пароля

А su предназначен в первую очередь для init скриптов

Но ты можешь продолжать разрушать легенды. Твой локалхост, твои проблемы

router ★★★★★
()

В многоквартирном доме можно каждому дать ключ от его квартиры. А можно всем поставить одинаковые замки и просто каждому выдать копию единого ключа.

i-rinat ★★★★★
()

На локалхосте su удобней, но и sudo бывает нужен (например, ntfs монтировать/размонтировать). На многоюзверном компе sudo более предпочтителен, т.к. логи есть (хотя, имеющие доступ к sudo bash запросто могут их подчистить).

anonymous
()
Ответ на: комментарий от router

Потому, что sudo требует не только shell, но и terminal

Ты путаешь с su.

А su предназначен в первую очередь для init скриптов

Ты путаешь с runuser.

dexpl ★★★★★
()

надо сперва получить доступ к обычному пользователю, а затем еще узнать пароль рута

Прочти man pam и man pam_wheel, узнай про возможность вписать auth sufficient pam_wheel.so trust use_uid в /etc/pam.d/su.

если же в системе используется sudo для выполнения привилегированных действий, то достаточно знать пароль обычного пользователя

Прочти man sudoers, узнай про rootpw, targetpw и runaspw.

dexpl ★★★★★
()
Ответ на: комментарий от router

man sudoers, /requiretty

Вот именно, что sudo может требовать терминал, а может и не требовать; su требует терминал всегда.

init скриты запускаются от рута, пароль не нужен

То-то и оно, что скрипты — от рута, а демоны — от соответствующих учетных записей. Впрочем,

If the PAM session is not required then recommended solution is to use setpriv(1) command.

(из man runuser).

dexpl ★★★★★
()
Ответ на: комментарий от bread

молодой человек, вы пьяны? это двойное богохульство, это вообще против всякой безопасности и не по религии. И вообще, если серьёзно, так опасно писать, вроде как. Точно не помню, но будут последствия.

cheerlight
()

Периодически проскакивают мнения, что su и ввод пароля рута это менее безопасно, чем sudo.

Чьи мнения? Местных «экспертов» на дуалбуте Windows-Ubuntu?

Deleted
()

Если сервер с одним админом, то «sudo или su» - без разницы , а если у вас стоит Oracle или SAP и админам прикладных систем нужен доступ то тут однозначно ТОЛЬКО sudo. Иначе все поломают

igorprint
()
Ответ на: комментарий от i-rinat

скорее речь про ключ от подвала или чердака

Harald ★★★★★
()
Ответ на: комментарий от vaddd

Я предпочитаю su и никаких sudoer-ов. Рутовый пароль знает только одно лицо.
На случай непредвиденных обстоятельств копия рутового пароля лежит в сейфе в запечатанном конверте.
Да, это не про localhost.

anonymous
()
Ответ на: комментарий от router

Потому, что sudo требует не только shell, но и terminal

То есть pkexec еще лучше?

Zmicier ★★★★★
()
Ответ на: комментарий от anonymous

О! Вот об этом и речь. Su и sudo - это разные команды с разными функциями. Su - это инструмент администратора, любой человек, знающий рутовый пароль, по факту - администратор.

A sudo - это инструмент пользователя, даже если они где-то пересекаются с su и оба предназначены для повышения привилегий. Поэтому сравнивать sudo и su - все равно что молоток с отверткой или теплое с мягким.

vaddd ★☆
()
Ответ на: комментарий от vaddd

даже если они где-то пересекаются

Он не «где-то пересекаются», они очень пересекаются.
И вот поэтому сравнивать их между собой совсем не то, что сравнивать:

молоток с отверткой или теплое с мягким.

anonymous
()
Ответ на: комментарий от anonymous

Он не «где-то пересекаются», они очень пересекаются.
И вот поэтому сравнивать их между собой совсем не то, что сравнивать:

Вы мне свою субъективщину не навязывайте, мне моей достаточно ) «очень перескаются», «не очень пересекаются»... )

Если вы в состоянии забить винт молотком или гвоздь отверткой, это не значит что одно из них хороший инструмент, а другое плохой ) Главное чтобы вам нравилось и вы чувствовали себя в безопасности )

vaddd ★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.