Каковы преимущества sudo перед su?

Какова реальная выгода, которую Ubuntu (или производные Debian) получают, отключая пользователя root?

Везде, где я читаю, написано, чтобы предотвратить непреднамеренный ущерб для неопытных пользователей. Я хочу знать, что именно, так как sudoможет выполнять все команды (которые я знаю / использую).

Так в каком случае root может нанести ущерб, а sudoне может?

PS: я знаю как sudoработает.

Так в каком случае root может нанести ущерб, а sudo - нет?

Поскольку вы обычно должны вызывать sudoкаждый раз, когда хотите сделать что-то, что требует привилегий, причина в том, что вы будете «думать, прежде чем прыгнуть», то есть не просто вставлять sudo перед чем-то, не задумываясь ни на секунду, какая команда выполняется собирается сделать.

С suдругой стороны, как только вы вошли, вы вошли. У вас есть карт-бланш (открытая лицензия), чтобы делать все и вся, и причина в том, что вы можете на мгновение забыть, что у вас есть эти привилегии, и если вы Вам не повезло, выполните что-то, что серьезно повлияет / повредит вашу систему - если бы у вас не было привилегий su, команда не сделала бы ничего серьезного.

IMO Основные преимущества sudo перед su - это то, что sudo имеет превосходное ведение журнала выполнения команд, а sudo дает более полный контроль над тем, что могут делать пользователи.

su - это все или ничего, но можно настроить sudo для разрешения доступа к некоторым, но не ко всем командам.

См. Https://help.ubuntu.com/community/RootSudo для более полного обсуждения, включая преимущества и недостатки.

су -

Если вы вошли в систему как пользователь root , любая запускаемая вами задача, инициируемое вами действие или случайное событие, вызванное посещением определенного веб-сайта и т. Д., Будут выполняться как суперпользователь .

Судо

Когда вы запускаете sudo и запускаете команду, только эта команда будет работать как суперпользователь .

Вам будет предложено ввести пароль , прежде чем команда будет выполнена. Таким образом, взаимодействие с пользователем также требуется .

Попытки вызвать sudo также могут быть зарегистрированы .

Речь идет об управлении пользователями и паролями для системных администраторов.

Если у вас несколько пользователей, у них всех должны быть отдельные учетные записи, и их можно будет отслеживать с помощью этих учетных записей. Это означает, что люди не могут скрыть свою личность. Кроме того, если вам нужно отменить определенные права пользователей, вам также не нужно сбрасывать пароль root. Чтобы дать каждому человеку в среде с более чем 2 администраторами пароль root создает кошмар, когда один человек выходит. Вы должны не только изменить это, но и сообщить об этом и т. Д. Все это также должно произойти, когда у одного из них украли ноутбук или что-то в этом роде. Одна учетная запись с одним паролем на человека упрощает администрирование. Это похоже на философию, почему каждый сервис должен иметь свою учетную запись. Если одна учетная запись скомпрометирована, вам не нужно перенастраивать другую дюжину сервисов (например, задачи резервного копирования) для использования другой учетной записи.

Я также считаю, что лично мне удобно не иметь еще один пароль для отслеживания, потери и взлома. На RHEL я специально отключаю учетную запись root после настройки sudo, поэтому мне не нужно отслеживать ее. Время от времени пользователь запускает файл sudo, но это можно исправить в однопользовательском режиме. (Естественно, это обычно производственная машина.)

ПРИМЕЧАНИЕ: «sudo bash» позволит вам пропустить ввод sudo для каждой команды ...

Я думаю, во-первых, мы должны посмотреть, что на самом деле являются su и sudo

su - обозначает Заместителя пользователя. Вы используете это для переключения на оболочку как другой пользователь, использующий пароль этого пользователя. Обычно используется с рутом. Не требует пароля при выполнении от имени пользователя root.

sudo - позволяет разрешенному пользователю выполнять указанную команду от имени другого пользователя. Также обычно используется с root. Однако это позволяет вам конкретно управлять тем, какие команды могут быть выполнены для другого использования. (Например, вы можете дать пользователю возможность запускать сценарий init.d, но не более того.)

Обратите внимание, вы всегда можете запустить sudo suили, sudo -iи это даст вам корневую оболочку. Тем не менее, отсутствие пароля root означает отсутствие входа непосредственно как root ... что означает, что никто не может взломать этого пользователя.

РЕДАКТИРОВАТЬ: так что, возможно, этот ответ, который вы ищете: отсутствие пароля root заставляет вас использовать sudo, что, в свою очередь, естественным образом настраивает вас на sudoфилософию, которая предлагает вам усилить контроль над действиями, выполняемыми как root.

Кроме того, необходимо учитывать логирование между sudo и su. Быть su просто делает все с правами root без записи, кроме одной строки в журнале аутентификации, в которой говорится, что вы стали пользователем root.

Sudo, с другой стороны, всегда регистрируется как ваш идентификатор пользователя с расширением priveleesw.

Обычно вход в систему как su проще при выполнении административных задач. Однако есть, по крайней мере, одно исключение: когда владение файлом имеет значение. Если вам нужно, чтобы пользователь был владельцем файла, войдите в систему как этот пользователь и используйте sudo для загрузки или копирования файлов. Простыми примерами являются закладки и файлы обоев. Если пользователь не владеет файлом, Firefox «Восстановить» в закладках «Из файла» завершится ошибкой. Когда вы устанавливаете обои на рабочем столе, они могут не работать, если вы не являетесь владельцем файла. Иногда вы можете просто установить привилегии или включить их в качестве исполняемого файла, но некоторые настройки или программы не будут работать, если вы не являетесь владельцем файла.