Como o sudo é mais seguro do que usar diretamente su se o usuário recebe acesso a todos os comandos?

Então, eu estive lendo as diferenças entre usar sue sudo, e todos parecem concordar que a sudoabordagem é mais segura do que permitir o acesso à própria conta raiz. Dizem que, com a conta root, você pode quebrar todo o sistema com apenas um único comando. Isso eu entendo. MAS o usuário inicial criado no sistema também tem acesso a todos os comandos usando o sudo. Isso eu posso descobrir executando su -l. Se for esse o caso, eu posso simplesmente correr sudo <game-ending command>para arruinar meu sistema. Então, como essa abordagem é melhor ou mais segura do que permitir acesso direto à conta do superusuário? Eu posso executar todos os mesmos comandos ...

É porque usando sudona linha de comando eu digo explicitamente ao computador que acho que sei o que estou fazendo? Eles acham que as pessoas esquecerão que estão sob a conta de superusuário, a menos que o digam explicitamente?

As pessoas também afirmam que, se o sistema fosse comprometido e inserido por alguém estrangeiro, estar na conta raiz permitiria que eles fizessem coisas terríveis no meu sistema. Mas parece-me que eles já têm acesso à minha conta e sabem minha senha. Eles podem fazer essas mesmas coisas terríveis usando o sudo e inserindo a minha senha, pois nem precisam saber a senha do super usuário. O que não estou chegando aqui?

Pessoalmente, não o considero necessariamente mais seguro e a maioria dos benefícios (do sudo) está em um sistema multiusuário. Em um sistema de usuário único, provavelmente é uma lavagem.

Os benefícios são (em nenhuma ordem específica):

• O sudo possui registro superior. sudo registra cada comando.
• O sudo permite o controle de grãos mais finos. Pode-se configurar o sudo para dar acesso root a alguns comandos, mas não a todos.
• O sudo usa a senha de login. Isso protege a necessidade de fornecer a senha de root (como você faria com su) e está relacionado ao ponto acima em relação ao controle / acesso mais refinado ao root.
• No Ubuntu, por padrão, a conta root está bloqueada. Isso impede que os crackers façam login (remoto via say ssh), eles precisam adivinhar um nome de usuário e uma senha. Se a conta root não estiver bloqueada, como é o caso do su, eles só precisam quebrar a senha do root.
• sudo -ié provavelmente o melhor método para isolar as variáveis ​​ambientais da raiz do seu usuário. Ocorre de tempos em tempos, mas é moderadamente esotérico. Consulte https://help.ubuntu.com/community/RootSudo#Special_notes_on_sudo_and_shells
• algumas pessoas acham que ter que digitar sudo antes de cada comando que desejam executar como root ou ter o tempo limite do sudo lhes permite parar e pensar com mais clareza e reduzir seus erros ou executar comandos errados. Se isso o ajudar, isso também seria um benefício.

Provavelmente há mais benefícios, mas esses são os principais, IMHO.

Veja também - https://help.ubuntu.com/community/RootSudo

Para tentar responder a alguns de seus outros pensamentos:

• Não há nada no su ou sudo que o impeça de executar códigos maliciosos enquanto você souber a senha. Nem é mais seguro ou melhor.
• Os crackers podem obter acesso ao shell por vários métodos. Quando você vê "executar código arbitrário" em um aviso de segurança - https://usn.ubuntu.com/usn/ - significa que um cracker pode executar / bin / bash ou qualquer outro código. Assim, um cracker, através de várias explorações, pode obter acesso ao shell sem saber seu nome de usuário ou senha. Nem sudo ou su ajuda com isso.
• Se um cracker tiver acesso ao shell, ele poderá causar muitos danos sem o acesso root. Por exemplo, o ransomware que criptografa todos os seus dados pessoais.
• Se um cracker tiver acesso shell a uma conta com acesso root, via su ou sudo, o cracker poderá obter acesso root através de vários métodos além do escopo desta discussão. Nem sudo ou su também são superiores nesse aspecto.

Portanto, embora você tenha observado problemas ou falhas no sudo, o su tem exatamente as mesmas vulnerabilidades e o su não é superior ao sudo nesses aspectos, IMHO

Imagine que você tem 20 minutos para fazer algo complexo. Você está um pouco de ressaca e precisa se apressar. "Vamos usar su", você diz. "Isso vai economizar tempo" é o seu raciocínio.

Por acidente, você digita

rm -rf /*

ao invés de

rm -rf ./*

Seu sistema agora está em quarentena e você tem 10 minutos até o prazo.

Se você escolher explicitamente quando precisa de root, poderá minimizar a chance de isso acontecer. A raiz pode não ser necessária, rm -r ./*então por que usá-la? Por que correr o risco?

É isso que "segurança" significa aqui. Minimizar o risco de usuários (todos os usuários, não apenas iniciantes) cometerem um erro fatal.

Obviamente, este é um exemplo extremo que não deve acontecer em um ambiente de produção (garanto que aconteceu em um ambiente de produção).

Em termos de segurança, há algumas coisas para as quais o sudo também é melhor. Como o @Panther diz - log, restrições, senha root é SPOF, etc.)

Quero acrescentar um pouco de perspectiva histórica às outras respostas. Infelizmente, não tenho nenhuma fonte pronta, exceto minhas próprias lembranças de discussões da Usenet e artigos de revistas.

Algum tempo atrás, na década de 1990, as distribuições estavam facilitando a instalação do Linux em seu próprio hardware, mesmo com pouco conhecimento em informática. algum dialeto UN * X. Em vez disso, muitos estavam acostumados a sistemas (usuário único) como o Windows 95/98. E eles aprenderam que a maioria das tarefas de administração do sistema Linux tornava necessário trabalhar sob essa estranha conta "raiz".

Assim, alguns usuários fizeram login como root e usaram essa conta para todo o trabalho diário. Por que eles devem digitar sua senha root e outra vez ou fazer login em um novo tty apenas para alguns comandos de administrador? Mas usar o root para tudo não é, obviamente, uma boa ideia, pois você pode causar muito mais dano ao seu sistema com algum comando desatento no lugar errado. Isso até levou alguma distro (foi SuSE?) A modificar o plano de fundo da área de trabalho para o usuário root exibir um grande aviso de que você deveria usar essa conta apenas para tarefas administrativas.

Portanto, a maneira como o Ubuntu sudotem algumas vantagens (além das já listadas pela Panther ).

• Você não pode diretamente login para a raiz account.² :-)
• O processo de instalação não solicitará uma senha root (adicional), você precisará de apenas uma senha (do seu usuário).
• sudoarmazena em cache suas credenciais; portanto, para vários comandos de administrador em sequência, você só precisa digitar sua senha uma vez (em contraste com su). Isso reduz o desejo de abrir apenas um shell ou um novo terminal com privilégios de root .
• E torna mais fácil informar aos usuários on-line e na documentação quais comandos eles devem inserir como administrador e quais não.³

¹ E para aqueles que não se atrevem a fazê-lo, houve festas de instalação.
² Mas você pode usar um comando como sudo -iou sudo su - rootpara obter um shell raiz depois de fazer o login como um usuário normal.
³ Mas você sabe, é claro, que não deve simplesmente copiar e colar comandos da Internet , certo?

Foi possível desativar o login root através do ssh por décadas. A maneira como o Ubuntu desabilita a conta root e faz as pessoas sudo tudo não passa de um truque. Apenas "sudo -s" e você terá um shell raiz. Desative o login root através do ssh e deixe lá.

Dependendo da configuração, sudo <game ending command>não funcionará necessariamente. Obviamente, se a sudoersconfiguração exibir "usuário ALL = (ALL) ALL"), sudonão oferecerá proteção adicional. No entanto, você pode especificar uma lista de comandos privilegiados que precisa executar frequentemente, como instalar novos pacotes, e deixar de fora comandos perigosos rm.

Dessa forma, você pode executar todos os comandos se fizer login como root, mas como você precisará disso ocasionalmente, o risco de execução <game ending command>será substancialmente reduzido.

Esse sudo permite que você permita apenas determinados comandos não é o único benefício do sudo sobre o su.

Na maioria das lojas, esse não é o benefício mais importante.

Com o sudo, você sabe quem executou um comando específico.

Agora, talvez isso não importe para você. Por exemplo, você pode ser o único usuário do seu computador. Nesse caso, sudo possivelmente não é melhor que su.

Mas muitos hosts têm mais de um administrador.

O sudo se torna muito útil porque, se alguém faz a coisa errada, o sudo informa quem o fez.

Isso permite que você entenda por que os erros ocorreram e instrua as pessoas a evitar erros recorrentes ou, se necessário, remover as ferramentas de alguém.

Como bônus, quando as pessoas sabem que suas ações são registradas, geralmente são um pouco mais cuidadosas.

Sudo não é perfeito.

Se duas pessoas fazem "sudo sh" ao mesmo tempo, pode ser difícil atribuir comandos a uma ou a outra.

E um administrador mal-intencionado sempre pode remover ou editar logs - embora fazer isso de forma limpa nem sempre seja tão fácil quanto as pessoas pensam, especialmente se você tiver um log centralizado.

O sudo não necessariamente interrompe uma ação estúpida ou maliciosa, por todos os motivos identificados na pergunta original.

Mas isso oferece uma chance muito maior de impedir a recorrência.