Cosa significa e cosa fa sudo?

sudo ti consente di eseguire un programma come super utente root . Usandolo al posto di su,

1. non è necessario conoscere la password di root perché richiede la tua password,
2. sai esplicitamente quali comandi verranno eseguiti come root e quali altri come te. Se utilizzi su, hai una shell e puoi eseguire inavvertitamente alcuni programmi (pericolosi) e
3. tutte le tue azioni vengono registrate nel auth.log file. Le azioni in una shell, come quella avviata da su di solito non vengono registrate .

Perché non puoi semplicemente concederti le autorizzazioni con il tuo nome utente?

Per motivi di sicurezza, laccount root viene utilizzato raramente per scopi quotidiani . Di solito, tutti gli utenti, inclusi gli amministratori, utilizzano un utente “normale” ed eseguono solo comandi come root quando è necessario. Ciò può impedire (1) laccesso non autorizzato ai file di altri utenti, (2) azioni di root non registrate e (3) problemi causati dallesecuzione di programmi “pericolosi”.

è unanalogia in Wikipedia che puoi considerare:

• Usare un account di root è piuttosto come essere Superman; un amministratore regolare lutente è più simile a Clark Kent. Clark Kent diventa Superman solo per il tempo necessario, al fine di salvare le persone. Poi ritorna al suo “travestimento”. Laccesso root dovrebbe essere utilizzato allo stesso modo. Il travestimento di Clark Kent non lo limita davvero, dato che è ancora in grado di usare i suoi super poteri. Questo è analogo alluso del programma sudo.

Commenti

• Usare sudo è un po come essere Pippo finché non mangi una super nocciolina che ti trasforma in Super Pippo. I tuoi super poteri svaniscono dopo un timeout (impostazione predefinita 15 minuti), dopodiché ti viene chiesto di inserire una nuova nocciolina … ehm, la tua password.
• ok, fammi vedere se lo capisco. Invece di persone con account amministratore, tutti hanno il potenziale per essere un amministratore utilizzando il nome utente sudo. Tuttavia, utilizzando quel nome utente sudo le tue azioni verranno registrate di nuovo perché è un po come un inferno dal tuo account nome utente effettivo. Se è così, mi piace molto. Risparmia tonnellate di tempo. Non ‘ devi aspettare che qualcuno privato venga da te per aggiungere software, stampanti e simili.
• @KnowledgeBeyondMe Tutti hanno il potente ial per essere un amministratore, ma devi comunque essere autorizzato a essere elencato in /etc/sudoers. Ci sono altri vantaggi di sudo rispetto a su, ma il punto principale di sudo è che ti autentichi usando la tua password. Le password condivise non sono valide.
• Devi autorizzare le persone, includendole in /etc/sudoers o utilizzando altre tecniche , per eseguire sudo. Di solito, non autorizzi tutte le persone, ma solo gli amministratori di sistema.

Per impostazione predefinita sulla maggior parte degli Unix , laccount “amministratore”, root, deve essere utilizzato solo con parsimonia. Ci sono solo due livelli di diritti di amministratore, o “superutente”, su un normale sistema Unix: o hai il pieno controllo di tutto , oppure non lo fai.

“Controllo completo” include lelusione della maggior parte dei controlli dei permessi e il rovinare completamente il sistema con un semplice errore di battitura. Come utente ordinario, puoi al massimo cancellare solo i tuoi file.

La vecchia utilità su viene utilizzata insieme alla password di root per assumere lidentità di root, ma può anche essere usato per assumere lidentità di altri utenti, o per eseguire singoli comandi come loro, dato che appartieni al gruppo di utenti corretto e conosci le loro password.

su è comunemente usato da lutente root (su alcuni sistemi Unix) per avviare demoni (processi di servizio) che devono essere eseguiti con particolari identità utente per proteggerli dallaccesso ad aree a cui non dovrebbero avere accesso (in genere server web, server SSH e simili). Ciò può essere fatto negli script di avvio durante lavvio del sistema.

su è usato più raramente in modo interattivo (sulla riga di comando).

Lutilità sudo richiede un po più di configurazione in quanto consente a un utente di eseguire comandi come un altro utente utilizzando la propria password (il che significa che una password di root, ad esempio, non ha bisogno di essere condivisa) e consente anche un controllo dettagliato di chi è autorizzato a fare esattamente cosa. Si potrebbe, ad esempio, dare a un singolo utente, oa un intero gruppo di utenti, la possibilità di montare un determinato disco, ma non di smontarlo o di montare altri dischi, o di installare software utilizzando comandi specifici ecc. Ancora, il sudo lutility consente di assumere le identità di altri utenti (non solo root) per sessioni interattive, o per eseguire singoli comandi (se la configurazione è stata impostata in questo modo da unaltra persona con root autorizzazioni).

In genere, si eseguono singoli comandi utilizzando sudo (da cui il nome “superuser do”):

$ sudo apt-get install vim 

o

$ sudo shutdown -ph now 

Utilizzare sudo in questo modo è preferibile rispetto a sudo -s e lavora con una shell di root interattiva, perché i comandi che esegui vengono registrati. in seguito è possibile ripercorrere le azioni nel file di log per vedere dove (e chi) ha fatto qualcosa, sia per debugging o per lauditing.

Se ti ritrovi a digitare cercando un prompt di root interattivo per un lungo periodo di tempo, dovresti riconsiderare quello che stai facendo e se questo richiede davvero i privilegi di root.

Ad esempio, lunica volta che io visualizzare un prompt di root interattivo quando si aggiunge un utente normale per me stesso su una macchina appena installata, o quando ho davvero dei problemi seri che mi impediscono persino di accedere come utente normale.

OpenBSD (dalla versione 5.8) ha unutilità chiamata doas che sostituisce sudo nellinstallazione di sistema predefinita. È stato sviluppato quando è diventato chiaro che sudo era diventato troppo complesso per soddisfare gli obiettivi stabiliti dagli sviluppatori di OpenBSD. Il suo utilizzo è simile a quello di sudo, ma configurarlo è più semplice .

Nelle prime versioni di Unix lo scenario più comune era quello di accedere tramite un terminale senza un sistema a finestre. Il comando su (sostituto utente) era un modo conveniente per modificare i permessi correnti senza disconnettersi. Ricorda, senza un sistema a finestre disconnettersi significava fermare tutto ciò che era in esecuzione.

Usare su per diventare root presenta alcuni fastidiosi problemi. Le persone occasionalmente dimenticavano di uscire dalla sessione ed eseguivano accidentalmente comandi come root. La modifica della password amministrativa era complicata dal fatto che era necessario distribuirla a tutti coloro che ne avevano bisogno. La maggior parte dei sistemi non registrava tutti i comandi, quindi era difficile dire chi aveva fatto cosa come root. E così via.

sudo ha risolto questi problemi consentendo alle persone di eseguire un singolo comando come root. Fornisce un controllo e un controllo migliori pur essendo un po più conveniente per i comandi una tantum.

ok, quindi fammi vedere se ho capito questo. Invece di persone con account amministratore, tutti hanno il potenziale per essere un amministratore utilizzando il nome utente sudo. Tuttavia, utilizzando quel nome utente sudo le tue azioni verranno ricondotte a te perché è tipo un inferno dal tuo account utente effettivo. Se è così, mi piace molto. Risparmia un sacco di tempo. Non devi aspettare che qualcuno privato venga da te per aggiungere software, stampanti e simili.

Commenti

• sudo è unutilità, non un nome utente. Qualcuno deve comunque darti il diritto di utilizzare sudo. Il diritto potrebbe essere limitato alluso di comandi particolari, o per usare sudo per assumere particolari identità di altri utenti. sudo può essere usato per passare ad altri ruoli oltre al semplice root.
• oh, quindi è come i gruppi organizzativi di Active Directory? Hai il tuo nome utente con privilegi, ma se ti vengono concessi i permessi puoi accedere ai privati di unorganizzazione specializzata. LORG in questo senso sarebbe lutilità SUDO?
• Non sapendo cosa sia un ” Active Directory “, Non posso ‘ dire sì o no con certezza.
• Meccanismo di controllo per diritti e ruoli in Windows.
• No, sudo non è un gruppo o un account utente. – In Windows, Active Directory e LDAP è possibile definire gruppi di utenti. In Linux, puoi anche definire gruppi di utenti. Ad esempio, il tuo Linux di solito ha un gruppo admin. Ogni utente può appartenere a un gruppo principale e a più gruppi secondari . – Puoi autorizzare sudo a tutti i membri di un gruppo . Se controlli il /etc/sudoers, i gruppi autorizzati hanno un % prefisso.

sudo consente di eseguire un programma come un utente diverso (incluso root) in base a un insieme di regole configurabile e predefinito.

Attivato una radice di sistema Unix / POSIX / Linux è dio. Anche lutente root è singolare.

In molti ambienti ci sono più amministratori che potrebbero richiedere un accesso root completo, ma possono esserci anche individui che richiedono laccesso per svolgere alcune funzioni specifiche solitamente riservate a root; Gli amministratori di database devono arrestare e avviare i servizi DB, modificare le configurazioni del database, gli amministratori di rete devono configurare i dispositivi e le rotte di rete, gli amministratori della sicurezza devono gestire i certificati e configurare i firewall.

Limitando i comandi che una persona può eseguire, sudo applica il principio del privilegio minimo: gli utenti non ottengono laccesso di cui non hanno bisogno. Ma non si tratta solo di limitare i binari eseguiti dagli utenti. Molte attività di amministrazione vengono eseguite dalla riga di comando e i parametri passati a quel comando possono anche essere vincolati da sudo (o catturati in uno script di shell con accesso fornito da sudo), quindi è possibile limitare i dati / dispositivi che questi specializzati gli amministratori possono accedere.

Perché non puoi semplicemente concederti le autorizzazioni con il tuo nome utente?

1) questo sarebbe un male.

• Ho spesso avuto accesso allaccount di root sui sistemi, ma ora ho configurato un account con nome da utilizzare per il login e solo “su” o “sudo” quando voglio invocare in modo esplicito i miei super poteri. Oltre a evitare errori stupidi, il mio account con nome fornisce una sandbox per eventuali componenti che si comportano male.

• cosa succede se ci sono 5 persone che necessitano dellaccesso privilegiato, lo concedo a tutte? Che ne dici di 20? che ne dici di 200?

2) questo sarebbe difficile

• non è il modello di sicurezza Unix. Sicuramente potresti cambiare i permessi su alcuni eseguibili (vedi nota precedente sui parametri). Ma se sei attento alla sicurezza, applichi le patch regolarmente, il che può minare un modello di autorizzazioni personalizzato (sudo OTOH mantiene le sue autorizzazioni indipendentemente dai comandi stessi).

Commenti

• ahhh, questo è il motivo per cui Linux è un po più difficile da attaccare. Meno persone con diritti. Laggressore dovrebbe trovare la persona giusta con i diritti giusti. di per sé.