unixforum.org

С самого начала линуксовой жизни я пользовался su.
Sudo на тот момент в явном виде попадалось только в Ubuntu.
С тех пор прошло довольно много времени.

Сейчас я всё больше тяготею к использованию sudo.

Во-первых, есть программы, запускаемые от ограниченных в правах пользователей.
Эти пользователи даже не имеют возможности логина. Соответственно пароли отсутствуют.
В этой ситуации без sudo никак.

Во-вторых, стал пользоваться sudoedit, visudo ну, и собственно возникает мысль об отказе от su и полному переходу на sudo.

Но здесь возникают вопросы.
Какие команды разрешить себе? Список команд всё время будет расширяться.
В конце концов, окажется что нужны все. Т.е. проще добавить себя в группу sudo.
Но не будет ли это опасно? Вместо пароля рута ввести пароль пользователя и делать что угодно. Вот этот вопрос мне не даёт покоя.

Далее, раз уж мы в группе sudo, то вроде бы можно заблокировать рута.
Как в этом случае быть с однопользовательским режимом?
В текущем Debian при заблокированном руте пароль там не спрашивается, логинится сразу.
Неплохо было бы запрашивать хотя бы пароль пользователя (того, кто в группе sudo).
Если же таких несколько, то нужен будет и логин. С этим вообще неясно.

Вот эти моменты никак не дают мне выбрать что-то одно - sudo или su.

Приглашаю форумчан к холивару.
Кто чем пользуется, по каким соображениям, в каком соотношении и т.д.

Прошу высказываться.

Я пользуюсь и той, и другой командой в зависимости от выполняемой задачи. sudo использую только для наиболее часто требующихся команд, например, mount, а в остальных случаях - su -, su -c command и не заморачиваюсь.

Не ввожу при установке рутовый пароль, как следствие сразу оказываюсь в группе sudo. Дискомфорта не испытываю.

fflatx писал(а): ↑

26.06.2013 20:26

Но не будет ли это опасно? Вместо пароля рута ввести пароль пользователя и делать что угодно. Вот этот вопрос мне не даёт покоя.

А какая разница? У Вас что, пользовательский пароль 123, а рутовый - 123456qwerty? Или Вашим паролем пользуются жена, пятилетний сын и кот Барсик?

fflatx писал(а): ↑

26.06.2013 20:26

Как в этом случае быть с однопользовательским режимом?
В текущем Debian при заблокированном руте пароль там не спрашивается, логинится сразу.

А если рутовый пароль задан - разве спрашивается?
В любом случае, если есть доступ к железу - есть доступ и ко всей системе, с этим надо смириться. Аналогично с доступом к загрузчику: если прописать, например, init=/bin/bash, имеем рутовые права без пароля, что бы ни было накручено в single mode. Если нужно сберечь какие-то данные от чужих глаз - тут поможет только шифрование. Если нужно сохранить данные от удаления - делайте бекапы на удалённой системе. Ну или просто не пускайте тех, кому не доверяете, к компу.

Когда-то был большой холивар на эту тему.

yars писал(а): ↑

26.06.2013 20:36

пользуюсь и той, и другой командой

Bizdelnick писал(а): ↑

26.06.2013 21:35

если есть доступ к железу - есть доступ и ко всей системе

Bizdelnick писал(а): ↑

26.06.2013 21:35

просто не пускайте тех, кому не доверяете, к компу.

Привёл в виде цитат ключевые фразы
Из них главная

yars писал(а): ↑

26.06.2013 20:36

и не заморачиваюсь.

Bizdelnick писал(а): ↑

26.06.2013 21:35

А какая разница?

Вот, собственно, я и хочу понять, какая разница.
Вводить пароль рута и делать что угодно или добавить себя в группу sudo и опять-таки делать что угодно.
Второе вроде как считается более безопасным. Я хочу понять почему.

Bizdelnick писал(а): ↑

26.06.2013 21:35

У Вас что, пользовательский пароль 123, а рутовый - 123456qwerty? Или Вашим паролем пользуются жена, пятилетний сын и кот Барсик?

Нет, конечно.
Защищаюсь я прежде всего от собственных непрямых рук. Вопрос выбора возник тогда, когда стал использовать sudo для запуска программ с ограниченными правами.
Но одно дело - запуск трех-четырех программ по списку в sudoers, а другое дело запуск любых программ.
Видимо, я чего-то не понимаю, раз не могу сделать выбор.

Я спрошу Вас как модератора (а значит опытного линуксоида): Что объективно безопаснее su или sudo?
Прежде всего с точки зрения Вашего практического опыта.
А если выскажетесь ещё и с точки зрения идеи (su vs sudo - чем одно лучше/хуже другого, как оно там задумывалось), то будет Вам от меня большое спасибо.

Bizdelnick писал(а): ↑

26.06.2013 21:35

А если рутовый пароль задан - разве спрашивается?

Спрашивается. Предлагается ввести пароль либо нажать Ctrl-D. В последнем случае загрузка продолжается как обычно - в многопользовательском режиме.

SLEDopit писал(а): ↑

26.06.2013 22:04

Когда-то был большой холивар на эту тему.

Любопытно. Перечитаю. Раз холивар всё-таки был, стало быть, вопрос не совсем простой.

fflatx писал(а): ↑

26.06.2013 22:51

Я спрошу Вас как модератора (а значит опытного линуксоида): Что объективно безопаснее su или sudo?
Прежде всего с точки зрения Вашего практического опыта.
А если выскажетесь ещё и с точки зрения идеи (su vs sudo - чем одно лучше/хуже другого, как оно там задумывалось), то будет Вам от меня большое спасибо.

Ой-ёй, сколько на меня ответственности разом... По мне - так большой разницы в плане безопасности нет. Главное преимущество sudo - отсутствие риска случайно выполнить команду от root.

Bizdelnick писал(а): ↑

26.06.2013 23:10

Главное преимущество sudo - отсутствие риска случайно выполнить команду от root.

Это в смысле sudo - выполнение только одной команды, а su - постоянно открытая рутовая консоль?

fflatx писал(а): ↑

26.06.2013 23:30

Это в смысле sudo - выполнение только одной команды, а su - постоянно открытая рутовая консоль?

Как правило - да. Есть, конечно, su -c, но им пользоваться неудобно хотя бы потому, что автодополнение не работает.

fflatx писал(а): ↑

26.06.2013 23:30

Это в смысле sudo - выполнение только одной команды, а su - постоянно открытая рутовая консоль?

Ну справедливости ради, можно запустить sudo -i и оно ничем не будет отличаться от su - (:

Bizdelnick писал(а): ↑

26.06.2013 23:44

Есть, конечно, su -c, но им пользоваться неудобно хотя бы потому, что автодополнение не работает.

А еще - команды с параметрами приходится в кавычки запихивать... Ну и постоянно от рута работать, конечно, не нужно, а вот для серии административных команд - самое оно. И то, даже в этом у каждого свои тараканы. А на мой взгляд, членство в группе sudo - зло. Команды администратора постоянно не нужны же, значит, и смысла давать к ним доступ пользователю нет.

yars писал(а): ↑

27.06.2013 00:19

А на мой взгляд, членство в группе sudo - зло. Команды администратора постоянно не нужны же, значит, и смысла давать к ним доступ пользователю нет.

Вот здесь не соглашусь.

Во-первых, доступ не каждому пользователю, а только одному.

Во-вторых, без членства в группе sudo для административных действий придётся использовать su, то есть пароль рута. И логика может быть точно такая же: "Команды администратора постоянно не нужны, значит и смысла давать к ним доступ (то есть пароль рута) пользователю нет". Только вот интересно, куда он денется, этот пользователь. Пароль рута знать всё равно придётся.

Ну, а если всё же использовать sudo и без членства в одноимённой группе, тогда придётся составить список программ, запускаемых с повышенными привилегиями. А это, знаете ли, та ещё задачка. Ибо список этот так и будет пополняться.

Посему, входить в группу sudo - никакого особого зла не вижу. Во всяком случае не более, чем знать пароль рута.

И то, и другое.

fflatx писал(а): ↑

26.06.2013 22:51

Что объективно безопаснее su или sudo?

Выключить ПК. Поставить его в сейф. И больше никогда не доставать.

DaemonTux писал(а): ↑

29.06.2013 09:37

fflatx писал(а): ↑

26.06.2013 22:51

Что объективно безопаснее su или sudo?

Выключить ПК. Поставить его в сейф. И больше никогда не доставать.

Вооружённую охрану у сейфа забыли...

fflatx писал(а): ↑

26.06.2013 20:26

Во-первых, есть программы, запускаемые от ограниченных в правах пользователей.
Эти пользователи даже не имеют возможности логина. Соответственно пароли отсутствуют.
В этой ситуации без sudo никак.

$ su -c 'su пользователь'.