Neredeyse her şey için sudo kullanmalıyım?

Eğer Linux felsefesini doğru sudoanlarsam, dikkatli kullanılmalı ve çoğu işlem ayrıcalıklı bir kullanıcı olarak yapılmalıdır. Ancak bu mantıklı görünmüyor, çünkü her zaman giriş yapmak zorunda sudoolduğumdan, paketleri yönetip yönetmediğim, yapılandırma dosyalarını düzenleme, kaynaktan bir program yükleme ya da neye sahip olduğunuza. Bunlar bile teknik şeyler değil, sadece normal bir kullanıcının yaptığı her şey.

Bana, insanların parola gerektirmeyen (sadece bir tıklamayla) devre dışı bıraktıkları ya da yapılandıran Window UAC'lerini hatırlatıyor. Ayrıca, birçok kişinin Windows kullanıcıları da yönetici hesaplarıdır.

Ayrıca, bazı kişilerin sudoayrıcalık gerektiren komutları gösterdiğini gördüm sudo. Sistemlerini sudogerekli olmayan şekilde yapılandırmışlar mı?

Bu sistem yönetim fonksiyonlarından bahsettiniz

paketleri yönetmek, yapılandırma dosyalarını düzenlemek, kaynaktan bir program yüklemek

şey gibi

normal bir kullanıcının yaptığı her şeyi

Tipik bir çok kullanıcılı sistemde bunlar sıradan kullanıcı işlemleri değildir; bir sistem yöneticisi bu konuda endişelenirdi. Sıradan kullanıcılar ("imtiyazlı" değil) daha sonra sistemi, bakımı konusunda endişelenmeden kullanabilirler.

Ev sisteminizde, evet, sistemi kullanmanın yanı sıra yönetmeniz de gerekir.

Kullanımı gerçekten çok sudomu zor ? Sadece sisteminiz varsa, bir rootkabuğun içine girememeniz için hiçbir neden bulunmadığını unutmayın ( sudo -s- bu yazıya , bir kök kabuğu alma araçlarına genel bir bakış için bakınız ) ve / veya sudoşifre sormayacak şekilde yapılandırın .

Sudo / Root, standart bir kullanıcının, sistem Yöneticisinin normalde izin vermeyeceği şekilde sistem konfigürasyonuna zarar verme / değiştirme riskiyle ilgili olarak yapamayacağı bir şeyi yaptığınız zaman kullanılır.

Paketleri yönetiyor, yapılandırma dosyalarını düzenliyor, kaynaktan bir program yüklüyor veya neyiniz varsa.

Bunların hepsi teknik olarak yönetici işlevlerdir ve yanlış bir şey yapıldığında sisteminize ciddi şekilde zarar verebilir. Kurumsal bir ortamda, bir Sysadmin olarak, bunlar benim açık bilgim olmadan yapmamın izin vermeyeceği şeylerdi, dolayısıyla sudo.

Örneğin, bir paket / config dosyası yüksek ayrıcalıklara sahip olmadan değiştirilebilirse, o zaman bir dış kaynağın sadece sisteminizi bozabilecek / tehlikeye atabilecek uzak bir kod yürütmesi son derece basit olacaktır. Bu eylemleri kök erişimi gerektirmeye zorlayarak, sizi bu eylemlerin gerçekleşip gerçekleşmediğine dair karar vermeye zorlar.

UACPencerelere çok benziyor , aslında pencerelerin fikrini aldığı yer burası UAC.

Sudo'yu ilk kez kullandığınızda aldığınız fiyat teklifi çok uygun ve çok önemlidir:

Yerel Sistem Yöneticisinden normal dersleri aldığınıza güveniyoruz. Genellikle bu üç şeye kadar kaynar:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

Özellikle # 2, yazmadan önce düşünün. Bu, sudo'nun var olmasının önemli bir nedenidir, bir komut yazdığınızda ve geri döndüğünde "bu işlemi gerçekleştirmek için kök olmalı" sizi durmaya zorlar ve gerçekte ne yaptığınız hakkında düşünmeye zorlar.

Ayrıca, bazı kişilerin sudoayrıcalık gerektiren komutları gösterdiğini gördüm sudo. Sistemlerini sudogerekli olmayan şekilde yapılandırmışlar mı?

Bu komutları süper kullanıcı olarak çalıştırmak zorundasınız, ancak bunları kullanarak çalıştırmak zorunda değilsiniz sudo. Örneğin bunun yerine suya da doas(OpenBSD'lerin yerine koyma sudo) kullanabilirsiniz ya da sadece root olarak giriş yapabilirsiniz.

Bu yüzden burada komutlarını burada sudogösterirlerse, okuyucunun sadece bu komutları süper kullanıcı olarak kullanmak için en sevdiği yöntemi kullanacağını varsaymazlar.
Kesinlikle bu komutları normal bir kullanıcı olarak uygulayabilecekleri anlamına gelmez.

Sunulan bir güvenlik özelliği sudo, parola olmadan bir sistemeroot sahip olmanız ve böylece rootkullanıcının doğrudan giriş yapamamasıdır. Bu, zayıf şifreler seçen kullanıcılar için ek koruma sağlar; şifrenin zorla kullanılmasına çalışan saldırganın (SSH aracılığıyla veya başka şekilde) önce geçerli bir kullanıcı adı bulması gerekir.

Başka bir yönü daha iyi ayarlanmış bir ayrıcalık yönetimi. Kök olarak make; sudo make installyapmayı vs düşünüyorum make; make install. Sırasında birçok şey yanlış gidebilir make. Kötü yapılandırılmış bir araç, önemli bir sistem dosyasının üzerine yazmaya çalışabilir /lib, mevcut dizinin yerine "temizle", mevcut tüm RAM'leri tüketip sistemi kapatmaya çalışabilir , vb make install. Ölümcül bir hata olasılığı çok düşük olan basit bir işlemdir.

Mesele şu ki, tarihsel olarak bir sistemin gerçekten sadece giriş yapan, bazı şeyler yapan ve sonra çıkan birçok kullanıcı tarafından paylaşılması amaçlanmıştır. Böylece yönetici ve normal kullanıcı arasındaki fark. Bu tür sistemler üniversite laboratuvarlarında hala mevcuttur ve bu tür bilgisayarları kullanıyorsanız farkı keskin bir şekilde hissedebilirsiniz. Tek kullanıcısı olduğunuz ve ayrıca yönetici olarak davranmanız gereken Ev PC'si gerçekten çok daha sonraki bir gelişmedir.

Bilgisayar bir araçtır. Başka bir araçla analoji deneyelim, bir kızartma tavası diyelim. Bazen, kızartma tavana dikkat etmelisin. Örneğin, bulaşık sabunu ile temizlemek gerekir. Bulaşık sabununun tavada kullandığınız tarifin gerekli bir bileşeni olduğunu söyleyebilir misiniz? Yemek kitaplarında bir madde olarak listelenen "bulaşık sabunu" asla görmeyeceksiniz. Bu gerekli, ancak aletin hazırlanması başka bir konu, bu nedenle yemek pişirme kitapları ondan bahsetmiyor. Kızartma tavası temizlenmelidir, ancak bunun için yapılmış değildir.

Bilgisayarınız için de aynı şey. Yapılandırılması ve dikkat edilmesi gerekiyor, ancak bunun için yapılmış değil. Kendine iyi bak, yapılandır, böylece düzgün çalışabiliyor. Bu yapıldıktan sonra, sistem yöneticisi olarak değil kullanıcı olarak kullanabilirsiniz. Bunun için yapıldı. Kullanıcı olduğunuzda, artık sudo gerekmez . Sadece önceden hazırladığınız aracı kullanın. Elbette, zaman zaman, kızartma tavanı pişirmek için kullandığınız sıklıkta temizlemek zorunda olduğunuz gibi, kök ayrıcalıklarını kullanmanız gerekecektir.

Bu yüzden çok fazla abartmadan , bilgisayarınızı kullanmak için asla sudo'ya (veya root şifresine) ihtiyacınız olmadığını söyleyebiliriz . Sadece bilgisayarınızı hazırlamak için.

Bahse girerim, sistem yönetim görevleri dışındaki her şey için GUI yazılımı kullandığınızdan veya Linux sunucularından bahsettiğinizden, bu durumda çoğu erişim doğal olarak sistem yönetimi olacaktır. Bu nedenle, kabuğun gerektirdiği herhangi bir şeyi yapmak gibi hissedebilirsiniz sudo.

Kabuğu günlük işlerinizde kullanmak da mümkündür. Kişisel dosyalarınızı ~yönetin, dosyaları düzenleyin, IRC'de sohbet edin, kod derleyin, web'e göz atın , bunların hepsi bir kabuğun içinde yapılabilir. bcHesap makinem olarak bile kullanıyorum . Bazı şeyleri bir GUI aracılığıyla yapmak daha kolay, bazılarını kabuk aracılığıyla yapmak daha kolaydır - GUI kullanmayı tercih etseniz bile, kabuk genellikle toplu işlemlerde ve otomasyonda mükemmel olur (kabuk komut dosyalarını düşünün). Şahsen eldeki görev için hangisi en iyisiyse onu kullanıyorum.

Bazı durumlarda, sisteminizi sudoher zaman varsayılan olarak root gerektiren ancak sorun yaratmayacak işlemler için kullanmanıza gerek kalmayacak şekilde ayarlamanız iyi bir fikirdir . Bunun bir örneği, seri portların kullanıldığı donanımlarla çalışmam ve cihazlara root olmam gerekmeden normal kullanıcım olarak erişim sağlamak için udev kuralları belirledim.

sudoŞifre gerektirmeyecek şekilde yapılandırmanın iyi bir fikir olduğunu sanmıyorum . Tek bir yanlış yazılmış komut veya kötü amaçlı komut dosyasıyla tüm sisteminizi karıştırmayı çok kolaylaştırır.

Her zaman kesinlikle kök gerektiren görevler yapmanız gerekiyorsa, neden sürekli bir sudo -skök kabuğunu bir terminal penceresinde açık tutmuyorsunuz? O zaman şifreyi girmek zorunda kalmadan erişilebilir olacak ve kazara kullanımı o kadar kolay değil. Kök kabuğumda kabuk kemiğimi bile parlak kırmızı olacak şekilde ayarladım.

[...] Ama mantıklı görünmüyor, çünkü her zaman sudo girmek zorundayım, paketleri yönetiyorum, yapılandırma dosyalarını düzenliyor, bir kaynaktan kaynaktan bir program yüklüyor ya da sizde. [...]

Tüm bunlarla ilgili ima edilen sıfat, sistem çapında veya küresel değişimler olmalarıdır . Unix'in kökenlerini, birden fazla kullanıcının aynı kurulumu uzaktan kullanabileceği bir çok kullanıcılı sistem ¹ olarak düşünmelisiniz . Bir meslekten olmayan kullanıcının tüm kullanıcıların genel ayarlarını değiştirmesine izin vermesi mantıklı olmaz. Bu, sysadmin'in, kökün, ayrıcalık ve sorumluluğun idi.

Çok kullanıcılı bir ortamda önceden yüklenmiş bir yazılıma ve bunların altında /usrve altında sistem genelinde yapılandırmaya sahip olursunuz /etc. Bu konumlara dokunmak kök izinleri gerektirir. Ancak Unix yazılımı çok kullanıcılı olarak yazıldığından, ^2.$HOME dizinin altındaki yazılımı derleyip kurabilir ve evinizin altında kendi konfigürasyon dosyalarınıza sahip olabilirsiniz, burada dosyaları süper kullanıcı olmadan özgürce düzenleyebilirsiniz.

Kendi yazılımınızı ev altına kurmanın yanı sıra, çoğu sistem genelindeki yazılım, $HOMEilk yapılandırmayı okuduktan hemen sonra kullanıcıya özel yapılandırmayı okuyacaktır /etc. Bu, hiç bir şey yapmadan çoğu şeyi özelleştirmenizi sağlar root.

Bir ev bilgisayarı ile, tek bir ana kullanıcı ayarında, istediğiniz sudoşeyleri kullanabilir ve bunlara yol açabilirsiniz. Ama adettendir için değil uygulama yapılandırma dokunmak /etcyerine hep evde kullanıcıya özel yapılandırma sağlar. Bu şekilde, paket yöneticinizin yükseltmelerdeki sistem genelindeki yapılandırmaları sıfırlamasına izin verebilirsiniz. Sistem genelinde yeni bir yazılım yüklemek, tek kullanıcı ayarlarında gayet iyi; dağıtım paketleri alternatifleri varsaymaz, bu yüzden kolay bir çözümdür.

Paket yöneticimin global olarak bir şeyler yüklemesine izin vereceğim ancak kaynaklardan derlenmiş ve kendi oluşturduğum her şeyi yaptım $HOME. Ve bunun için sudo yapmak zorunda değilim.

Veri dosyalarınız varsa, dışınızdaki depolama alanlarına, adınıza ilişkin dizinleri veya dizinleri kullanmaktan $HOMEçekinmeyin, böylece dosyalara erişmeden erişebilirsiniz .chownchgrpsudo

^[1] (Unix'in Multics işletim sisteminin 'tek kullanıcılı' bir sürümü olması gerektiği için biraz ironik)

^[2] (eğer sistem buna ev bölümlerini noexec olarak monte etmeyerek izin veriyorsa)

UNIX'in (ve iniş olarak Linux için) tasarlandığı çok kullanıcılı sistemlerde bunlar sıradan kullanıcı eylemleri değildir . Bir sistem yöneticisi bunları gerçekleştirebilir, ancak tipik kullanıcılar yapamaz ve sistem sysadmin'in gerçekten bunu yapmak istediğinden emin olmasını ister.

Ancak, tek kullanıcılı ev sistemlerinde bile, bunlar sıradan kullanıcı eylemleri değildir . Birisi tipik olarak sistemi ilk kez kurarken yapmak zorunda kalabilir, ancak bittiğinde, tipik bir kullanıcının bunları çok sık yapması gerekmez . Tipik çoğu kullanıcı, önceden kurulmuş programları / paketleri kullanarak sadece kendi dizinlerindeki (ya da alt dizinlerindeki) dosyalar üzerinde çalışır ve buna ihtiyacınız yoktur sudo. Veya, sistemde bu amaç için bir kenara ayrılmış başka bir yerde özel bir dizinde çalışabilirler ve bunu sudoayarlamanız gerekir , ancak genellikle yalnızca bir kez yapmanız gerekir.

Bu neden önemli? Çünkü "tek kullanıcılı" bir yanlış isimdir: Makinenin tek kullanıcısı değilsiniz, onun tek insan kullanıcısı olsanız bile . Tipik bir ev Linux kurulumunda bile, birçok program, makineyi kendine özgü şekillerde kullanmak için kurulur, çoğu zaman bir insanın yedeklemeye zaman ve ilgisi varsa yapabileceklerini simüle eder: yedeklemeler, güncellemeler, kötü amaçlı yazılım taraması ve sevmek. Bu kullanımlar çoğu zaman tamamen iyi huyludur, ancak bazıları için bile, kullanıcının bunu gerçekten yapmak istediğinden emin olmak hala akıllıcadır. Ve bu davalar ortaya çıktığında, bunun nedeni budur sudo. Bilgisayar sadece birisinin (belki sen, belki de bir program) yaptığını söylediklerini yapmak istediğine emin olmak için kontrol ediyor.. Ve bu kesinlikle sizin gibi maskelenmek istemediğiniz kötü amaçlı yazılım olasılığına bile girmiyor.

Bu muhtemelen temsil edildiği kadar yaygın değildir, ancak genellikle geçici bir şey dahili olarak, sonuçlarına ulaşmak için çok daha genel ayrıcalıklı bir sistem çağrısı gerektirdiğinde olur:

• Bir USB çubuğu çıkarın ve çıkarın. umountonunla bir çok şeyin bağlantısını kaldırabileceğiniz için ciddi bir komuttur.
• Yerel kablosuz ağa bağlanın. Olağanüstü bir şey değil, ancak ağ yapılandırması ( ifup, vb.) Yalnızca kullanıcı için.
• Güncellenmediğinde çalıştırmayı reddeden kendi kendine güncellenen uygulamalar. Güncelle = yükle ve istemedikleriniz de dahil olmak üzere pek çok şey yükleyebilir.

Sistemler genellikle bu gibi vakaların sayısını azaltmak için gelişir. USB çubukları şimdi kullanıcı tarafından monte edilebilir ve ağlar kullanıcı tarafından bağlanabilir. Ama her zaman böyle değildi.

Varsayım: bu sizin sisteminiz ve verilerinizdir.

Her zaman yazmaya gerek kalmadan yanlışlıkla verileri silme veya işletim sisteminizi tuğla yapma kolaylığına karşı yapma riskini azaltmanız yeterlidir sudo.

Rutin olarak giriş yapıyorum ve ev sunucularımda root olarak çalışıyorum çünkü yapabilirim daha kolay.

Sakro-aziz olsa gitmezseniz nükleer silahlar kullanabileceğinizi söyleyeceksiniz, sudoancak gerçek şu ki bugün insanlar rootbirçok cihazda (TV'niz, telefonunuz, kızartıcınız, Windows'unuzda güçleri (*) var. bahsettin)). Linux burada farklı değil, çoğu başka türlü düşünmek istemesine rağmen.

BTW UAC, sudokötü amaçlı yazılımın sizin adınıza bir şeyler yapmak istediğinde ne zaman göreceğinizi görmek için (insan hayatınızı perişan etmenin yanı sıra) olduğu gibi modellenmedi .

_{(*) rootyetkiler, önemli verileri yok etme kapasitesi olarak tanımlanmaktadır. "Büyük güçle büyük sorunlar ortaya çıkar" (ya da her neyse) atasözü uygulanır.}

Varsayım yanlışsa, yine de yukarıdaki riski arttırmanız gerekir, ancak daha fazla değişken (işiniz, eşiniz tarafından çekilen ve aynı dizüstü bilgisayarda saklanan fotoğraflar ...)

İlk soruyu yazan kişinin savunmasında, aynı soruyu geçen yıllarda yaşadım, ancak farklı bir yaklaşım benimsedim.

Buradaki cevapların çoğu sadece bir döngüde çalınabilir, çünkü hepsi sudo ve root ile ilgili aynı noktayı vurgulamaktadır. Bu konuya farklı bir bakış açısı ekleyeyim:

Unix AND Linux'u içten dışa öğrenme yöntemim, bilgisayarlarımdan birini "gine domuzu" olarak kullanmaktı. SCO Linux'u ve nihayetinde Solaris'i ve sonra Linux'u daha sonra, daha sonra kök olarak neşeyle deneyimleyerek kurardım; yetiştirilen çok kullanıcılı kutu, tek kullanıcı olmama rağmen. Ve bu şekilde yaptığım için mutluyum. "Unix Felsefesi" ve Unix'in denemelerim tarafından kullanılma amacı hakkında çok şey öğrendim.

Güvenlik hakkında bir şeyler öğrenmeye başladım ve ayrıca bir uçbirime root olarak rm -rf / * yazarak tehlikeli komutlar aldım. (BU YAPMAYIN! SİSTEMİNİZİ HORTUM EDECEKTİR !!) Bunun gibi şeyleri yaptım, sadece gerçek zamanlı olarak ne olacağını görmek için. Elden önce sonuçları bilen bu tür şeyler yaptım, ancak yine de çok şey öğrendim. Web var olmadan önce SCO Unix LONG kullanıyordum (evet, o kadar yaşlıyım!) Ve bu şekilde denemeler öğrenmem için çok değerliydi.

Yani demek istediğim, bir şeyler ters gittiğinde yeniden kurulum yapmaktan çekinmezseniz, istediğiniz tüm ayarları su ile yapın veya root olarak kullanın ve yapılandırın / kesin! Bunu yaparak bir çok şey öğreneceksiniz.

Sadece burada çokça tekrarlanan tavsiyelerin iyi bir nedenden ötürü yinelendiğini hatırlayın: Compsec geliştikçe onlarca yıldan beri en iyi uygulama protokolleri gelişti ve sisteminizin bir ev / tek kullanıcısı olarak bile bunlara dikkat etmelisiniz . Bunu yaparak, iyi sysadmin hijyen / alışkanlıkları sizin için ikinci doğaya dönüşecektir.

Sadece su ve sudo konusunu düşünmek için yiyecek. Mutlu hack!