Roudo kullanmak yerine kullanıcıya sudo ayrıcalıkları atamanın asıl faydaları nelerdir?

25

Sunucu yönetiminde oldukça yeniyim ve root kullanıcısı tarafından oluşturulan bir kullanıcıya sudo ayrıcalıkları vermeyi öneren ve root kullanıcısına güvenlik geliştirme için delicesine uzun bir parola veren birçok site gördüm.

Yeni oluşturulan kullanıcı root kullanıcısı ile aynı fonksiyonları yapabilirse, bunu yapmanın asıl faydası nedir?

linux  sudo 
JM4
kaynak
7
Sudoer, root'un yapabileceği her şeyi yapamaz, yalnızca hangi root sudoerların sudo yapmasına izin verir ve sudoer hala komutu sudo yapmak zorundadır. Son olarak, sudo'lar şeyleri kendi kullanıcı hesapları olarak sudo eder, ilk olarak kök olarak oturum açmak zorunda kalmazlar, ikincisi ise bir şeyi kimin hak ettiğini görmenize izin verir.
KeithS

Yanıtlar:

48

sudoKök parolayı dağıtmanın birçok yararı vardır . Belirli bir sıra ile:

  • Kök şifrenizi vermiyorsunuz
    Genel bir kural olarak, birisi şirketinizden ayrılırsa ve kök şifresini biliyorsa şimdi bu şifreleri her yere değiştirmelisiniz. Uygun konfigürasyon yönetimi ile bu küçük bir sıkıntıdır. Bu olmadan çok büyük bir angarya.

  • Krallığın anahtarlarını vermeyeceksin
    sudo , kullanıcıların kullanabilecekleri sınırlı bir komut listesi belirtmene izin veriyor, eğer Alice’in sadece Apache’yi durdurup başlatması gerekiyor, ama Bob’un tüm kök haklarına ihtiyacı var. buna göre onları.

  • Yetkilendirmeyi merkezi olarak sudo LDAP yapılandırmasını destekleyebilirsiniz; bu, şirketinizdeki her sistemin kimin ne yapmasına izin verildiğini belirlemek için merkezi bir LDAP sunucusuna bakabileceği anlamına gelir.
    Birini yetkilendirmeniz (veya yetkilendirmeniz) mi gerekiyor? LDAP'deki sudoers yapılandırmasını değiştirin ve tüm sistemleriniz bir kerede güncellenir.

  • Bir denetim izi var
    yapmasına izin verilen kullanıcıların hariç sudo su -, sudo sh, veya eşdeğer özellikte, sudoneyi komutları hangi kullanıcının ran bir denetim izi üretecektir.
    (Ayrıca, kendilerini açılmış bir kök kabuğu veren insanların bir listesini de üretecektir, böylece parmağınızı onlara yönlendirip onaylamayın.)

  • sudoSadece kök daha iyi gelir Herkes konsantresi sudoiçin bir yol olarak yapmak olarak malzeme su PERUSER ama bu değil tüm için 's iyi.
    Diyelim ki Alice belirli bir yazılım derlemesinden sorumludur, ancak Bob derleme komut dosyasını da çalıştırabilmelidir. Bob'a sudoerlardan derleme betiğini Alice'in kullanıcısı olarak çalıştırmasına izin veren bir giriş verebilirsiniz. (Evet, elbette, bu özel durumla başa çıkmanın daha iyi yolları var, ancak prensibi Let user A run a program as user Byararlı olabilir ...).
    Ayrıca, bunu yaparken yukarıda bahsettiğim denetim izninin aynısını elde edersiniz ...

voretaq7
kaynak
1
Çok yararlı cevap - tek bir sunucuyu yöneten tek kişi olacağımı (ve% 100 kesinliği kastettiğim anlamına gelirse), başka bir kullanıcıya sudo ayrıcalıkları atamaktan çok yarar görüyor musunuz (ki bu kendim olurdu) kendimi bir şeyleri mahvetmekten alıkoymak dışında mı
JM4
3
@ JM4 Tutarlılık ve daha büyük bir ortamda çalışırken gelecekte bir gün için iyi uygulama. Pratik açıdan bakıldığında, fiziksel olarak konsolda tutulan bir şeyi sabitlemediğiniz sürece doğrudan kök olarak giriş yapmamalısınız; bu nedenle, sudokarşı sutaraf akademik bir ayrımdır - bir kasnak veya diğerine atlamak zorunda kalacaksınız. Kullanmak sudo, pratik olduğunda en az ayrıcalık (son noktam) prensibini kullanma şansını sunar ve bu her zaman ciddiye alınması gereken bir şeydir.
voretaq7
2
Ayrıca sudoers dosyanızı düzenlemek için visudo kullanın.
Justin,
3
Birçok etkileşimli komutun kullanıcıların denetim izini atlamasına izin vereceğini unutmayın. Örneğin, herhangi bir kullanıcı kim yapabilir sudo vican :! bashkez içinde vi.
Dietrich Epp
4
@DietrichEpp NOEXECEtiket bu durumda yardımcı olur.
Shane Madden
17

Birincil fark, kullanıcıların kendi şifrelerini sudokullanmak için kimlik doğrulaması yapmasıdır, oysa sudoğrudan root girişi ile veya root şifresi kullanılır.

Bu, kök şifresini herkesle ve her şeyle paylaşmak zorunda kalmayacağınız ve gelecekte bir ya da iki kullanıcı için kök erişimini devre dışı bırakmanız gerekirse, bunu değiştirmek yerine sadece kendileri için devre dışı bırakabileceğiniz anlamına gelir. root şifresi.

sudoAyrıca, her kullanıcının root olarak çalışabileceği komutları sınırlama yeteneğine sahiptir , bu nedenle, tam kök erişimi gerektirmiyorsa, belirli kullanıcılara yalnızca gerçekleştirmeleri gereken görevlere erişim izni verilebilir.

Michael Hampton
kaynak
1
yardımın için teşekkürler. Sizin açınızdan fayda görüyorum, ancak aynı zamanda sunucumda ssh'den kök kullanıcı girişini devre dışı bıraktığım göz önüne alındığında kök kullanıcı olarak kök kullanıcıya çiftçiye bir kimlik noktası olarak baktım.
JM4
4

Verilen cevapların en üstünde, root olarak giriş yapmış bir kullanıcının her komutta sistemi kırabileceğini unutmayın. Potansiyel olarak tehlikeli bir şey yapmadan önce onları sudo yazmaya zorlarsanız, en azından belirli bir komutu yapmadan önce iki kez kontrol etmeleri gerektiğinin farkında olmalısınız.

gyin
kaynak
2

Evet gerçekten - kontrol ve kayıt perspektifinden bakıldığında sudo çok daha iyi.

Örneğin - günlüklerde yakalanan tek olayı dava ederseniz dava açıyorsunuzdur. Bundan sonra herhangi bir şey kök olarak gider. Ve eğer Unix / Linux'taki kayıtlara baktıysanız, kökünden bir parça popo çıkardığını bilirsiniz.

Diğer taraftan Sudo, kaynak kullanıcı olarak hemen hemen her şeyi kaydeder.

kd1s
kaynak
0

Sudo kullanımı, kötü niyetli bir kullanıcının bir sisteme erişmesini zorlaştırır. Kilitlenmiş bir kök hesap olduğunda, kötü niyetli bir kullanıcı başlamadan önce kırmak istediği hesabın kullanıcı adını bilir. Kök hesap kilitlendiğinde, kullanıcının bir sisteme girebilmek için kullanıcı adını ve şifreyi belirlemesi gerekir.

Prof McAnthony
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.