|
Pred pár dňami som dostal dotaz od Miguela, pravidelného čitateľa blogu a nutkavého komentátora, ktorý sa týka aký presne je rozdiel medzi sudo y su. Miguel sa obával najmä toho, či je jeden spôsob bezpečnejší ako druhý. Stáva sa, že som to čítal sudo nebol dosť bezpečný a chceli by ste vedieť viac. Toto je ďalší príspevok venovaný tým, ktorí požiadali o viac článkov o terminálne záhady. |
Su
Program su Umožňuje vám používať shell iného používateľa bez odhlásenia z aktuálnej relácie. Bežne sa používa na získanie oprávnení root pre administratívne operácie bez nutnosti odhlasovania a opätovného prihlásenia. Niektoré desktopové prostredia, vrátane GNOME a KDE, majú programy, ktoré graficky požadujú heslo skôr, ako používateľovi povolia vykonať príkaz, ktorý by zvyčajne vyžadoval takýto prístup.
Názov su pochádza z angličtiny substitút ubyť (náhradný užívateľ). Existujú aj takí, od ktorých sa odvodzuje superuser (super užívateľ, tj. užívateľ typu root alebo administrátor), pretože sa zvyčajne používa na prevzatie roly správcu systému.
Keď bežíte, su Požiada o heslo účtu, ku ktorému chcete získať prístup, a ak bude prijaté, umožní prístup k danému účtu.
[guy @ localhost] $ vaše heslo: [root @ localhost] # odhlásenie odchodu [guy @ localhost] $
Neuvedením používateľa sa získa prístup ako správca. Ako parameter je však možné zadať aj ďalšie používateľské meno.
[guy @ localhost] $ su mongo Heslo: [mongo @ localhost] # odhlásenie odchodu [guy @ localhost] $
Po zadaní hesla môžeme vykonávať príkazy, akoby sme boli druhým používateľom. V písaní výjazd, vraciame sa k nášmu používateľovi.
Má sa použiť široko používaný variant su nasledovaná pomlčkou. Ak sa chcete prihlásiť ako root, musíte vstúpiť su - a prihlásiť sa ako ďalší používateľ váš - iný používateľ. Rozdiel medzi používaním skriptu alebo nie? Odporúča sa použiť skript, pretože simuluje, že sa prihlásite pomocou tohto používateľa; preto vykoná všetky spúšťacie súbory daného používateľa, zmení aktuálny adresár na HOME tohto používateľa, zmení hodnotu niektorých systémových premenných a prispôsobí ich novému používateľovi (okrem iného HOME, SHELL, TERM, USER, LOGNAME) a iné viac vecí.
Sysadmin by mal byť pri výbere hesla pre účet root / administrátor veľmi opatrný, aby sa predišlo útoku neprivilegovaného bežiaceho používateľa su. Niektoré systémy podobné systému Unix majú skupinu používateľov s názvom kolo, ktorý obsahuje jediných, ktorí môžu vykonať su. To môže, ale nemusí znížiť obavy o bezpečnosť, pretože votrelec by mohol jeden z týchto účtov jednoducho prevziať. The su GNU však nepodporuje použitie tejto skupiny; stalo sa tak z filozofických dôvodov.
sudo
Súvisiaci príkaz, tzv sudo, vykoná príkaz ako iný užívateľ, ale rešpektuje rad obmedzení, ktoré môžu používatelia vykonávať, ktoré príkazy v mene iných používateľov (zvyčajne sú uvedené v súbore) / Etc / sudoers).
Na druhej strane, na rozdiel od su, sudo vyzve používateľov, aby namiesto požadovaného používateľa zadali svoje vlastné heslo; to umožňuje delegovanie príkazov na používateľov na iných počítačoch bez nutnosti zdieľania hesiel, čo znižuje riziko ponechania terminálov bez dozoru.
Problémy so sudom: obdobie odkladu
Výhoda sudo mať rešpekt z su spočíva v tom, že vykoná iba požadovaný príkaz vydávajúci sa za druhého používateľa bez skutočnej zmeny aktuálneho používateľa. To znamená, že človek môže vykonať príkaz ako správca a v druhej sekunde bude mať oprávnenie používateľa, ktorého používali predtým ... alebo takmer.
Niektorí to považujú za narušenie bezpečnosti sudo udeliť „ochrannú lehotu“, ktorá umožňuje používateľovi vykonávať príkazy ako iný používateľ bez nutnosti opakovane po jeho vykonaní zadávať sudo pred príkazom a heslom. Po tomto „ochrannom období“ sudo nás opäť požiada o heslo.
Je to „zlé“, hlavne preto, že niekto by mohol prevziať kontrolu nad našim počítačom po zadaní hesla sudo a počas aktívnej „ochrannej lehoty“ urobiť KATASTROFU.
Našťastie je možné deaktivovať „ochrannú lehotu“, čo zlepší zabezpečenie vášho systému. Stačí do súboru pridať jeden riadok / Etc / sudoers:
sudo nano / etc / sudoers
A na koniec súboru pridajte nasledujúci riadok:
Predvolené: ALL timestamp_timeout = 0
Zmena sa prejaví okamžite, bez nutnosti reštartovania systému.
V skutočnosti, AK môžete vstúpiť s administrátorskými právami pomocou sudo a zostať tam tak, ako to robíte v prípade su -, musíte napísať: sudo -s, čím zmeníte aktuálneho používateľa a ponecháte milosť ako vtip (pretože Môžete zostať ako to tak dlho, ako chcete, ako s vašimi
Ďakujem za zmienku, ale skutočnú zásluhu má chat Sabayon - ktorý už nepoužívam, pretože sa mi zlomil pevný disk a radšej som sa vrátil k Ubuntu -.
Dôvod, ktorý mi dali, bol ten, že niekedy pri vykonávaní sudo určitých konfigurácií nedostávajú absolútne povolenia a zostávajú nesprávne nakonfigurované. A tým, že sa „prihlásite“ pomocou su ako root pre úlohy aktualizácie a údržby, tomu zabránite.
Potom som vám poslal e-mail, pretože som sľúbil, že sa podelím o toto zistenie, ktoré sa mi zdalo nepodstatné.
Pretože je Ubuntu štandardne nainštalovaný bez užívateľa root, stačí spustiť
„Sudo passwd root“
zadajte heslo, potvrďte ho a potom
„Su root“
pre operácie údržby, okrem toho, že sa pri každej objednávke nesmie uvádzať sudo.
V zásade je v Ubuntu odstránený účet root, aby som sa nie vždy prihlásil pomocou tohto účtu, ale keďže mi dali radu takmer tónom, že použitie sudo bolo svätokrádež, pre prípad, že by som to dodržal.
Mohli by ste získať prístup k súboru / etc / shadow a zmeniť hodnotu hash hesla root na hodnotu hash bežného hesla používateľa a potom vykonať zmenu hesla pre root ??? Inokedy to skúšam rovnako….
Samozrejme. Nie je to výhradné pre Fedoru.
Potom z tých dvoch, ktoré môžu byť nainštalované?, Myslel som si, že «SU» je iba vo FEDORE.
Veľmi dobrá informácia, s tým určite pochybnosti mnohých zmiznú, pretože poznám niekoľkých, ktorí o tom pochybujú.
V ubunto si myslím, že si pamätám, že nemôžete použiť príkaz su (na zadanie ako užívateľ root)
No, aby ste „obnovili“ heslo root (v skutočnosti akékoľvek iné heslo), môžete urobiť „útok“ na súbor systémového hesla pomocou aplikácie John The Ripper. Viac k tomu nepoviem.
Možno existujú aj iné metódy ... Možno zmeniť heslo zadaním pomocou „sudo su“ a potom príkazu „passwd“. Bolo by zaujímavé sledovať, čo odpovedajú ostatní ľudia ...
Presne!
Máte pravdu ... Musím poďakovať Miguelovi Mayolovi i Turovi ... on bol ten, kto dostal tento nápad. 🙂
Na zdravie! Pavla.
Ďakujeme, ako vždy, veľký príspevok. Vážime si to.
Vďaka šéfe! Objatie! Pavla.
Rozdiel medzi výrazmi „su“ a „sudo“ je „do“
Zabudol som heslo root, našťastie môžem použiť sudo a na použitie su používam „sudo su“ a nepýta si pass (?)
Vie niekto, ako zistiť heslo root (mám prístup do root cez sudo)?
sudo passwd
Ha! Veľmi šikovný!
ten, kto chce obnoviť heslo root, bude "sudo passwd root" a tam vás požiada o zadanie nového hesla
ahoj aký je tvoj život
Prepáčte, ale pomocou príkazu su takto:
su -c "príkaz", je to isté ako použitie sudo bez ochrannej lehoty. Nevidím potrebu sudo.
SKUTOČNÉ použitie sudo je dať určitým používateľom možnosť používať ten či onen príkaz, vo firmách sa používa viac, aby nemuseli chrootovať, čo sa nedá urobiť pomocou su.
Vážený, musím si urobiť Linuxový TP a musím odpovedať na niekoľko jednoduchých otázok. Možno mi môžu pomôcť. Ďakujem odteraz:
Aký príkaz je ten, ktorý nám umožňuje inštalovať / mazať / upravovať debianové balíčky?
Aký je príkaz, ktorý nám umožňuje ľahšiu správu inštalácie
balíky v debiane?
Aký je príkaz na inštaláciu balíkov rpm?
Akú možnosť použijeme na odinštalovanie balíka?
Aký je adresár, kde sú umiestnené úložiská yum?
Na čo slúži mňam?
Akú možnosť použijeme na vyhľadanie balíka s yum?
Akú možnosť použijeme na odstránenie balíka?
Akú možnosť môžeme použiť na aktualizáciu systému?
Aké písmená označujú povolenia?
Čo znamená každý z nich?
V ktorých príkazoch je uvedený zoznam povolení súboru?
Aké sú tri skupiny, v ktorých sú povolenia rozdelené?
Akými dvoma spôsobmi možno implementovať povolenia?
Aký číselný systém používajú povolenia?
Akú váhu majú tieto písmená?
Čo sú to zvláštne povolenia?
Aké sú existujúce špeciálne povolenia a na čo slúžia používatelia?
Aké príkazy používam na zmenu povolení?
Aké parametre používam na udeľovanie povolení na spustenie súboru?
Aké parametre sa používajú na udelenie povolení na čítanie iba skupine?
Aké parametre sa používajú na udelenie povolení na čítanie a zápis skupine a na odstránenie zápisu od používateľa, ktorý vlastní súbor?
Aké povolenia sa predvolene vytvárajú pre súbory a adresáre?
Aký príkaz použijeme na jeho overenie?
Ako zmeníme predvolenú masku?
Ako urobíme odlišnú použitú masku? (Použite predvolenú masku, ktorá vlastníkom ponechá iba všetky povolenia.)
Aký príkaz uvádza procesy? Uveďte rôzne parametre a ich použitie.
Aký je proces, ktorý všetko začína?
Uveďte zoznam procesov, ktoré zodpovedajú prihlásenému používateľovi.
Zoznam všetkých procesov v systéme.
Aké možnosti použijem na získanie ďalších informácií?
Zoznam všetkých procesov, ktoré sa používajú v termináli
Ktorá možnosť uvádza zoznam procesov a ich závislostí?
Vysvetlite, čo je proces rodič - dieťa a ako ho identifikovať
Ktorý príkaz uvádza procesy vo forme stromov?
Aký príkaz sleduje procesy v reálnom čase?
Monitorujte iba jeden proces
Aký príkaz zobrazuje využitie pamäte?
Aký parameter zobrazuje pamäť v megabajtoch?
Aký parameter to robí v intervaloch?
Ktorý príkaz zobrazuje informácie o čase strávenom tímom?
Aký príkaz použijem na zabitie procesov?
Čo tieto procesy riešia, aby mohli byť dokončené?
Aké typy signálov sú najbežnejšie?
Uveďte typy podporovaných signálov.
V termináli urobte vi test, a potom choďte do iného terminálu, vyhľadajte postup a zabite ho signálom 15. Totiž ale signálom 9.
Aký je rozdiel medzi signálom 9 a 15?
Ktorý z nich funguje predvolene?
Prečo je proces spustený na pozadí? A v popredí?
Spustite vi test a potom stlačte ctrl + z, čo sa stalo?
Opakujte test vi, ctr + z, štyrikrát, ako dokončím to, čo sa mi nepodarilo?
Prejdite jeden z procesov do popredia a zatvorte vi.
Aký parameter príkazu vykonáme, aby neobsiahol škrupinu?
Aký príkaz mení priority procesu, ktorý už beží? Ako by ste zmenili prioritu spusteného terminálu?
Aké hodnoty úrovní existujú a aká je ich hierarchia?
Otvorte súbor / etc / passwd a pozrite sa, akú má prioritu.
Zmeňte úroveň priority na 4 a potom na 25 Môžete priradiť obidve? Prečo?
Vymenujte procesy s ich prioritnými hodnotami.
Aký príkaz sleduje všetky bežiace procesy?
Dobrý deň, chcem vypnúť sudo, tak ako to robím. Dostávam toto:
[sudo] heslo pre xxx:
xxx nie je v súbore sudoers. Tento incident bude nahlásený.
ako to deaktivujem, pretože používam su v debiane
Ahoj ecc!
Myslím, že by bolo lepšie, keby ste túto otázku položili v našej volacej službe pre otázky a odpovede Požiadať DesdeLinux aby vám celá komunita mohla pomôcť s vašim problémom.
Objatie, Pablo.
Ahoj. Použil som príkaz teploty pevného disku v Linux Mint: 'sudo hddtemp / dev / sda', požiada o heslo a dá mi očakávaný výsledok.
ale potom mi pri vykonávaní v rovnakom termináli 'hddtemp / dev / sda' hovorí, že povolenie odmietnuté.
Ochranná lehota na mňa teda nefunguje, prečo je to tak?
Ahojte blog.
Tiež som zistil, že keď je nainštalované distro (napr. Ubuntu, linux mint), požiada o heslo správcu.
A v grafickom rozhraní riadiaceho centra som využil možnosť zmeniť heslo svojho používateľa.
Takže teraz pomocou "su -" žiada o heslo, ktoré nie je heslo môjho súčasného používateľa, ale heslo, ktoré som použil pri inštalácii distribúcie, čo je stále používateľ root alebo správca.
To by viedlo k tomu, že mnoho používateľov zabudne skutočné heslo správcu.
Dobrý deň, vaše vysvetlenie je vynikajúce, veľmi jasné, stručné a stručné. Ďakujem za príspevok