Пре неколико дана примио сам упит од Мигуела, редовног читача блогова и компулзивног коментатора, у вези са тим у чему је тачно разлика судо y su. Мигуел је посебно био забринут око тога да ли је један метод сигурнији од другог. Дешава се да сам то прочитао судо није био довољно сигуран и желео сам да знам више. Ово је још један пост посвећен онима који су тражили још чланака о терминалне мистерије. |
Su
Програм su Омогућава вам употребу љуске другог корисника без одјаве из тренутне сесије. Обично се користи за добијање роот дозвола за административне операције без потребе да се одјавите и поново пријавите. Нека радна окружења, укључујући ГНОМЕ и КДЕ, имају програме који графички траже лозинку пре него што дозволе кориснику да изврши наредбу која би обично захтевала такав приступ.
Назив су потиче из енглеског sубституте uбити (замена корисника). Постоје и они због којих то потиче sуперuсер (супер-корисник, односно роот или администратор), јер се обично користи за усвајање улоге системског администратора.
Када трчиш, su Тражи лозинку налога којем желите да приступите, а ако је прихваћена, даје приступ том налогу.
[гуи @ лоцалхост] $ ваша лозинка: [роот @ лоцалхост] # излаз одјава [гуи @ лоцалхост] $
Не стављањем корисника, приступа му се као администратор. Међутим, такође је могуће проследити друго корисничко име као параметар.
[гуи @ лоцалхост] $ су монго Лозинка: [монго @ лоцалхост] # излазак из [гуи @ лоцалхост] $
Једном када се унесе лозинка, можемо извршавати наредбе као да смо други корисник. Писмено излаз, враћамо се нашем кориснику.
Широко коришћена варијанта је употреба su праћен цртицом. Дакле, да бисте се пријавили као роот, морате да уђете његов - и да се пријавите као други корисник ваш - други корисник. Разлика између употребе скрипте или не? Препоручује се употреба скрипте јер она симулира да ћете се пријавити са тим корисником; стога извршава све датотеке за покретање тог корисника, мења тренутни директоријум у ДОМ тог корисника, мења вредност неких системских променљивих прилагођавајући их новом кориснику (ХОМЕ, СХЕЛЛ, ТЕРМ, УСЕР, ЛОГНАМЕ, између осталог) и други више ствари.
Сисадмин би требао бити врло опрезан при одабиру лозинке за роот / администраторски рачун, како би избјегао напад непривилегованог корисника који ради su. Неки системи слични Унику имају корисничку групу која се зове точак, који чине једини који могу извршити su. Ово може или не мора смањити забринутост за сигурност, јер уљез може једноставно преузети један од тих рачуна. Он su ГНУ, међутим, не подржава употребу те групе; то је учињено из филозофских разлога.
Судо
Повезана команда, тзв судо, извршава наредбу као други корисник, али поштујући низ ограничења према којима корисници могу извршити које наредбе у име којих других корисника (обично је наведено у датотеци / етц / судоерс).
С друге стране, за разлику од su, судо тражи од корисника своју лозинку уместо потребног корисника; Ово омогућава делегирање наредби корисницима на другим машинама без потребе за дељењем лозинки, смањујући ризик од остављања терминала без надзора.
Судо проблеми: грејс период
Предност судо у погледу su је да извршава само тражену наредбу претварајући се да је други корисник, а да заправо не мења тренутног корисника. То подразумева да неко може извршити наредбу као администратор и, следеће секунде, имат ће привилегије корисника којег је користио прије ... или скоро.
Неки као кршење безбедности виде чињеницу да судо одобрити „грејс период“ који омогућава кориснику да извршава наредбе као други корисник, без потребе да након извршења више пута уноси судо испред команде и лозинке. После тог „грејс периода“, судо поново ће нас питати лозинку.
Ово је „лоше“, у суштини зато што би неко могао да преузме наш рачунар након уноса судо лозинке и док је „грејс период“ активан, направи КАТАСТРОФУ.
Срећом, могуће је онемогућити „грејс период“, што ће побољшати сигурност вашег система. Само додајте један ред у датотеку / етц / судоерс:
судо нано / етц / судоерс
И додајте следећи ред на крај датотеке:
Подразумевано: СВА временска ознака_време = 0
Промена ступа на снагу одмах, без потребе за поновним покретањем система.
У ствари, АКО можете да уђете са администраторским правима са судо и останете тамо као и са су -, за ово морате да напишете: судо -с тако мењајући тренутног корисника и остављајући време за грејање као шалу (пошто можете остати овако све док желите, као и код вашег)
Хвала на помену, али стварна заслуга припада цхату Сабаион - који више не користим јер ми се покварио чврсти диск, и радије сам се вратио у Убунту -.
Разлог који су ми дали био је тај што понекад када раде судо одређене конфигурације не добијају апсолутне дозволе и остају погрешно конфигурисани. И да „пријављивањем“ са су као роот за задатке ажурирања и одржавања спречавате да се ово догоди.
Тада сам вам послао е-пошту јер сам обећао да ћу поделити ово откриће које ми се учинило небитним.
Пошто је Убунту подразумевано инсталиран без роот корисника, само покрените
„Судо пассвд роот“
унесите лозинку, потврдите је и након тога
"Су роот"
за операције одржавања, поред избегавања стављања судо-а уз сваку поруџбину.
У принципу, у Убунтуу се роот налог уклања тако да се не пријавите увек са њим, али пошто сам добио савет готово у духу да је коришћење судо-а светогрђе, за случај да сам га следио.
Могли бисте приступити датотеци / етц / схадов и променити хеш роот лозинке у уобичајени хеш корисничке лозинке, а затим променити лозинку за роот ??? У неко друго време покушавам исто….
Јасно. Није ексклузивно за Федору.
Могу ли онда да се инсталирају?, Помислио сам да је „СУ“ само у ФЕДОРИ.
Врло добре информације, са овим ће сигурно сумње многих нестати, јер знам неколико оних који имају ту сумњу.
У убунто мислим да се сећам да не можете да користите наредбу су (да бисте ушли као роот корисник)
Па, да бисте „опоравили“ роот лозинку (у ствари, било коју другу лозинку), могли бисте да извршите „напад“ на датотеку системске лозинке са Јохн Тхе Риппер-ом. Нећу више рећи о овоме.
Можда постоје и друге методе ... Можда промена лозинке уношењем са „судо су“, а затим командом „пассвд“. Било би занимљиво видети шта други људи одговарају ...
Тацно!
Тачно ... Морам да захвалим Мигуелу Маиолу и Туру ... он је био тај са идејом. 🙂
Живели! Паул.
Хвала вам, као и увек велики допринос. Ценимо га.
Хвала шефе! Загрљај! Паул.
Разлика између „су“ и „судо“ је „до“
Заборавио сам роот лозинку, срећом могу да користим судо, а да бих користио су, користим 'судо су' и он не тражи пролаз (?)
Да ли неко зна како да открије роот лозинку (имам приступ роот преко судо-а)?
судо пассвд
Ха! Веома паметан!
онај ко жели да опорави роот лозинку био би "судо пассвд роот" и тамо ће тражити да унесете нову
здраво како ти је живот
Извините, али, користећи команду су, овако:
су -ц "наредба", исто је што и коришћење судо-а без грејс периода. Не видим потребу за судом.
РЕАЛНА употреба судо-а је давање одређених корисника могућности да користе ову или ону команду, више се користи у компанијама, како не би требало да цхроот-ује, нешто што се са су не може учинити.
Поштовани, морам да урадим Линук ТП и морам да одговорим на неколико једноставних питања. Можда ми могу помоћи. Хвала од сада:
Која је наредба која нам омогућава инсталирање / брисање / измјену дебиан пакета?
Која је наредба која нам омогућава лакше управљање инсталацијом
пакети у дебиану?
Која је наредба да бисте могли инсталирати рпм пакете?
Коју опцију користимо за деинсталацију пакета?
Који је директоријум у којем се налазе иум спремишта?
Чему служи њам?
Коју опцију користимо за тражење пакета са иум-ом?
Коју опцију користимо за брисање пакета?
Коју опцију можемо користити за ажурирање система?
Која слова идентификују дозволе?
Шта значи сваки од њих?
Које наредбе наводе дозволе датотеке?
Које су три групе у којима су дозволе подељене?
Која два начина постоје за примену дозвола?
Који систем бројева користе дозволе?
Какву тежину имају ова слова?
Које су посебне дозволе?
Које су постојеће посебне дозволе и чему служе корисници?
Које наредбе користим за промену дозвола?
Које параметре користим за давање дозвола за извршавање датотеке?
Који се параметри користе за давање дозвола за читање само групи?
Који се параметри користе за давање дозвола за читање / писање групи осталих и уклањање писања од корисника који поседује датотеку?
Које дозволе се подразумевано креирају за датотеке и директоријуме?
Коју наредбу користимо да бисмо је верификовали?
Како да променимо подразумевану маску?
Како да учинимо маску другачијом? (Користите подразумевану маску која власницима оставља само све дозволе.)
Која наредба наводи процесе? Наведите различите параметре и њихову употребу.
Који је процес који све покреће?
Наведите процесе који одговарају пријављеном кориснику.
Наведите све процесе у систему.
Које опције користим за добијање додатних информација?
Наведите све процесе који се користе у терминалу
Која опција наводи процесе и њихове зависности?
Објасните шта је процес родитељ-дете и како га идентификовати
Која команда наводи процесе у облику стабала?
Која команда надгледа процесе у реалном времену?
Надгледајте само један процес
Која команда приказује употребу меморије?
Који параметар приказује меморију у мегабајтима?
Који параметар ради у интервалима?
Која команда приказује информације у вези са временом које је тим завршио?
Коју команду користим за убијање процеса?
Чиме се ови процеси баве како би били финализовани?
Које врсте сигнала су најчешће?
Наведите врсте подржаних сигнала.
У терминалу извршите ви тест, а затим идите на други терминал, потражите поступак и убијте га са сигналом 15. Исто као и са сигналом 9.
Која је разлика између сигнала 9 и 15?
Који од њих подразумевано ради?
Зашто се процес покреће у позадини? А у првом плану?
Покрените ви тест и притисните цтрл + з, шта се догодило?
Поновити ви тест, цтр + з, 4 пута, како да завршим оно што нисам успео?
Пренесите један од процеса у први план и затворите ви.
Који параметар наредбе извршавамо да не заузме љуску?
Која наредба модификује приоритете процеса који је већ покренут? Како бисте променили приоритет терминала који ради?
Које вредности нивоа постоје и која је њихова хијерархија?
Отворите датотеку / етц / пассвд и погледајте који приоритет има.
Промените ниво приоритета на 4, а затим на 25 Да ли бисте могли да доделите оба? Зашто?
Наведите процесе са њиховим приоритетним вредностима.
Која наредба надгледа све покренуте процесе?
Здраво, желим да онемогућим судо, као што то радим. Схватам ово:
[судо] лозинка за ккк:
ккк није у датотеци судоерс. Овај инцидент ће бити пријављен.
пошто га онемогућујем, јер користим су у дебиану
Здраво ецц!
Мислим да би било боље да ово питање поставите у нашој служби за питања и одговоре Питати DesdeLinux тако да вам цела заједница може помоћи у решавању проблема.
Загрљај, Пабло.
Здраво. Користио сам наредбу за температуру тврдог диска у Линук Минт-у: 'судо хддтемп / дев / сда', пита ме за лозинку и даје ми очекивани резултат.
али, онда приликом извршавања на истом терминалу 'хддтемп / дев / сда', каже ми да је дозвола одбијена.
Дакле, грејс период не делује на мене, зашто?
Здраво блог.
Такође сам открио да када је дистро инсталиран (нпр: убунту, линук минт), он тражи администраторску лозинку.
А у графичком интерфејсу контролног центра користио сам опцију за промену корисничке лозинке.
Дакле, сада користећи „су -“ тражи лозинку, која није лозинка мог тренутног корисника, већ она коју сам користио када сам инсталирао дистро, а то је и даље роот или администратор.
То би резултирало тиме да многи корисници забораве истинску лозинку администратора.
Поздрав, ваше објашњење је одлично, врло јасно, кратко и кратко. Хвала на уносу