sudo กับ su ต่างกันอย่างไร?

ไม่กี่วันที่ผ่านมาฉันได้รับคำถามจากมิเกลผู้อ่านบล็อกทั่วไปและผู้แสดงความคิดเห็นเชิงบังคับเกี่ยวกับ อะไรคือความแตกต่างระหว่าง sudo y su. โดยเฉพาะอย่างยิ่งมิเกลกังวลว่าวิธีหนึ่งมีความปลอดภัยมากกว่าวิธีอื่นหรือไม่ มันเกิดขึ้นที่ฉันได้อ่าน sudo ไม่ปลอดภัยเพียงพอ และต้องการทราบข้อมูลเพิ่มเติมนี่เป็นอีกโพสต์สำหรับผู้ที่ขอบทความเพิ่มเติมเกี่ยวกับ ความลึกลับของขั้ว.

Su

โปรแกรม su อนุญาตให้คุณใช้เชลล์ของผู้ใช้รายอื่นโดยไม่ต้องออกจากระบบเซสชันปัจจุบัน โดยทั่วไปจะใช้เพื่อรับสิทธิ์ root สำหรับการดำเนินการดูแลระบบโดยไม่ต้องออกจากระบบและเข้าสู่ระบบอีกครั้ง สภาพแวดล้อมเดสก์ท็อปบางอย่างรวมถึง GNOME และ KDE มีโปรแกรมที่ขอรหัสผ่านแบบกราฟิกก่อนที่จะอนุญาตให้ผู้ใช้ดำเนินการคำสั่งที่มักจะต้องมีการเข้าถึงดังกล่าว

ชื่อ su มาจากภาษาอังกฤษ sทดแทน uเป็น (ผู้ใช้แทน) นอกจากนี้ยังมีผู้ที่สร้างมันขึ้นมาจาก superuser (ผู้ใช้ขั้นสูงนั่นคือผู้ใช้รูทหรือผู้ดูแลระบบ) เนื่องจากโดยปกติจะใช้เพื่อปรับใช้บทบาทผู้ดูแลระบบ

เมื่อคุณวิ่ง su ระบบจะขอรหัสผ่านของบัญชีที่คุณต้องการเข้าถึงและหากได้รับการยอมรับระบบจะให้สิทธิ์เข้าถึงบัญชีนั้น

[guy @ localhost] $ your Password: [root @ localhost] # exit logout [guy @ localhost] $

โดยไม่ใส่ผู้ใช้จะถูกเข้าถึงในฐานะผู้ดูแลระบบ อย่างไรก็ตามคุณสามารถส่งชื่อผู้ใช้อื่นเป็นพารามิเตอร์ได้เช่นกัน

[guy @ localhost] $ su mongo รหัสผ่าน: [mongo @ localhost] # ออกจากระบบ [guy @ localhost] $

เมื่อป้อนรหัสผ่านแล้วเราสามารถดำเนินการคำสั่งได้ราวกับว่าเราเป็นผู้ใช้คนอื่น ในการเขียน ทางออกเรากลับไปหาผู้ใช้ของเรา

ตัวแปรที่ใช้กันอย่างแพร่หลายคือการใช้ su ตามด้วยขีด ดังนั้นในการเข้าสู่ระบบในฐานะรูทคุณต้องป้อน ของเขา - และเข้าสู่ระบบในฐานะผู้ใช้อื่น ของคุณ - ผู้ใช้รายอื่น. ความแตกต่างระหว่างการใช้สคริปต์หรือไม่? ขอแนะนำให้ใช้สคริปต์เนื่องจากจำลองว่าคุณจะเข้าสู่ระบบด้วยผู้ใช้รายนั้น ดังนั้นมันจะเรียกใช้ไฟล์เริ่มต้นทั้งหมดของผู้ใช้นั้นเปลี่ยนไดเร็กทอรีปัจจุบันเป็น HOME ของผู้ใช้นั้นเปลี่ยนค่าของตัวแปรระบบบางตัวที่ปรับให้เข้ากับผู้ใช้ใหม่ (HOME, SHELL, TERM, USER, LOGNAME และอื่น ๆ ) และ อื่น ๆ สิ่งอื่น ๆ.

ผู้ดูแลระบบต้องระมัดระวังอย่างมากในการเลือกรหัสผ่านสำหรับบัญชีรูท / ผู้ดูแลระบบเพื่อหลีกเลี่ยงการโจมตีจากผู้ใช้ที่ไม่มีสิทธิ์ su. ระบบที่คล้าย Unix บางระบบมีกลุ่มผู้ใช้ที่เรียกว่า ล้อซึ่งประกอบด้วยผู้เดียวที่สามารถดำเนินการได้ su. ซึ่งอาจลดความกังวลด้านความปลอดภัยหรือไม่ก็ได้เนื่องจากผู้บุกรุกสามารถเข้ายึดบัญชีใดบัญชีหนึ่งได้ เขา su อย่างไรก็ตาม GNU ไม่สนับสนุนการใช้งานของกลุ่มนั้น สิ่งนี้ทำด้วยเหตุผลทางปรัชญา

sudo

คำสั่งที่เกี่ยวข้องเรียกว่า sudoเรียกใช้คำสั่งในฐานะผู้ใช้รายอื่น แต่เป็นไปตามข้อ จำกัด ต่างๆที่ผู้ใช้สามารถดำเนินการคำสั่งใดในนามของผู้ใช้รายอื่น (โดยปกติจะระบุไว้ในไฟล์ / etc / sudoers).

ในทางกลับกันไม่เหมือน su, sudo แจ้งให้ผู้ใช้ป้อนรหัสผ่านของตนเองแทนผู้ใช้ที่ต้องการ สิ่งนี้ช่วยให้สามารถมอบหมายคำสั่งให้กับผู้ใช้บนเครื่องอื่นได้โดยไม่ต้องแชร์รหัสผ่านลดความเสี่ยงในการปล่อยให้เทอร์มินัลไม่มีใครดูแล

ปัญหา Sudo: ระยะเวลาผ่อนผัน

ข้อดีของ sudo ในความเคารพของ su คือดำเนินการเฉพาะคำสั่งที่ร้องขอโดยแสร้งทำเป็นว่าเป็นผู้ใช้รายอื่นโดยไม่เปลี่ยนผู้ใช้ปัจจุบัน นี่หมายความว่าเราสามารถดำเนินการคำสั่งในฐานะผู้ดูแลระบบและในวินาทีถัดไปพวกเขาจะมีสิทธิ์ของผู้ใช้ที่พวกเขาเคยใช้ก่อนหน้านี้ ... หรือเกือบ

บางคนมองว่าการรักษาความปลอดภัยละเมิดความจริงที่ว่า sudo ให้ "ช่วงเวลาผ่อนผัน" ที่อนุญาตให้ผู้ใช้ดำเนินการคำสั่งในฐานะผู้ใช้รายอื่นโดยไม่จำเป็นต้องป้อน sudo ซ้ำ ๆ หน้าคำสั่งและรหัสผ่านหลังจากดำเนินการแล้ว หลังจากนั้น "ระยะเวลาผ่อนผัน" sudo จะถามรหัสผ่านเราอีกครั้ง

สิ่งนี้ "ไม่ดี" เป็นหลักเนื่องจากอาจมีคนเข้ามายึดคอมพิวเตอร์ของเราหลังจากป้อนรหัสผ่าน sudo และในขณะที่ "ระยะเวลาผ่อนผัน" ทำงานอยู่ให้ทำการ DISASTER

โชคดีที่คุณสามารถปิด "ระยะเวลาผ่อนผัน" ได้ซึ่งจะช่วยเพิ่มความปลอดภัยให้กับระบบของคุณ เพียงเพิ่มหนึ่งบรรทัดในไฟล์ / etc / sudoers:

sudo nano / etc / sudoers

และเพิ่มบรรทัดต่อไปนี้ที่ท้ายไฟล์:

ค่าดีฟอลต์: ALL timestamp_timeout = 0

การเปลี่ยนแปลงจะมีผลทันทีโดยไม่จำเป็นต้องรีสตาร์ทระบบ