Debian 7. sudo vs su (Уже много времени не могу определиться)

[Hephaestus]

С самого начала линуксовой жизни я пользовался su.
Sudo на тот момент в явном виде попадалось только в Ubuntu.
С тех пор прошло довольно много времени.

Сейчас я всё больше тяготею к использованию sudo.

Во-первых, есть программы, запускаемые от ограниченных в правах пользователей.
Эти пользователи даже не имеют возможности логина. Соответственно пароли отсутствуют.
В этой ситуации без sudo никак.

Во-вторых, стал пользоваться sudoedit, visudo ну, и собственно возникает мысль об отказе от su и полному переходу на sudo.

Но здесь возникают вопросы.
Какие команды разрешить себе? Список команд всё время будет расширяться.
В конце концов, окажется что нужны все. Т.е. проще добавить себя в группу sudo.
Но не будет ли это опасно? Вместо пароля рута ввести пароль пользователя и делать что угодно. Вот этот вопрос мне не даёт покоя.

Далее, раз уж мы в группе sudo, то вроде бы можно заблокировать рута.
Как в этом случае быть с однопользовательским режимом?
В текущем Debian при заблокированном руте пароль там не спрашивается, логинится сразу.
Неплохо было бы запрашивать хотя бы пароль пользователя (того, кто в группе sudo).
Если же таких несколько, то нужен будет и логин. С этим вообще неясно.

Вот эти моменты никак не дают мне выбрать что-то одно - sudo или su.

Приглашаю форумчан к холивару.
Кто чем пользуется, по каким соображениям, в каком соотношении и т.д.

Прошу высказываться.

[yars]

Я пользуюсь и той, и другой командой в зависимости от выполняемой задачи. sudo использую только для наиболее часто требующихся команд, например, mount, а в остальных случаях - su -, su -c command и не заморачиваюсь.

[Bizdelnick]

Не ввожу при установке рутовый пароль, как следствие сразу оказываюсь в группе sudo. Дискомфорта не испытываю.

Но не будет ли это опасно? Вместо пароля рута ввести пароль пользователя и делать что угодно. Вот этот вопрос мне не даёт покоя.

А какая разница? У Вас что, пользовательский пароль 123, а рутовый - 123456qwerty? Или Вашим паролем пользуются жена, пятилетний сын и кот Барсик?

Как в этом случае быть с однопользовательским режимом?
В текущем Debian при заблокированном руте пароль там не спрашивается, логинится сразу.

А если рутовый пароль задан - разве спрашивается?
В любом случае, если есть доступ к железу - есть доступ и ко всей системе, с этим надо смириться. Аналогично с доступом к загрузчику: если прописать, например, init=/bin/bash, имеем рутовые права без пароля, что бы ни было накручено в single mode. Если нужно сберечь какие-то данные от чужих глаз - тут поможет только шифрование. Если нужно сохранить данные от удаления - делайте бекапы на удалённой системе. Ну или просто не пускайте тех, кому не доверяете, к компу.

[SLEDopit]

Когда-то был большой холивар на эту тему.

[alv]

пользуюсь и той, и другой командой

если есть доступ к железу - есть доступ и ко всей системе

просто не пускайте тех, кому не доверяете, к компу.

Привёл в виде цитат ключевые фразы
Из них главная

и не заморачиваюсь.

[Hephaestus]

А какая разница?

Вот, собственно, я и хочу понять, какая разница.
Вводить пароль рута и делать что угодно или добавить себя в группу sudo и опять-таки делать что угодно.
Второе вроде как считается более безопасным. Я хочу понять почему.

У Вас что, пользовательский пароль 123, а рутовый - 123456qwerty? Или Вашим паролем пользуются жена, пятилетний сын и кот Барсик?

Нет, конечно.
Защищаюсь я прежде всего от собственных непрямых рук. Вопрос выбора возник тогда, когда стал использовать sudo для запуска программ с ограниченными правами.
Но одно дело - запуск трех-четырех программ по списку в sudoers, а другое дело запуск любых программ.
Видимо, я чего-то не понимаю, раз не могу сделать выбор.

Я спрошу Вас как модератора (а значит опытного линуксоида): Что объективно безопаснее su или sudo?
Прежде всего с точки зрения Вашего практического опыта.
А если выскажетесь ещё и с точки зрения идеи (su vs sudo - чем одно лучше/хуже другого, как оно там задумывалось), то будет Вам от меня большое спасибо.

А если рутовый пароль задан - разве спрашивается?

Спрашивается. Предлагается ввести пароль либо нажать Ctrl-D. В последнем случае загрузка продолжается как обычно - в многопользовательском режиме.

Когда-то был большой холивар на эту тему.

Любопытно. Перечитаю. Раз холивар всё-таки был, стало быть, вопрос не совсем простой.

[Bizdelnick]

Я спрошу Вас как модератора (а значит опытного линуксоида): Что объективно безопаснее su или sudo?
Прежде всего с точки зрения Вашего практического опыта.
А если выскажетесь ещё и с точки зрения идеи (su vs sudo - чем одно лучше/хуже другого, как оно там задумывалось), то будет Вам от меня большое спасибо.

Ой-ёй, сколько на меня ответственности разом... По мне - так большой разницы в плане безопасности нет. Главное преимущество sudo - отсутствие риска случайно выполнить команду от root.

[Hephaestus]

Главное преимущество sudo - отсутствие риска случайно выполнить команду от root.

Это в смысле sudo - выполнение только одной команды, а su - постоянно открытая рутовая консоль?

[Bizdelnick]

Это в смысле sudo - выполнение только одной команды, а su - постоянно открытая рутовая консоль?

Как правило - да. Есть, конечно, su -c, но им пользоваться неудобно хотя бы потому, что автодополнение не работает.

[SLEDopit]

Это в смысле sudo - выполнение только одной команды, а su - постоянно открытая рутовая консоль?

Ну справедливости ради, можно запустить sudo -i и оно ничем не будет отличаться от su - (:

[yars]

Есть, конечно, su -c, но им пользоваться неудобно хотя бы потому, что автодополнение не работает.

А еще - команды с параметрами приходится в кавычки запихивать... Ну и постоянно от рута работать, конечно, не нужно, а вот для серии административных команд - самое оно. И то, даже в этом у каждого свои тараканы. А на мой взгляд, членство в группе sudo - зло. Команды администратора постоянно не нужны же, значит, и смысла давать к ним доступ пользователю нет.

[Hephaestus]

А на мой взгляд, членство в группе sudo - зло. Команды администратора постоянно не нужны же, значит, и смысла давать к ним доступ пользователю нет.

Вот здесь не соглашусь.

Во-первых, доступ не каждому пользователю, а только одному.

Во-вторых, без членства в группе sudo для административных действий придётся использовать su, то есть пароль рута. И логика может быть точно такая же: "Команды администратора постоянно не нужны, значит и смысла давать к ним доступ (то есть пароль рута) пользователю нет". Только вот интересно, куда он денется, этот пользователь. Пароль рута знать всё равно придётся.

Ну, а если всё же использовать sudo и без членства в одноимённой группе, тогда придётся составить список программ, запускаемых с повышенными привилегиями. А это, знаете ли, та ещё задачка. Ибо список этот так и будет пополняться.

Посему, входить в группу sudo - никакого особого зла не вижу. Во всяком случае не более, чем знать пароль рута.

[chitatel]

И то, и другое.

[DaemonTux]

Что объективно безопаснее su или sudo?

Выключить ПК. Поставить его в сейф. И больше никогда не доставать.

[alv]

Что объективно безопаснее su или sudo?

Выключить ПК. Поставить его в сейф. И больше никогда не доставать.

Вооружённую охрану у сейфа забыли...

[Rootlexx]

Во-первых, есть программы, запускаемые от ограниченных в правах пользователей.
Эти пользователи даже не имеют возможности логина. Соответственно пароли отсутствуют.
В этой ситуации без sudo никак.

$ su -c 'su пользователь'.