Отрицательные / отрицательные стороны установки sudo в Ubuntu без полномочий root

По умолчанию Ubuntu не создает корневую учетную запись, в которую пользователь может войти. Вместо этого пользователи используют,sudo когда им нужно выполнить действия, требующие административного доступа.

Очевидно, что люди в Ubuntu считают, что это хорошая идея, и все, что я читал на сайте Ubuntu, дает множество причин, почему они считают эту идею хорошей (см., Например, RootSudo @ Ubuntu Wiki ).

Тем не менее, многие другие распространенные дистрибутивы, такие как Debian, Gentoo и т. Д., По умолчанию не настроены таким образом, и я пытаюсь выяснить, почему. Если установка sudo-root по умолчанию в Ubuntu является такой хорошей идеей, почему не все другие основные дистрибутивы делают это тоже? Это заставляет меня верить, что могут быть веские причины НЕ настраивать это таким образом; но у меня проблемы с поиском чего-либо, что дает какие-либо подробности по этому вопросу. Все, что я нахожу, это статьи / посты, которые говорят о том, как это здорово ...

Поэтому мой вопрос: существуют ли какие-либо серьезные проблемы с настройкой sudo в Ubuntu (небезопасность, функциональные ограничения и т. Д.), Которые не позволяют другим дистрибутивам использовать эту настройку, и если да, то каковы они? Конечно, это может быть просто отличной идеей, что другие дистрибутивы просто не торопятся, или сопротивляются, потому что это отличается от того, как все работало в течение последних 30 лет. Если это так, я бы хотел это знать.

Единственный не субъективный недостаток, который я знаю, если это то, что когда пользователь root не имеет установленного пароля, он позволяет получить доступ к однопользовательскому режиму без пароля.

По-настоящему защищенный компьютер будет в заблокированном случае, будет отключена загрузка с съемного носителя, пароль BIOS, установленный для предотвращения изменений, пароль загрузчика, чтобы предотвратить изменение загрузочной командной строки ядра (то есть без добавления init=/bin/sh), и пароль будет требуется для доступа в однопользовательском режиме.

Когда вы используете vi вместо visudo для редактирования / etc / sudoers в удаленной системе и запутываете синтаксис, вы больше не можете использовать sudo или используете su, так как пароль root не установлен.

Я сделал это. Я учился на этом. Это сгорело. :-)

По сути, sudo дает вам административные привилегии. Если у вас нет учетной записи суперпользователя, а пользователь имеет ALL=(ALL) ALLв /etc/sudoers, то ваш пользователь суперпользователем. Это не рекомендуется, так как вы можете выполнять команды с правами администратора, используя sudoи ваш пароль пользователя.

Администратор ДОЛЖЕН сконфигурировать sudoприем некоторых команд для пользователей, но некоторые административные задачи будут rootтолько так, rootкак и у настоящего суперпользователя .

Настоящая проблема заключается в том, что привилегии являются привилегией. Самая безопасная система будет иметь только 1 суперпользователя, и это так root.

Смотрите это

В тех других дистрибутивах, которые вы упоминаете, желательно создать (или, скорее, раскомментировать) строку /etc/sudoers, которая дает группе wheelнеограниченный доступ, а затем добавить себя в эту группу.

Это не только эксклюзивно для Linux, но и стандартно для * BSD, и я верю даже в Mac OS X (не уверен насчет последнего, поскольку я не пользуюсь Mac регулярно).

Я подозреваю, что это во многом вопрос инерции. Когда-то давно sudoкоманда не существовала, поэтому корневая учетная запись должна была быть настроена с паролем. Согласно «Краткой истории Судо» , на которую ссылается эта статья в Википедии , sudoона впервые была реализована в 1980 году, но, вероятно, не получила широкого распространения до 1990-х годов.

Может сохраняться тенденция рассматривать это sudoкак дополнительное удобство, а не как то, что должно лежать в основе управления системами.

Как указал mattdm, на этот вопрос (по большей части) уже был дан ответ здесь: Какой самый безопасный способ получения привилегий root: sudo, su или login?