Bagaimana sudo lebih aman daripada langsung menggunakan su jika pengguna diberikan akses ke semua perintah?

Jadi saya telah membaca perbedaan antara menggunakan sudan sudo, dan semua orang tampaknya sepakat bahwa sudopendekatan ini lebih aman daripada memungkinkan akses ke akun root itu sendiri. Mereka mengatakan bahwa dengan akun root Anda dapat menghancurkan seluruh sistem Anda hanya dengan satu perintah. Ini saya mengerti. TETAPI pengguna awal yang dibuat pada sistem juga memiliki akses ke semua perintah menggunakan sudo. Ini saya bisa mengetahuinya dengan menjalankan su -l. Jika ini masalahnya, maka saya bisa menjalankannya sudo <game-ending command>untuk merusak sistem saya. Jadi, bagaimana pendekatan ini lebih baik atau lebih aman daripada memungkinkan saya akses langsung ke akun pengguna super? Saya dapat menjalankan semua perintah yang sama ...

Apakah karena menggunakan sudopada baris perintah saya secara eksplisit memberitahu komputer saya pikir saya tahu apa yang saya lakukan? Apakah mereka pikir orang akan lupa bahwa mereka berada di bawah akun pengguna super kecuali mereka secara eksplisit mengatakannya?

Orang-orang juga menyatakan bahwa jika sistem dikompromikan dan dimasukkan oleh seseorang asing, berada di bawah akun root akan memungkinkan mereka untuk melakukan hal-hal buruk pada sistem saya. Tapi menurut saya jika mereka sudah memiliki akses ke akun saya, dan tahu kata sandi saya, mereka dapat melakukan hal-hal buruk yang sama dengan menggunakan sudo dan memasukkan kata sandi saya karena mereka bahkan tidak perlu mengetahui kata sandi pengguna super. Apa yang tidak saya dapatkan di sini?

Secara pribadi saya tidak menganggapnya lebih aman dan sebagian besar manfaat (dari sudo) ada pada sistem multi-pengguna. Pada sistem pengguna tunggal mungkin adalah pencucian.

Manfaatnya adalah (tanpa urutan tertentu):

• sudo memiliki logging unggul. sudo mencatat setiap perintah.
• sudo memungkinkan kontrol butir yang lebih baik. Seseorang dapat mengkonfigurasi sudo untuk memberikan akses root ke beberapa tetapi tidak semua perintah.
• sudo menggunakan kata sandi masuk. Ini melindungi harus memberikan kata sandi root (seperti yang Anda lakukan dengan su) dan terkait dengan poin di atas mengenai kontrol berbutir halus / akses ke root.
• Di Ubuntu, secara default, akun root dikunci. Ini mencegah cracker untuk login (remote via say ssh) mereka harus menebak nama pengguna dan kata sandi. Jika akun root tidak dikunci, seperti halnya su, maka mereka hanya perlu memecahkan kata sandi root.
• sudo -imungkin merupakan metode terbaik untuk mengisolasi variabel lingkungan root dari pengguna Anda. Ini muncul dari waktu ke waktu tetapi cukup esoteris. Lihat https://help.ubuntu.com/community/RootSudo#Special_notes_on_sudo_and_shells
• beberapa orang merasa bahwa harus mengetikkan sudo sebelum setiap perintah yang ingin mereka jalankan sebagai root atau memiliki sudo time out memungkinkan mereka untuk berhenti dan berpikir lebih jernih dan mengurangi kesalahan mereka atau menjalankan perintah yang salah. Jika melakukan hal itu membantu Anda, itu akan bermanfaat juga.

Mungkin ada lebih banyak manfaat, tetapi itu adalah yang utama, IMHO.

Lihat juga - https://help.ubuntu.com/community/RootSudo

Untuk mencoba menjawab beberapa pemikiran Anda yang lain:

• Tidak ada apa pun tentang su atau sudo yang mencegah Anda menjalankan kode jahat selama Anda tahu kata sandinya. Tidak ada yang lebih aman atau lebih baik.
• Cracker dapat memperoleh akses shell melalui sejumlah metode. Ketika Anda melihat "jalankan kode arbitrer" di pemberitahuan keamanan - https://usn.ubuntu.com/usn/ - itu artinya seorang cracker dapat menjalankan / bin / bash atau kode lainnya. Dengan demikian cracker, melalui berbagai eksploitasi, dapat memperoleh akses shell tanpa mengetahui nama login atau kata sandi Anda. Baik sudo atau su tidak membantu.
• Jika cracker memiliki akses shell, mereka dapat melakukan banyak kerusakan tanpa akses root. Misalnya ransomware yang mengenkripsi semua data pribadi Anda.
• Jika cracker memiliki akses shell ke akun dengan akses root, melalui su atau sudo, cracker dapat memperoleh akses root melalui sejumlah metode di luar ruang lingkup diskusi ini. Baik sudo atau su tidak unggul dalam hal ini.

Jadi, meskipun Anda telah mengamati masalah atau kekurangan pada sudo, su memiliki kerentanan yang sama persis dan su tidak lebih unggul daripada sudo dalam aspek-aspek tersebut, IMHO

Bayangkan Anda memiliki 20 menit untuk melakukan sesuatu yang kompleks. Anda sedikit mabuk dan Anda harus buru-buru. "Ayo gunakan su," katamu. “Ini akan menghemat waktu” adalah alasan Anda.

Secara tidak sengaja Anda mengetik

rm -rf /*

dari pada

rm -rf ./*

Sistem Anda sekarang gagal sendiri dan Anda memiliki 10 menit hingga batas waktu Anda.

Jika Anda secara eksplisit memilih kapan Anda perlu root, Anda dapat meminimalkan kemungkinan ini terjadi. Root mungkin tidak diperlukan untuk itu, rm -r ./*jadi mengapa menggunakannya? Mengapa mengambil risiko?

Itulah arti "keselamatan" di sini. Meminimalkan risiko pengguna (semua pengguna, bukan hanya pemula) membuat kesalahan fatal.

Tentu saja, ini adalah contoh ekstrem yang seharusnya tidak boleh terjadi di lingkungan produksi (saya jamin itu terjadi di lingkungan prod).

Dari segi keamanan ada beberapa hal yang sudo lebih baik juga. Seperti yang dikatakan @Panther - logging, pembatasan, kata sandi root adalah SPOF, dll.)

Saya ingin menambahkan sedikit perspektif historis ke jawaban lain. Sayangnya, saya tidak memiliki sumber yang siap kecuali ingatan saya sendiri tentang diskusi Usenet dan artikel majalah.

Beberapa waktu yang lalu, pada tahun 1990-an, distribusi membuatnya lebih mudah untuk menginstal Linux pada perangkat keras Anda sendiri, bahkan dengan tidak banyak pengetahuan komputer. ¹ Dengan demikian, Linux mulai menarik lebih banyak orang yang secara mengejutkan belum pernah dibor sebelumnya sebagai administrator sistem pada beberapa dialek UN * X. Sebaliknya, banyak yang digunakan untuk sistem (pengguna tunggal) seperti Windows 95/98. Dan mereka belajar bahwa sebagian besar tugas administrasi sistem Linux membuatnya perlu untuk bekerja di bawah akun "root" yang aneh itu.

Jadi, beberapa pengguna baru saja login sebagai root dan menggunakan akun itu untuk semua pekerjaan sehari-hari mereka. Mengapa mereka harus mengetik sudan mem - root password berulang kali atau login ke tty baru hanya untuk beberapa perintah admin? Tetapi menggunakan root untuk semuanya tentu saja bukan ide yang baik, karena Anda bisa melakukan lebih banyak kerusakan pada sistem Anda dengan beberapa perintah lalai di tempat yang salah. Ini bahkan menyebabkan beberapa distro (apakah itu SuSE?) Untuk memodifikasi latar belakang desktop untuk pengguna root untuk menampilkan peringatan besar bahwa Anda harus menggunakan akun itu hanya untuk tugas admin.

Jadi, cara Ubuntu dengan sudomemiliki beberapa kelebihan (selain yang sudah terdaftar oleh Panther ).

• Anda tidak dapat langsung login ke akar account.² :-)
• Proses instalasi tidak akan meminta kata sandi root (tambahan), Anda hanya perlu satu kata sandi (pengguna).
• sudocache kredensial Anda, jadi untuk beberapa perintah admin secara berurutan, Anda hanya perlu memasukkan kata sandi satu kali (berbeda dengan su). Ini mengurangi keinginan untuk hanya membuka shell atau terminal baru dengan hak akses root .
• Dan membuatnya lebih mudah untuk memberi tahu pengguna secara online dan dalam dokumentasi mana perintah yang harus mereka masukkan sebagai admin dan yang tidak .³

¹ Dan bagi mereka yang tidak berani melakukannya sendiri, ada pihak yang memasang.
² Tetapi Anda dapat menggunakan perintah seperti sudo -iatau sudo su - rootuntuk mendapatkan shell root setelah Anda masuk sebagai pengguna normal.
³ Tapi Anda tentu saja tahu bahwa Anda seharusnya tidak hanya menyalin & menempelkan perintah dari Internet , bukan?

Dimungkinkan untuk menonaktifkan login root melalui ssh selama beberapa dekade. Cara Ubuntu menonaktifkan akun root dan membuat orang sudo semuanya tidak lebih dari sebuah trik. Hanya "sudo -s" dan Anda memiliki shell root. Nonaktifkan login root melalui ssh dan biarkan di sana.

Tergantung pada konfigurasi, sudo <game ending command>belum tentu bekerja. Tentu saja, jika sudoerskonfigurasi berbunyi "user ALL = (ALL) ALL", tidak sudoakan menawarkan perlindungan tambahan. Namun Anda dapat menentukan daftar perintah istimewa yang harus sering Anda jalankan, seperti menginstal paket baru, dan meninggalkan perintah berbahaya seperti rm.

Dengan cara ini Anda dapat menjalankan semua perintah jika Anda masuk sebagai root, tetapi karena Anda hanya membutuhkan ini sesekali, risiko menjalankan <game ending command>akan berkurang secara substansial.

Sudo itu memungkinkan Anda untuk hanya mengizinkan perintah tertentu bukan satu-satunya manfaat sudo daripada su.

Di sebagian besar toko, itu bahkan bukan manfaat yang paling penting.

Dengan sudo, Anda tahu siapa yang melakukan perintah tertentu.

Sekarang mungkin ini tidak masalah bagimu. Misalnya, Anda mungkin satu-satunya pengguna komputer Anda. Jika demikian, maka sudo mungkin tidak lebih baik dari su.

Tetapi banyak host memiliki lebih dari satu admin.

sudo kemudian menjadi sangat berguna karena jika seseorang melakukan kesalahan, sudo memberi tahu Anda siapa yang melakukannya.

Itu memungkinkan Anda untuk memahami mengapa kesalahan terjadi, dan mendidik orang untuk mencegah kesalahan berulang, atau jika perlu, untuk menghapus alat dari seseorang.

Sebagai bonus, ketika orang tahu bahwa tindakan mereka dicatat, mereka seringkali sedikit lebih berhati-hati.

Sudo tidak sempurna.

Jika dua orang melakukan "sudo sh" pada saat yang sama, maka akan sulit untuk mengaitkan perintah ke satu atau yang lain.

Dan admin jahat selalu dapat menghapus atau mengedit log - meskipun melakukan itu dengan bersih tidak selalu semudah yang dipikirkan orang, terutama jika Anda memiliki logging terpusat.

sudo tidak serta merta menghentikan tindakan bodoh atau jahat, untuk semua alasan yang diidentifikasi dalam pertanyaan awal.

Tetapi itu memberi Anda kesempatan yang jauh lebih baik untuk mencegah terulangnya.