|
Pred nekaj dnevi sem od Miguela, rednega bralca blogov in kompulzivnega komentarja, prejel vprašanje v čem je točno razlika sudo y su. Miguela je zlasti skrbelo, ali je ena metoda varnejša od druge. Zgodi se, da sem tam prebrala to sudo ni bil dovolj varen in želel vedeti več. To je še ena objava, posvečena tistim, ki so prosili za več člankov o terminalske skrivnosti. |
Su
Program su Omogoča uporabo lupine drugega uporabnika brez odjave iz trenutne seje. Običajno se uporablja za pridobivanje korenskih dovoljenj za skrbniške operacije, ne da bi se morali odjaviti in znova prijaviti. Nekatera namizna okolja, vključno z GNOME in KDE, imajo programe, ki grafično zahtevajo geslo, preden uporabniku dovolijo, da izvede ukaz, ki običajno zahteva tak dostop.
Ime su izhaja iz angleščine snadomestek ubiti (nadomestni uporabnik). Obstajajo tudi takšni, zaradi katerih izhaja superuser (super-uporabnik, to je korenski ali skrbniški uporabnik), saj se običajno uporablja za prevzemanje vloge skrbnika sistema.
Ko tečeš, su Zahteva geslo računa, do katerega želite dostopati, in če je sprejeto, omogoči dostop do tega računa.
[guy @ localhost] $ vaše geslo: [root @ localhost] # izhod iz odjave [guy @ localhost] $
Če uporabnika ne postavite, je dostopen kot skrbnik. Vendar pa je mogoče kot parameter predati tudi drugo uporabniško ime.
[guy @ localhost] $ su mongo Geslo: [mongo @ localhost] # izhod iz odjave [guy @ localhost] $
Ko je geslo vneseno, lahko ukaze izvajamo, kot da smo drugi uporabnik. Pisno izhod, se vrnemo k našemu uporabniku.
Razširjena različica je uporaba su čemur sledi pomišljaj. Če se želite prijaviti kot root, morate vstopiti su - in se prijavite kot drug uporabnik vaš - drugi uporabnik. Razlika med uporabo skripta ali ne? Priporočljivo je, da uporabite skript, ker simulira, da se boste prijavili s tem uporabnikom; zato izvrši vse zagonske datoteke tega uporabnika, spremeni trenutni imenik v HOME tega uporabnika, spremeni vrednost nekaterih sistemskih spremenljivk in jih prilagodi novemu uporabniku (HOME, SHELL, TERM, USER, LOGNAME, med drugim) in drugi več stvari.
Sysadmin mora biti zelo previden pri izbiri gesla za korenski / skrbniški račun, da se izogne napadu privilegiranega uporabnika, ki teče su. Nekateri Unixu podobni sistemi imajo imenovano uporabniško skupino kolesa, ki zajema edine, ki lahko izvršijo su. To lahko zmanjša varnostne pomisleke ali ne, saj bi vsiljivec preprosto prevzel enega od teh računov. The su GNU pa ne podpira uporabe te skupine; to je bilo storjeno iz filozofskih razlogov.
Sudo
Povezani ukaz, imenovan sudo, izvaja ukaz kot drug uporabnik, vendar spoštuje vrsto omejitev glede tega, kateri uporabniki lahko izvršijo katere ukaze v imenu katerih drugih uporabnikov (običajno določeno v datoteki / etc / sudoers).
Po drugi strani pa za razliko od su, sudo uporabnike pozove k lastnemu geslu namesto zahtevanega uporabnika; to omogoča prenos ukazov na uporabnike na drugih strojih, ne da bi si morali deliti gesla, kar zmanjšuje tveganje, da terminali ostanejo brez nadzora.
Sudo težave: milostno obdobje
Prednost sudo iz spoštovanja do su je, da izvede le zahtevani ukaz, ki se pretvarja, da je drugi uporabnik, ne da bi dejansko spremenil trenutnega uporabnika. To pomeni, da lahko nekdo izvrši ukaz kot skrbnik, v naslednji sekundi pa bo imel privilegije uporabnika, ki ga je uporabljal prej ... ali skoraj.
Nekateri vidijo kot kršitev varnosti dejstvo, da sudo odobri "milostno obdobje", ki uporabniku omogoča izvajanje ukazov kot drugega uporabnika, ne da bi bilo treba po njegovem izvajanju večkrat vnesti sudo pred ukazom in geslom. Po tem "milostnem obdobju", sudo nas bo znova vprašal geslo.
To je "slabo", predvsem zato, ker bi lahko nekdo prevzel naš računalnik, potem ko smo vnesli geslo za sudo in medtem, ko je "milostno obdobje" aktivno, naredite NESREČO
Na srečo je možno onemogočiti "obdobje mirovanja", kar bo izboljšalo varnost vašega sistema. Samo dodajte eno vrstico v datoteko / etc / sudoers:
sudo nano / etc / sudoers
Na konec datoteke dodajte naslednjo vrstico:
Privzete vrednosti: VSE Časovni žig = 0
Sprememba začne veljati takoj, brez ponovnega zagona sistema.
Pravzaprav, ČE lahko s sudo vstopite s skrbniškimi pravicami in ostanete tam kot s su -, za to morate napisati: sudo -s, s čimer spremenite trenutnega uporabnika in pustite čas milosti kot za šalo (saj lahko ostanete kot to tako dolgo, kot želite, kot pri vašem)
Hvala za omembo, a resnično gre klepetu Sabayon - ki ga ne uporabljam več, ker se mi je pokvaril trdi disk, in sem se raje vrnil v Ubuntu -.
Razlog, ki so mi ga dali, je bil ta, da včasih pri izvajanju sudo določenih konfiguracij ne dobijo absolutnih dovoljenj in ostanejo napačno konfigurirani. In da s "prijavo" s su kot root za naloge posodabljanja in vzdrževanja to preprečite.
Potem sem vam poslal e-pošto, ker sem obljubil, da bom sporočil to ugotovitev, ki se mi je zdela nepomembna.
Ker je Ubuntu privzeto nameščen brez korenskega uporabnika, preprosto zaženite
"Sudo passwd root"
vnesite geslo, ga potrdite in nato
"Su koren"
za vzdrževalne postopke, poleg tega pa se izogibajo postavljanju sudo pri vsakem naročilu.
Načeloma se v Ubuntuju odstrani korenski račun, tako da se ne prijavite vedno s tem računom, ker pa sem dobil nasvet skoraj v tonu, da je uporaba sudo svetogrde, za vsak primer, če bi mu sledil.
Lahko dostopate do datoteke / etc / shadow in spremenite razpršitev korenskega gesla v razpršitev običajnega uporabniškega gesla in nato spremenite geslo za root ??? Drugič poskusim enako….
Seveda. Ni izključno za Fedoro.
Potem jih je mogoče namestiti? Mislil sem, da je «SU» samo v FEDORI.
Zelo dobre informacije, s tem bodo dvomi mnogih zagotovo izginili, ker poznam več takšnih, ki dvomijo.
Mislim, da se v ubunto spomnim, da ne morete uporabiti ukaza su (za vstop kot root uporabnik)
No, če želite "obnoviti" korensko geslo (pravzaprav katero koli drugo geslo), lahko z Johnom Ripperjem naredite "napad" na datoteko sistemskega gesla. O tem ne bom več povedal.
Mogoče obstajajo še druge metode ... Mogoče spreminjanje gesla z vnosom s "sudo su" in nato ukazom "passwd". Zanimivo bi bilo videti, kaj se bodo drugi odzvali ...
Natančno!
Tako je ... Zahvaliti se moram Miguelu Mayolu i Turu ... on je bil tisti, ki je imel idejo. 🙂
Na zdravje! Paul.
Hvala, kot vedno velik prispevek. Cenimo ga.
Hvala šef! Objem! Paul.
Razlika med "su" in "sudo" je "do"
Pozabil sem root geslo, na srečo lahko uporabim sudo, za uporabo su pa uporabim 'sudo su' in ne zahteva dovoljenja (?)
Ali kdo ve, kako najti root geslo (do root imam dostop prek sudo)?
sudo passwd
Ha! Zelo pameten!
tisti, ki želi obnoviti korensko geslo, bi bil "sudo passwd root" in tam vas bo prosil, da vnesete novo
živjo kako je tvoje življenje
Oprostite, toda z uporabo ukaza su:
su -c "ukaz", je enako kot uporaba sudo brez obdobja mirovanja. Ne vidim potrebe po sudu.
RESNIČNA uporaba sudo je, da določenim uporabnikom omogoči uporabo tega ali onega ukaza, bolj se uporablja v podjetjih, da ne bi bilo treba chroot, česar s su ni mogoče storiti.
Spoštovani, opraviti moram TP za Linux in odgovoriti na nekaj preprostih vprašanj. Mogoče mi lahko pomagajo. Hvala od zdaj:
Kateri ukaz nam omogoča namestitev / brisanje / spreminjanje paketov debian?
Kateri ukaz nam omogoča lažje upravljanje namestitve
paketi v debianu?
Kakšen je ukaz za namestitev paketov rpm?
Katero možnost uporabimo za odstranitev paketa?
Kateri je imenik, kjer se nahajajo yum skladišča?
Za kaj služi yum?
Katero možnost uporabljamo za iskanje paketa z yum?
Katero možnost uporabimo za brisanje paketa?
Katero možnost lahko uporabimo za posodobitev sistema?
Katere črke označujejo dovoljenja?
Kaj pomeni vsak od njih?
Kateri ukazi navajajo dovoljenja datoteke?
Katere so tri skupine, v katere so razdeljena dovoljenja?
Katera dva načina obstajata za izvajanje dovoljenj?
Kateri sistem številk uporabljajo dovoljenja?
Kakšno težo imajo te črke?
Kaj so posebna dovoljenja?
Kakšna so obstoječa posebna dovoljenja in čemu so namenjeni uporabniki?
Katere ukaze uporabljam za spreminjanje dovoljenj?
Katere parametre uporabljam za dodelitev dovoljenj za izvajanje datoteke?
Kateri parametri se uporabljajo za dodelitev dovoljenj za branje samo skupini?
Kateri parametri se uporabljajo za dajanje dovoljenj za branje / pisanje skupini drugih in odstranjevanje pisanja od uporabnika, ki je lastnik datoteke?
Katera dovoljenja so privzeto ustvarjena za datoteke in imenike?
Kateri ukaz uporabljamo za njegovo preverjanje?
Kako spremenimo privzeto masko?
Kako naredimo uporabljeno masko drugačno? (Uporabite privzeto masko, ki lastnikom pusti samo vsa dovoljenja.)
Kateri ukaz navaja procese? Omenite različne parametre in njihovo uporabo.
Kakšen je postopek, ki vse zažene?
Naštejte postopke, ki ustrezajo prijavljenemu uporabniku.
Naštejte vse procese v sistemu.
Katere možnosti uporabljam za pridobivanje dodatnih informacij?
Naštejte vse procese, ki se uporabljajo v terminalu
Katera možnost navaja procese in njihove odvisnosti?
Pojasnite, kaj je postopek starš-otrok in kako ga prepoznati
Kateri ukaz navaja procese v obliki dreves?
Kateri ukaz spremlja procese v realnem času?
Spremljajte samo en postopek
Kateri ukaz prikazuje porabo pomnilnika?
Kateri parameter prikazuje pomnilnik v megabajtih?
Kateri parameter se uporablja v intervalih?
Kateri ukaz prikazuje informacije o času, ki ga ima ekipa?
Kateri ukaz uporabljam za ubijanje procesov?
Kaj obravnavajo ti procesi, da bi bili dokončani?
Katere vrste signalov so najpogostejše?
Naštejte vrste podprtih signalov.
V terminalu izvedite vi test, nato pa pojdite na drug terminal, poiščite postopek in ga ubijte s signalom 15. Prav tako s signalom 9.
Kakšna je razlika med signalom 9 in 15?
Kateri deluje privzeto?
Zakaj se postopek izvaja v ozadju? In v ospredju?
Zaženite test vi in nato pritisnite ctrl + z, kaj se je zgodilo?
Ponovite test vi, ctr + z, 4-krat, kako sem končal tisto, kar nisem uspel?
Prenesite enega od postopkov v ospredje in zaprite vi.
Kateri parameter ukaza izvedemo, da ne zasede lupine?
Kateri ukaz spreminja prioritete procesa, ki se že izvaja? Kako bi spremenili prednost terminala, ki deluje?
Katere ravni ravni obstajajo in kakšna je njihova hierarhija?
Odprite datoteko / etc / passwd in si oglejte, katero prednostno raven ima.
Spremeni raven prioritete na 4 in nato na 25 Bi lahko dodelili oboje? Zakaj?
Navedite postopke z njihovimi prednostnimi vrednostmi.
Kateri ukaz nadzoruje vse tekoče procese?
Pozdravljeni, tudi sam želim onemogočiti sudo. Dobil sem to:
[sudo] geslo za xxx:
xxx ni v datoteki sudoers. O tem incidentu bodo poročali.
saj jo onemogočim, ker v debianu uporabljam su
Pozdravljeni, ecc!
Mislim, da bi bilo bolje, če bi to vprašanje postavili v naši klicni službi za vprašanja in odgovore Vprašajte DesdeLinux tako da vam lahko celotna skupnost pomaga pri težavi.
Objem, Pablo.
Živjo. V Linux Mint sem uporabil ukaz za temperaturo trdega diska: 'sudo hddtemp / dev / sda', vprašal me je za geslo in mi dal pričakovani rezultat.
toda takrat, ko izvajam v istem terminalu 'hddtemp / dev / sda', mi pove, da je bilo dovoljenje zavrnjeno.
Torej, greens period ne deluje zame, zakaj?
Pozdravljeni blog.
Ugotovil sem tudi, da ko je nameščen distro (npr: ubuntu, linux mint), zahteva skrbniško geslo.
In v grafičnem vmesniku nadzornega centra sem uporabil možnost spremembe uporabniškega gesla.
Tako zdaj z uporabo "su -" zahteva geslo, ki ni tisto, ki ga uporablja moj trenutni uporabnik, ampak tisto, ki sem ga uporabil, ko sem namestil distro, to je še vedno korenski ali skrbniški uporabnik.
To bi povzročilo, da bi mnogi uporabniki pozabili resnično skrbniško geslo.
Pozdravljeni, vaša razlaga se zdi odlična, zelo jasna, kratka in jedrnata. Hvala za prispevek