«Sudo su -» считается плохой практикой?

Задний план

Я знаю разницу между su - , sudo su - и sudo <command> :

  • su - – переkeyает пользователя на root, требует пароль root
  • sudo su - – переkeyает пользователя на root, требуется только пароль текущего пользователя
  • sudo <command> – предоставляет доступ root только для определенной команды; требует только пароль текущего пользователя

Мой вопрос заkeyается в том, следует ли использовать sudo su - безопасная практика в производственной среде.

Некоторые мысли:

  1. Похоже, что sudo su - создает угрозу безопасности, делая доступ к корневой учетной записи, зависящей от индиviewуальных паролей пользователей. Конечно, это может быть смягчено путем применения строгой политики паролей. Я не думаю, что su - лучше, так как это потребует от администратора обмена фактическим паролем root.

  2. Разрешение пользователям полностью переkeyиться на учетную запись root затрудняет отслеживание того, кто вносит изменения в систему. Я viewел случаи на моей дневной работе, когда нескольким пользователям давали sudo su - access. Первое, что пользователи делают при inputе в систему, запускается sudo su - , прежде чем начать работу. Затем в один прекрасный день что-то ломается, и less возможности отслеживать, кто запустил rm -rf * в неправильном directoryе.

Вопросов

Учитывая вышеупомянутые проблемы, полезно ли вообще разрешить пользователям использовать sudo su - или даже su - вообще?

Есть ли причины, по которым администратор настраивал бы учетные записи пользователей для sudo su - или su - вместо sudo <command> (кроме лени)?

Примечание. Я игнорирую случай, когда user, выполняющий sudo su - или su - это администратор, которому необходимо внести изменения в систему, когда прямой доступ ssh отkeyен для пользователя root.

Давайте посмотрим ваши случаи:

  su - 

будет запускать / bin / sh в качестве пользователя root, используя корневую среду. Пароль root необходим, и регистрация может быть зарегистрирована в зависимости от настроек syslog (обычно по умолчанию это /var/log/auth.log).

  sudo /bin/sh 

будет запускать оболочку как user root, используя текущий набор переменных среды (с некоторыми исkeyениями, которые будут определены в fileе sudoers). Пароль является исходным паролем пользователя и НЕ является паролем пользователя root. sudo обычно регистрируется.

  sudo su - 

будет запускать оболочку (обычно / bin / sh), поскольку user root настраивает среду как user root. Для этого потребуется пароль пользователя-источника, и это, как правило, будет зарегистрировано.

Иногда необходимо иметь корневую среду над вашей собственной средой, поэтому su – это подходящий метод. Помните, что sudo все равно будет регистрировать использование команды оболочки в любом случае.

* Учитывая вышеупомянутые проблемы, всегда ли хорошая идея разрешать пользователям использовать sudo su *

Нет, не по-моему. Он не имеет практического преимущества, кроме того, что позволяет им выполнять su, за exceptionм того, что для этого ему не нужен пароль root.

или вообще?

Поскольку я всегда отkeyил input в систему root, su необходим и в балансе делает server более безопасным.

Кажется, что ОП дает множество веских причин не допускать / поощрять общие применения для запуска sudo bash или sudo su - поскольку это переkeyает их во всеохватывающий режим, внутренности которого обычно не регистрируются. И они могут забыть, что они находятся в этом режиме и что-то делают … прискорбно.

Ergo, кажется более безопасным, чтобы большинство пользователей ограничивалось запуском sudo on/a/particular/command/ или списка команд. Таким образом, каждая command sudo регистрируется.

Будете ли вы сталкиваться с исkeyениями на практике? Конечно. Является ли реакция на такие исkeyения возвращаться к ленивой практике неограниченного судо, возможно, less.

  • Сервер NFS в Vista?
  • Как добавить новый path к переменной $ PATH в сценарии после установки RPM?
  • Вторичная группа Freebsd не позволяет удалить папку
  • Не удается установить JAVA SDK на UBUNTU
  • Загружайте fileы из vsftpd ftp client в / tmp и как только они загружаются, переместите их в исходную папку
  • Удаление RPM не удаляет доставленные диски и листья мусора
  • уровень блока против клонирования уровня fileа?
  • Соединение отказалось от общего интерless-соединения
  • Не удается смонтировать существующую EBS на AWS
  • Можно ли передавать variables среды вновь созданному пользователю?
  • -bash: command apt-get: не найдена
  • Interesting Posts

    Печать с BYOD на внутренний принтер

    Solaris: хорошая книга для метастата?

    Как выполнить тест пропускной способности для загрузки с помощью youtube перед streamом в реальном времени?

    Как использовать robocopy для перебора всех файлов по определенному размеру рекурсивно?

    Как предоставить группе пользователей права управлять группами рассылки в Exchange 2003?

    Центр обновления Windows 800F0922

    одновременное подkeyение к двум сетям

    Временная метка членства в группе Active Directory

    Nginx Url Rewriting: удалить папку из URL-адреса

    WSUS показывает неправильный нужный счет (или: как get его до 100%?)

    DNS-server используется для усиления DNS-атаки – ripe.net

    Запуск хранимой процедуры MS-SQL Server из MS Access?

    Как я могу попросить apt-get пропустить любые интерактивные шаги после установки?

    Как я могу проверить, не повлиял ли мой embedded Linux-server на бровь, не полагаясь на номер версии?

    Существует ли жесткое или мягкое ограничение того, сколько разных ненадежных доменов можно связать с одним controllerом домена

    Давайте будем гением компьютера.