¿Cuál es el beneficio real que Ubuntu (o los derivados de Debian) logran al deshabilitar al usuario root?
En todas partes que leo, dice evitar daños involuntarios para usuarios inexpertos. Quiero saber exactamente qué, ya que sudo
puedo ejecutar todos los comandos (que sé / uso).
Entonces, ¿en qué caso la raíz puede causar daño mientras sudo
que no?
PD: Sé cómo sudo
funciona.
Respuestas:
Como generalmente debe invocar
sudo
cada vez que desea hacer algo que requiere privilegios, el razonamiento es que "pensará antes de saltar", es decir, no solo pegará sudo frente a algo sin pensar por un segundo cuál es el comando que está ejecutando va a hacerPor
su
otro lado, una vez que estás dentro, estás dentro. Tienes carta blanca (una licencia abierta) para hacer cualquier cosa, y el razonamiento es que podrías olvidar por un momento que tienes esos privilegios y si no tiene suerte, ejecute algo que afecte / dañe gravemente su sistema; si no tuviera los privilegios de su, el comando no habría hecho nada grave.fuente
sudo
, por lo que no los uso. Cuando lo uso, me da un momento de pausa. Sí, estoy hablando como programador, no como usuario promedio, pero de nuevo, los usuarios promedio no usan la línea de comando.sudo
mássu
. Con demasiada frecuencia, la gente dice "usa sudo porque es más seguro que su", lo cual es ingenuo pensar ya que no es más seguro. Olvidar que usaste nosu
es excusa, eso es solo incompetencia si ejecutas un comando como root accidentalmente.su
, pero personalmente prefiero no instalar bombas que asumir que recordaré desarmarlas.En mi opinión, las principales ventajas de sudo sobre su son que sudo tiene un registro superior de los comandos que se ejecutaron y sudo ofrece un control más preciso sobre lo que los usuarios pueden hacer.
su es all o none, pero sudo se puede configurar para permitir el acceso a algunos, pero no a todos los comandos.
Vea https://help.ubuntu.com/community/RootSudo para una discusión más completa, incluyendo ventajas y desventajas.
fuente
su -
Cuando inicie sesión como root , cualquier tarea que inicie, acción que active o evento aleatorio causado por visitar un determinado sitio web, etc. se ejecutará como superusuario .
sudo
Cuando invocas sudo , mientras ejecutas un comando, solo ese comando se ejecutará como superusuario .
Se le pedirá su contraseña antes de ejecutar el comando. Por lo tanto, también se requiere la interacción del usuario por su parte .
Los intentos de invocar sudo también se pueden registrar .
fuente
sudo su
. mientras que el guión-
es un indicador aceptado porsu
y trata su shell como si hubiera iniciado sesión como usuario (ejecuta un conjunto diferente de archivos de entorno, es decir .bashrc / .profile)Se trata de la gestión de usuario / contraseña para administradores de sistemas.
Si tiene varios usuarios, todos deberían tener cuentas separadas y deberían poder rastrearse utilizando esas cuentas. Esto significa que las personas no pueden ocultar su identidad. Además, si necesita revocar los permisos de un usuario específico, no tiene que restablecer la contraseña de root. Darle a cada persona en un entorno con más de 2 administradores la contraseña de root hace que sea una pesadilla cuando una persona abandona. No solo debes cambiarlo, sino comunicarlo, etc. Todo esto también tiene que suceder cuando uno de ellos tiene un portátil robado o cosas así. Una cuenta con una contraseña por persona simplifica la administración. Es similar a la filosofía detrás de por qué cada servicio debe tener su propia cuenta. Si una cuenta se ve comprometida, no tiene que volver a configurar otra docena de servicios (como tareas de respaldo) para usar una cuenta diferente.
También me parece conveniente no tener otra contraseña para seguir, perder y haber comprometido. En RHEL, desactivo específicamente la cuenta raíz después de configurar sudo para no tener que rastrearla. De vez en cuando, un usuario borra el archivo sudo, pero eso se puede solucionar en modo de usuario único. (Naturalmente, generalmente es una máquina de producción).
NOTA: 'sudo bash' le permitirá omitir escribir sudo para cada comando ...
fuente
sudo mc
: DCreo que primero, debemos analizar qué son realmente su y sudo
su - significa usuario sustituto. Utiliza esto para cambiar a un shell como otro usuario usando la contraseña de ese usuario. De uso general con la raíz. No requiere una contraseña cuando se ejecuta como root.
sudo : permite a un usuario permitido ejecutar un comando especificado como otro usuario. También comúnmente usado con root. Sin embargo, esto le permite administrar específicamente qué comandos se pueden ejecutar como otro uso. (Por ejemplo, podría darle a un usuario la capacidad de ejecutar un script init.d pero nada más).
Tenga en cuenta que siempre puede ejecutar
sudo su
osudo -i
y eso le dará un shell raíz. Sin embargo, ninguna contraseña de root significa no iniciar sesión directamente como root ... lo que significa que nadie puede entrar en ese usuario.EDITAR: así que tal vez esta respuesta que estás buscando es: no tener una contraseña de root te obliga a usar
sudo
, lo que a su vez naturalmente te alinea con lasudo
filosofía que sugiere que impongas un mayor control sobre las acciones que se ejecutan como root.fuente
Además, hay consideraciones de registro a considerar entre sudo y su. Ser su simplemente hace todo como root sin otra entrada que una línea en el registro de autenticación que dice que se convirtió en root.
Sudo, por otro lado, siempre se registra como su ID de usuario con Priveleesw escalado.
fuente
Por lo general, iniciar sesión como su es más fácil cuando se realizan tareas administrativas. Sin embargo, hay al menos una excepción: cuando la propiedad del archivo es importante. Si necesita que un usuario sea el propietario de un archivo, inicie sesión como ese usuario y use sudo para descargar o copiar archivos. Ejemplos simples son los archivos de marcadores y fondos de pantalla. Si un usuario no posee el archivo, fallará un marcador de "Restaurar" de Firefox "Desde archivo". Cuando configura un fondo de escritorio, es posible que no funcione a menos que sea el propietario del archivo. A veces solo puede establecer privilegios o habilitarlos como un archivo ejecutable, pero algunas configuraciones o programas fallan si no es el propietario de un archivo.
fuente