Решено: sudo или su - ?

[azsx]

у меня calculate linux.
Я не админ и linux вижу только дома. Почему то из того вороха интернет страниц, пары книг и прочих топиков я сделал для себя вывод: работать под админом нельзя, лучше сразу настроить sudo, пусть даже дав юзеру все права.
Однако, в gentoo, как я понял чаще всего юзают su - и пошёл под админом набивать в консоли всякое. А в этой теме Как установить программу с github как я понял в gentoo в том числе использубт sudo.
Вопрос...
Стоит ли использовать sudo, какие у него плюсы по сравнению с su -?
Как делаете Вы и почему?

[SLEDopit]

Стоит ли использовать sudo, какие у него плюсы по сравнению с su -?
Как делаете Вы и почему?

Стоит. sudo логирует ваши действия. На частые (и относительно безопасные) вещи можно и без пароля запуск настроить.

А вообще эта тема уже миллион раз обсуждалась.

Debian 7. sudo vs su
su vs. sudo
и т.д.

[azsx]

Что из ваших ссылок понял я
1. есть много юзеров, которые часто отвечают на этом форуме и которые поддерживают работу от root с помощью su -
2. есть мнение, что нельзя писать user ALL = (ALL) ALL, а я именно так и пишу.
3. sudo в теории ведёт какой то журнал и пишет на мыло админу, но мне никто не писал в убунте и я не понимаю о каком журнале речь.
короче, я просто ничего не понял. Есть файл sudoers, который можно и нужно настраивать, если на компьютере 100500 пользователей. Но если вы один, то есть ли разница?

[NickLion]

sudo -i и вперед ;)

Честно, от sudo я вижу пользу на серверах, а на обычном компе с 1 фактическим пользователем… использую "su -". Тем более, что в openSUSE Tumbleweed sudo настроен на targetpw, что многие не любят, так что разницы особой нет. sudo, конечно позволяет настроить безпарольный доступ к определённым командам, а также не требует пароль в течение какого-то там времени. Но не привык.

[SLEDopit]

Но если вы один, то есть ли разница?

Логирование. Можно всегда подсмотреть когда что запускал. У меня оно лежит в /var/log/auth.log примерно в таком формате:

Код: Выделить всё

Jan 10 13:22:22 note sudo:     user : TTY=unknown ; PWD=/home/user ; USER=devel ; COMMAND=/usr/bin/firefox

Помимо этого у меня с пару десятков пользователей на машине с разными профилями. И я всеми пользуюсь через sudo. Многими без пароля.
firefox там запустить или ещё какую софтину. У каждого firefox'a там свой профиль, свои плагины. А в некоторых случаях .mozilla полностью стирается после окончания сессии. Отдельный браузер для банка. Отдельный браузер для проверенных ресурсов. Отдельный для активного гугления. И т.д. В идеале ещё отдельную X сессию нужно хотя бы для банка, но что-то руки всё никак не дойдут.

В скриптах удобно использовать. Например для подключения usb tethering'a вполне себе можно заскриптовать все через sudo без пароля.

[azsx]

Логирование. Можно всегда подсмотреть когда что запускал. У меня оно лежит в /var/log/auth.log примерно в таком формате:

SLEDopit а history разве команды не логирует?

Помимо этого у меня с пару десятков пользователей на машине с разными профилями.

а вы не путаетесь?

[ormorph]

Если работает несколько человек под одним и тем же пользователем и все знают пароль пользователя.
То можно что бы sudo для определенного пользователя запускалась паролем рута /etc/sudoers:

Код: Выделить всё

Defaults:USER rootpw

[SLEDopit]

SLEDopit а history разве команды не логирует?

Логирует. Но history целиком и полностью под контролем пользователя. Т.е. его можно стереть, неправильно настроить, выставить слишком маленький HISTSIZE. Да у большинства даже таймстампов нет в history. Иными словами без тюнинга обычная history весьма бесполезная штука. А тут всё красиво из коробки.

а вы не путаетесь?

Нет. Всё (на мой взгляд) логично разделено и легко запоминается.

[delvin-fil]

Не, ребятушки, su - бяка редкая. Если есть хоть кроха сомнения, однозначно sudo, ибо логирует и можно разобраться в косяках бутнувшись в SUM(single user mode) или с systemrescuecd. А вот через su вы этого не увидите.
Короче, я всегда и везде использую sudo без пароля кроме обновлений. При обновах приходится разруливать множество зависимостей(gentoo) и эта инфа не (ну скажем так)обязана попадать в логи. При этом часто бывает необходимо использовать проги с путями не прописанными в PATH, а сие гемор даже с супертюнингом history в zsh(использую bash).
Повторюсь: Если плохо понимаете, что делаете - sudo без user ALL=(ALL:ALL) NOPASSWD: ALL в /etc/sudoers. Это позволит обдумать, прежде чем выполнить.

[algri14]

У меня хоть и не Gentoo, а Mageia, и кто-то скажет без разницы, но я не пользуюсь sudo, вполне хватает su или su - (так сказать полный root ). Но иногда провожу эксперименты со сторонними программами - антивирусниками или сканерами, а они гады требуют при установке это самое sudo. После этого начинается чехарда между sudo и su, т.е. - некоторым приложениям достаточно sudo, а другим подавай только su, точнее сказать надо вводить пароли рута или пользователя, что дико раздражает, возможно его надо настроить и прописать правила, а так как я чайник, то не хочется этим заморочиваться и вкуривать маны, поэтому просто не пользуюсь этим sudo