marraskuu 1, 2020
Articles
Ei kommentteja

Mitä sudo tarkoittaa ja tekee?

”Voiko joku kertoa minulle, mitä sudo tarkoittaa?” Oppin Linuxia. Googlen, mutta voisiko joku antaa minulle Windows -vertailun, mielestäni tämä auttaa minua vähän. Tiedän, että su tarkoittaa käyttäjän vaihtamista. sudo on toinen käyttäjä, mutta miten ja miksi? Miksi et voi vain antaa itsellesi käyttöoikeuksia käyttäjänimelläsi?

Kommentit

  • Windowsissa, jos et ’ ei ole järjestelmänvalvojan oikeuksia, sinun on annettava nimi ja salasana tilille, joka myös toimii. Voit tietysti antaa itsellesi luvan käyttäjänimelläsi, ei vain ole viisasta tehdä niin, kuten mikä tahansa ohjelma, joka juoksusi voi sitten muokata mitä tahansa lupaa. Se on yksi syy siihen, miksi Windows on ollut vaarallinen niin kauan.
  • @KnowledgeBeyondMe: Mitä kysymyksen aihe tarkoittaa? Vaihda se jotain mielekästä.
  • ok, anna minun nähdä, ymmärränkö tämän. Sen sijaan, että ihmisillä olisi järjestelmänvalvojan tilit, jokaisella on mahdollisuus olla järjestelmänvalvoja sudo-käyttäjänimeä käyttämällä. toiminnot kirjataan takaisin sinulle, koska sen laatu on kuin helvetti todellisesta käyttäjänimestäsi. Jos näin on, pidän siitä todella. Se säästää tonnia aikaa. Et ’ t ei tarvitse odottaa, että joku, jolla on oikeudet, tulee luoksesi lisäämään ohjelmistoja ja tulostimia ja vastaavia.

Vastaa

sudo avulla voit suorittaa ohjelman pääkäyttäjänä . Käyttämällä sitä su: n sijaan,

  1. sinun ei tarvitse tietää pääsalasanaa, koska se pyytää salasanaa.
  2. tiedät nimenomaisesti, mitkä komennot suoritetaan pääkäyttäjänä ja mitkä muut kuin sinä. Jos käytät su, sinulla on komentotulkki ja voit suorittaa vahingossa joitain (vaarallisia) ohjelmia.
  3. kaikki toiminnot kirjataan auth.log -tiedosto. Kuoren toimintoja, kuten su -aloitetta, ei yleensä kirjata sisään .

Miksi et voi vain antaa itsellesi käyttöoikeuksia käyttäjänimelläsi?

turvallisuussyistä, juuritiliä käytetään harvoin päivittäisiin tarkoituksiin . Yleensä kaikki käyttäjät, myös järjestelmänvalvojat, käyttävät ”normaalia” käyttäjää ja suorittavat vain komentoja pääkäyttäjänä, kun sitä tarvitaan. Tämä voi estää (1) luvattoman pääsyn muiden käyttäjien tiedostoihin, (2) kirjautumattomien juuritoimintojen ja (3) ”vaarallisten” ohjelmien suorittamisen aiheuttamat ongelmat.

Siellä on analogia Wikipediassa , jota voit harkita:

  • Root-tilin käyttö on pikemminkin kuin Superman; järjestelmänvalvoja on säännöllinen käyttäjä on enemmän kuin Clark Kent. Clark Kentistä tulee Supermies vain niin kauan kuin on tarpeen ihmisten pelastamiseksi. Sitten hän palaa ”naamiointiin”. Juurihakemistoa tulisi käyttää samalla tavalla. Clark Kentin naamiointi ei kuitenkaan todellakaan rajoita häntä, koska hän pystyy edelleen käyttämään supervoimiaan. Tämä on analogista sudo-ohjelman kanssa.

Kommentit

  • sudo -toiminnon käyttö on pikemminkin kuin hölmö, kunnes syöt supermaapähkinää, joka tekee sinusta superhöyry. Supervoimasi kuluvat aikakatkaisun jälkeen (oletusarvo 15 minuuttia), jonka jälkeen sinua pyydetään antamaan uusi maapähkinä … salasanasi.
  • ok, anna minun nähdä, ymmärränkö sen. Sen sijaan, että ihmisillä olisi järjestelmänvalvojan tilit, kaikilla on mahdollisuus olla järjestelmänvalvoja sudo-käyttäjätunnuksella. Käyttämällä sitä sudo-käyttäjänimeä toiminnot kuitenkin kirjataan takaisin sinulle, koska sen kaltainen helvetti todellinen käyttäjätunnuksesi toimii. Jos näin on, pidän siitä todella. Se säästää tonnia Sinun ei ’ ei tarvitse odottaa, että joku, jolla on oikeuksia, tulee luoksesi lisäämään ohjelmistoja ja tulostimia ja vastaavia.
  • @KnowledgeBeyondMe Kaikilla on voimakas Jos haluat olla järjestelmänvalvoja, sinun on silti oltava valtuutettu, koska sinut on luettelossa /etc/sudoers. Sudolla on joitain muita etuja su: n suhteen, mutta sudon pääasia on, että todennat omalla salasanallasi. Jaetut salasanat ovat huonoja.
  • Sinun on valtuutettava ihmiset, mukaan lukien heidät /etc/sudoers tai muilla tekniikoilla , ajaa sudo. Yleensä et valtuuta kaikkia ihmisiä, vain järjestelmänvalvojia.

Vastaa

Oletusarvoisesti useimmissa Unices-laitteissa , ”järjestelmänvalvojan” tiliä, root, on käytettävä vain säästeliäästi. Normaalissa Unix-järjestelmässä on vain kaksi järjestelmänvalvojan eli ”superkäyttäjä” -oikeuksien tasoa: Sinulla on joko kaiken hallinta kokonaan tai et.

”Täysi hallinta” sisältää useimpien lupatarkistusten kiertämisen ja järjestelmän täydellisen sekoittamisen yksinkertaisella väärinkirjoituksella. Tavallisena käyttäjänä voit enintään poistaa vain omat tiedostosi.

Vanhempaa su -apuohjelmaa käytetään yhdessä juurisalasanan kanssa juuritunnuksen ottamiseksi, mutta sitä voidaan käyttää myös muiden käyttäjien identiteettien ottamiseen tai yksittäisten komentojen suorittamiseen sellaisenaan, koska kuulut oikeaan käyttäjäryhmään ja tiedät heidän salasanansa.

su käytetään pääkäyttäjän toimesta (joissakin Unix-järjestelmissä) käynnistämään deemonit (palveluprosessit), joiden on suoritettava tietyillä käyttäjätunnuksilla suojaamaan heitä pääsemästä alueille että heillä ei pitäisi olla pääsyä (tyypillisesti web-palvelimiin, SSH-palvelimiin ja vastaaviin). Tämä voidaan tehdä käynnistyskomentosarjoissa järjestelmän käynnistyessä.

su käytetään harvemmin vuorovaikutteisesti (komentorivillä).

sudo -apuohjelma vaatii hieman enemmän määrityksiä, koska se antaa käyttäjän suorittaa komentoja toisena käyttämällä omaa salasanaaan (mikä tarkoittaa, että esimerkiksi juurisalasanaa ei tarvitse jakaa), ja se mahdollistaa myös tarkan hallinnan siitä, kenen saa tehdä tarkalleen mitä. Voidaan esimerkiksi antaa yhdelle käyttäjälle tai koko käyttäjäryhmälle mahdollisuus liittää tietty levy, mutta ei irrottaa sitä tai asentaa muita levyjä tai asentaa ohjelmistoja käyttämällä tiettyjä komentoja jne. Jälleen, sudo -apuohjelman avulla voidaan olettaa muiden käyttäjien identiteetit (ei vain juuret) vuorovaikutteisille istunnoille tai yksittäisten komentojen suorittamiselle (jos jokin muu root-käyttäjä on määrittänyt kokoonpanon tällä tavalla

Tavallisesti yksi komento suoritettaisiin käyttämällä sudo (tästä nimi ”superkäyttäjä tekee”): 

$ sudo apt-get install vim

tai 

$ sudo shutdown -ph now

Tällä tavalla sudo käytetään mieluummin kuin sudo -s ja työskentele vuorovaikutteisen juurikuoren kanssa, koska suorittamasi komennot kirjataan. Lokitiedoston toiminnot voidaan myöhemmin jäljittää nähdäksesi missä (ja kuka) on tehnyt jotain joko virheenkorjausta tai tarkastusta varten.

Jos löydät itsesi kirjoitusvirheestä Jos vuorovaikutteinen juurikehote on pidemmän aikaa, sinun tulisi miettiä uudelleen mitä olet tekemässä ja jos se todella vaatii juurioikeuksia.

Esimerkkinä ainoa kerta, kun I tuo interaktiivinen pääkehote esiin, kun lisätään tavallinen käyttäjä itselleni juuri asennetulle koneelle tai kun minulla on todella vakavia ongelmia, jotka estävät minua edes kirjautumasta tavallisena käyttäjänä.

OpenBSD: llä (julkaisusta 5.8 lähtien) on apuohjelma nimeltä doas, joka korvaa järjestelmän oletusasennuksessa sudo. Se kehitettiin, kun kävi selväksi, että sudo oli tullut liian monimutkainen vastaamaan OpenBSD: n kehittäjien asettamia tavoitteita. Sen käyttö on samanlainen kuin sudo, , mutta sen määrittäminen on helpompaa .

Vastaus

Unixin varhaisissa versioissa yleisin tapa oli kirjautua sisään päätelaitteen kautta ilman ikkunointijärjestelmää. Su-komento (korvaava käyttäjä) oli kätevä tapa muuttaa nykyisiä käyttöoikeuksiasi kirjautumatta ulos. Muista, että ilman ikkunoitua järjestelmää uloskirjautuminen merkitsi käynnissä olevan pysäyttämistä.

Su: n käyttämisellä rootiksi on ärsyttäviä ongelmia. Ihmiset toisinaan unohtuivat poistua istunnosta ja suorittaa vahingossa komentoja pääkäyttäjänä. Ylläpitäjän salasanan vaihtamisen vaikeutti se, että joudut jakamaan sen kaikille, jotka tarvitsevat sitä. Suurin osa järjestelmistä ei kirjaa kaikkia komentoja, joten oli vaikea sanoa kuka mitä teki root-tiedostona. Ja niin edelleen.

sudo käsitteli näitä asioita antamalla ihmisten suorittaa yhden yksittäisen komennon pääkäyttäjänä. Se tarjoaa paremman valvonnan ja hallinnan samalla kun se on hieman kätevämpää kertakomennoille.

Vastaa

ok, joten anna minun nähdä, ymmärränkö tämän. Sen sijaan, että ihmisillä olisi järjestelmänvalvojan tilit, kaikilla on mahdollisuus olla järjestelmänvalvoja sudo-käyttäjänimeä käyttämällä. Kuitenkin käyttämällä tätä sudo-käyttäjänimeä toiminnot kirjataan takaisin sinulle, koska sen laatu on kuin helvetti todellinen käyttäjänimesi. Jos näin on, pidän siitä todella. Se säästää tonnia aikaa. Sinun ei tarvitse odottaa, että joku, jolla on oikeudet, tulee luoksesi lisäämään ohjelmistoja ja tulostimia ja vastaavia.

Kommentit

  • sudo on apuohjelma, ei käyttäjänimi. Jonkun on silti annettava sinulle oikeus käyttää sudo. Oikeus voidaan rajoittaa tietyille komennoille tai sudo -toiminnon käyttämiselle tiettyjen muiden käyttäjäidentiteettien ottamiseksi. sudo -toimintoa voidaan käyttää siirtymään muihin rooleihin kuin vain root-komentoon.
  • Voi niin kuin Active Directory -organisaatioryhmät? Sinulla on oma käyttäjänimesi, jolla on käyttöoikeudet, mutta jos sinulle annetaan käyttöoikeudet, voit käyttää erikoistuneen organisaation oikeuksia. ORG olisi tässä mielessä SUDO-apuohjelma?
  • Etkö tiedä mikä ” Active Directory ” on, En osaa ’ sanoa kyllä tai ei varmasti.
  • Ohjausmekanismi oikeuksille ja rooleille Windowsissa.
  • Ei, sudo ei ole ryhmä tai käyttäjätili. – Windowsissa, Active Directoryssä ja LDAP: ssä voit määrittää käyttäjäryhmiä. Linuxissa voit määrittää myös käyttäjäryhmät. Esimerkiksi Linux-käyttöjärjestelmässäsi on yleensä admin -ryhmä. Jokainen käyttäjä voi kuulua ensisijaiseen ryhmään ja useisiin toissijaisiin ryhmiin . – Voit valtuuttaa sudo ryhmän kaikille jäsenille . Jos valitset /etc/sudoers, valtuutetuilla ryhmillä on % etuliite.

Vastaa

sudo antaa sinun ajaa ohjelmaa eri käyttäjänä (mukaan lukien pääkäyttäjä) konfiguroitavien, ennalta määriteltyjen sääntöjen perusteella.

Käytössä Unix / POSIX / Linux-järjestelmän juuri on jumala. Pääkäyttäjä on myös yksikkö.

Monissa ympäristöissä on useita järjestelmänvalvojia, jotka saattavat tarvita täydellisen pääkäyttäjän käyttöoikeuden, mutta voi olla myös henkilöitä, jotka tarvitsevat käyttöoikeuden tiettyjen, yleensä juurille varattujen toimintojen suorittamiseen; DBA: iden on pysäytettävä ja käynnistettävä DB-palvelut, muokattu DB-määrityskokonaisuuksia, verkon järjestelmänvalvojien on määritettävä verkkolaitteet ja reitit, turvallisuusjärjestelmänvalvojien on hallittava varmenteita ja määritettävä palomuurit.

Rajoittamalla mitä komentoja henkilö voi suorittaa, sudo soveltaa vähiten oikeuksien periaatetta – käyttäjät eivät saa käyttöoikeutta, jota he eivät tarvitse. Mutta se ei rajoita vain käyttäjien suorittamia binäärejä. Monet järjestelmänvalvojan tehtävät suoritetaan komentoriviltä – ja sudolle voidaan rajoittaa myös komentoon siirrettyjä parametreja (tai siepata shell-komentosarjaan sudon tarjoamalla pääsyllä), joten on mahdollista rajoittaa näitä erikoistuneita tietoja / laitteita järjestelmänvalvojat voivat käyttää.

Miksi et voi vain antaa itsellesi käyttöoikeuksia käyttäjänimelläsi?

1) tämä olisi huono.

  • Minulla on usein ollut pääsy pääkäyttäjätiliin järjestelmissä – mutta olen aina perustanut nimetyn tilin kirjautumista varten , ja vain ”su” tai ”sudo”, kun haluan vedota eksplisiittisesti supervoimiini. Hölynpölyisten virheiden välttämisen lisäksi nimetty tilini tarjoaa hiekkalaatikon väärin käyttäytyville komponenteille.

  • entä jos 5 henkilöä tarvitsee etuoikeutetun pääsyn, myönnänkö sen jokaiselle? Entä 20? entä 200?

2) tämä olisi vaikeaa

  • se ei ole Unix-suojausmalli. Voit varmasti muuttaa joidenkin suoritettavien tiedostojen käyttöoikeuksia (katso edellinen huomautus parametreista). Mutta jos olet tietoisuutta tietoturvasta, asennat korjaustiedostoja säännöllisesti – mikä voi heikentää räätälöityjä käyttöoikeusmalleja (sudo OTOH ylläpitää käyttöoikeuksiaan itse komennoista riippumatta).

Kommentit

  • ahhh, siksi Linuxia on vähän vaikeampi hyökätä. Vähemmän oikeuksia käyttäviä ihmisiä. Hyökkääjän on löydettävä oikea henkilö, jolla on oikeat oikeudet. sinänsä.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *