Mit jelent és mit csinál a sudo?

sudo lehetővé teszi, hogy futtasson egy programot szuper root felhasználóként . su helyett használja,

1. nem kell tudnia a gyökér jelszavát, mert az kéri a jelszavát,
2. pontosan tudja, hogy mely parancsok futnak majd rootként, és melyek mások, mint te. Ha a su fájlt használja, akkor kap egy héjat, és akaratlanul is futtathat néhány (veszélyes) programot, és
3. minden műveletét beírja a auth.log fájl. A héjban végrehajtott műveletek, például a su által kezdeményezett műveletek általában nincsenek naplózva .

Miért nem adhat csak engedélyeket magának a felhasználóneve alatt?

biztonsági okokból, a gyökérfiókot ritkán használják napi célokra . Általában az összes felhasználó, beleértve az adminisztrátorokat is, “normál” felhasználót használ, és csak parancsokat hajt végre gyökérként, amikor arra szükség van. Ez megakadályozhatja (1) illetéktelen hozzáférést más felhasználók fájljaihoz, (2) nem naplózott root műveleteket és (3) problémákat, amelyeket a “veszélyes” programok futtatása okoz.

Ott a Wikipedia analógiája, amelyet fontolóra vehet:

• A gyökérfiók használata inkább olyan, mint Superman; az adminisztrátor rendszeres felhasználó inkább Clark Kenthez hasonlít. Clark Kent csak addig lesz Superman, amíg csak szükséges, az emberek megmentése érdekében. Ezután visszatér az “álruhájához”. A root hozzáférést ugyanúgy kell használni. A Clark Kent álruhája azonban nem igazán korlátozza őt, mivel még mindig képes kihasználni szuperhatalmait. Ez analóg a sudo program használatával.

Megjegyzések

• A sudo használata sokkal inkább olyan, mintha ostoba lennél, amíg meg nem eszel egy szuper mogyorót, ami Szuper Goofdá változtat. A szuperhatalmad időtúllépés után elhasználódik (alapértelmezett) 15 perc), amely után új földimogyorót kérünk … jelszóval.
• rendben van, szóval hadd lássam, értem-e ezt. Ahelyett, hogy rendszergazdai fiókkal rendelkeznek, mindenkinek lehetősége van legyél adminisztrátor a sudo felhasználónév használatával. Azonban a sudo felhasználónév használatával a tevékenységeid visszajelzésre kerülnek, mert ez olyan, mint egy fene a tényleges felhasználónevedhez. Ha ez így van, nekem nagyon tetszik. Ez rengeteg pénzt takarít meg Nem kell

Alapértelmezés szerint a legtöbb Unices-en , az “adminisztrátori” fiókot, a root-t, csak takarékosan szabad használni. A normál Unix rendszeren csak két szintű rendszergazda, vagyis “szuperfelhasználó” jog van: vagy teljes mértékben ellenőrizheti a mindent , vagy pedig nem.

A “teljes ellenőrzés” magában foglalja az engedélyellenőrzések többségének megkerülését és a rendszer teljes elrontását egyszerű hibás gépeléssel. Rendes felhasználóként legfeljebb csak a saját fájljait törölheti.

A régebbi su segédprogramot a root jelszóval együtt használják a root identitás felvételére, de felhasználható más felhasználói identitások felvételére vagy egyedi parancsok végrehajtására, mivel Ön a megfelelő felhasználói csoporthoz tartozik, és ismeri a azok jelszavait.

su általában a gyökérfelhasználó használja (egyes Unix rendszereken) olyan démonok (szolgáltatási folyamatok) elindításához, amelyeknek meghatározott felhasználói azonosítók alatt kell futniuk, hogy megvédjék őket a területek belépésétől hogy nem szabad hozzáférniük (általában webszerverekhez, SSH-kiszolgálókhoz és hasonlókhoz). Ez a rendszer indításakor indító parancsfájlokban is elvégezhető.

su -ot ritkábban használják interaktív módon (a parancssorban).

A sudo segédprogramhoz egy kicsit több konfigurációra van szükség, mivel ez lehetővé teszi a felhasználó számára, hogy parancsokat futtasson másikként. felhasználó a saját jelszavuk használatával (ami azt jelenti, hogy például egy root jelszót nem kell megosztani), és ez lehetővé teszi a pontos részletgazdálkodást is, hogy kinek mit szabad pontosan megtenni. Lehetővé teheti például egyetlen felhasználónak vagy a felhasználók egész csoportjának a képességét, hogy csatlakoztassanak egy adott lemezt, de ne vegyék le vagy más lemezeket, vagy telepítsenek szoftvereket speciális parancsok használatával stb. Ismét a sudo segédprogram lehetővé teszi más felhasználói identitások (nem csak root) felvételét az interaktív munkamenetekhez, vagy egyes parancsok végrehajtását (ha a konfigurációt más, root felhasználóval rendelkező személy állította be így

Általában egyetlen parancs futtatható a sudo használatával (innen a “superuser do” név):

$ sudo apt-get install vim 

vagy

$ sudo shutdown -ph now 

A sudo ilyen módon történő használata előnyben részesíti a sudo -s és működjön együtt egy interaktív gyökérhéjjal, mert a végrehajtott parancsok naplózásra kerülnek. Később visszanézheti a naplófájl műveleteit, hogy lássa, hol (és ki) tett valamit, akár hibakeresés vagy naplózás céljából.

Ha tippre találsz Ha interaktív gyökérkérésnél hosszabb ideig tartózkodik, akkor át kell gondolnia, hogy mit csinál, és ha ehhez valóban root jogosultságokra van szükség.

Például az egyetlen alkalom, hogy én az interaktív gyökérutasítás akkor jelenik meg, amikor egy újonnan telepített gépen hozzáadok egy rendes felhasználót magamhoz, vagy amikor valóban vannak olyan komoly problémáim, amelyek megakadályozzák, hogy még hétköznapi felhasználóként is bejelentkezhessek.

Az OpenBSD (az 5.8 kiadás óta) rendelkezik egy doas nevű segédprogrammal, amely az alapértelmezett rendszer telepítésekor a sudo helyébe lép. Akkor fejlesztették ki, amikor kiderült, hogy a sudo túl bonyolulttá vált ahhoz, hogy megfeleljen az OpenBSD fejlesztői által kitűzött céloknak. Használata hasonló a következőhöz: sudo, , de konfigurálása egyszerűbb .

A Unix korai verzióiban a leggyakoribb eset az volt, hogy a terminálon keresztül kellett bejelentkezni ablakos rendszer nélkül. A su parancs (helyettes felhasználó) kényelmes módja volt a jelenlegi engedélyek megváltoztatásának kijelentkezés nélkül. Ne feledje, hogy az ablakos rendszer kijelentkezése nélkül a futás leállítását jelentette.

A su használatával a root lesz néhány bosszantó probléma. Az emberek időnként elfelejtették kilépni a munkamenetből, és véletlenül rootként futtatták a parancsokat. Az adminisztrációs jelszó megváltoztatását bonyolította az a tény, hogy el kellett terjesztenie mindenkinek, akinek szüksége volt rá. A legtöbb rendszer nem naplózott minden parancsot, így nehéz volt megmondani, hogy ki mit csinált root-ként. És így tovább.

A sudo úgy oldotta meg ezeket a problémákat, hogy hagyta, hogy az emberek egyetlen parancsot futtassanak rootként. Jobb ellenőrzést és irányítást biztosít, miközben egy kicsit kényelmesebb az egyszeri parancsok számára.

oké, szóval hadd lássam, értem-e ezt. Ahelyett, hogy rendszergazdai fiókokkal rendelkeznek, a sudo felhasználónév használatával mindenki adminisztrátor lehet. Ennek a sudo felhasználónévnek a használatával azonban a műveleteit visszajelzik Önhöz, mert ez olyan, mint egy pokolba a tényleges felhasználónevét. Ha ez így van, akkor ez nagyon tetszik. Rengeteg időt takarít meg. Nem kell megvárnia, hogy valaki, akinek privilégiuma van, felkeresse Önt szoftverek és nyomtatók hozzáadásával.

Megjegyzések

• sudo egy segédprogram, nem pedig felhasználónév. Valakinek továbbra is meg kell adnia a sudo használatának jogát. A jog korlátozható a adott parancsok használatára, vagy a sudo használatára bizonyos más felhasználói identitások felvételére. A sudo felhasználható más szerepkörökre való váltásra, nem csak a root-ra.
• ó, ez olyan, mint az Active Directory szervezeti csoportjai? Saját felhasználói névvel rendelkezik, kiváltságokkal, de ha engedélyeket kap, hozzáférhet egy speciális szervezet privilégiumaihoz. Az ORG ebben az értelemben a SUDO segédprogram lenne?
• Nem tudja, mi az a ” Active Directory “, Nem tudok ‘ erre biztosan igent vagy nemet mondani.
• A Windows jogainak és szerepeinek ellenőrzési mechanizmusa.
• Nem, sudo nem csoport vagy felhasználói fiók. – Windows, Active Directory és LDAP esetén megadhat felhasználói csoportokat. Linux alatt megadhat felhasználói csoportokat is. Például a linuxodnak általában van egy admin csoportja. Minden felhasználó elsődleges és több másodlagos csoportba tartozhat . – Engedélyezheti a sudo számára, hogy a csoport összes tagját . Ha bejelöli a /etc/sudoers elemet, az engedélyezett csoportok % előtaggal rendelkeznek.

A sudo lehetővé teszi egy program futtatását más felhasználóként (beleértve a root-t is) konfigurálható, előre definiált szabálykészlet alapján.

Be egy Unix / POSIX / Linux rendszergyökér az isten. A root felhasználó szintén egyedülálló.

Sok környezetben több rendszergazda is igényelhet teljes root hozzáférést, de lehetnek olyanok is, akiknek hozzáférésre van szükségük a root számára fenntartott speciális funkciókhoz; A DBA-knak le kell állítaniuk és el kell indítaniuk a DB szolgáltatásokat, szerkeszteniük kell a DB konfigurációs fájlokat, a hálózati rendszergazdáknak konfigurálniuk kell a hálózati eszközöket és útvonalakat, a biztonsági rendszergazdáknak pedig a tanúsítványokat és a tűzfalakat.

Azáltal, hogy korlátozza az ember által futtatható parancsokat, a sudo a legkevesebb privilégium elvét alkalmazza – a felhasználók nem kapnak hozzáférést, amire nincs szükségük. De nem csak korlátozza a felhasználók által futtatott bináris fájlokat. Számos adminisztrációs feladatot a parancssorból hajtanak végre – és a parancsnak átadott paramétereket a sudo is korlátozhatja (vagy egy shell szkriptbe rögzítheti a sudo által biztosított hozzáféréssel), így korlátozni lehet ezeket a speciális adatokat / eszközöket Az adminisztrátorok hozzáférhetnek.

Miért nem adhat csak engedélyeket magának a felhasználóneve alatt?

1) ez rossz lenne.

• Gyakran volt hozzáférésem a gyökérfiókhoz a rendszereken – de mindig létrehoztam egy megnevezett fiókot a bejelentkezéshez , és csak “su” vagy “sudo”, amikor kifejezetten fel akarom hívni a szuperhatalmaimat. Az ostoba hibák elkerülése mellett a neves fiókom homokozót biztosít minden rosszul viselkedő komponens számára.

• mi van, ha van 5 ember, akinek szüksége van a privilegizált hozzáférésre, megadom-e mindenkinek? Mi a helyzet 20-mal? mi van 200-zal?

2) ez nehéz lenne

• ez nem a Unix biztonsági modell. Bizonyos esetekben megváltoztathatja egyes futtatható fájlok engedélyeit (lásd a paraméterekkel kapcsolatos korábbi megjegyzést). De ha nincs tudatában a biztonságnak, rendszeresen telepít javításokat – ami alááshatja a testreszabott engedélymodelleket (a sudo OTOH fenntartja az engedélyeket a parancsoktól függetlenül).

Megjegyzések

• ahhh, ezért a Linuxot kissé nehezebb támadni. Kevesebb ember van jogokkal. A támadónak meg kellene találnia a megfelelő embert, a megfelelő jogokkal. önmagában.