Apa manfaat sudo dari su?

Apa manfaat sebenarnya yang dicapai Ubuntu (atau turunan Debian) dengan menonaktifkan pengguna root?

Di mana-mana saya membaca, dikatakan untuk mencegah kerusakan yang tidak disengaja bagi pengguna yang tidak berpengalaman. Saya ingin tahu apa sebenarnya, karena sudodapat menjalankan semua perintah (yang saya tahu / gunakan).

Jadi dalam hal apa root dapat menyebabkan kerusakan sedangkan sudotidak bisa?

PS: Saya tahu cara sudokerjanya.

Jadi dalam hal apa root dapat menyebabkan kerusakan sedangkan sudo tidak bisa?

Karena Anda biasanya harus memohon sudosetiap kali Anda ingin melakukan sesuatu yang memerlukan hak istimewa, alasannya adalah bahwa Anda akan "berpikir sebelum melompat", yaitu tidak hanya menempelkan sudo di depan sesuatu tanpa memikirkan perintah apa yang sedang Anda jalankan. akan dilakukan.

Dengan sudi sisi lain, begitu Anda masuk, Anda masuk. Anda memiliki carte blanche (lisensi terbuka) untuk melakukan apa saja, dan alasannya adalah Anda mungkin lupa sejenak bahwa Anda memiliki hak istimewa itu dan jika Anda memiliki Beruntung, jalankan sesuatu yang serius akan mempengaruhi / merusak sistem Anda - jika Anda tidak memiliki hak istimewa, perintah tidak akan melakukan sesuatu yang serius.

IMO keuntungan utama dari sudo atas su adalah bahwa sudo memiliki logging unggul dari perintah apa yang dijalankan dan sudo memberikan kontrol yang lebih baik atas apa yang dapat dilakukan pengguna.

su adalah semua atau tidak sama sekali, tetapi sudo dapat dikonfigurasi untuk memungkinkan akses ke beberapa, tetapi tidak semua perintah.

Lihat https://help.ubuntu.com/community/RootSudo untuk diskusi yang lebih lengkap, termasuk kelebihan dan kekurangan.

su -

Saat masuk sebagai root , tugas apa pun yang Anda mulai, tindakan yang Anda picu, atau peristiwa acak yang disebabkan oleh mengunjungi situs web tertentu, dll. Akan berjalan sebagai pengguna super .

sudo

Saat Anda memanggil sudo , saat Anda menjalankan perintah, hanya perintah itu yang akan berjalan sebagai pengguna super .

Anda akan dimintai kata sandi , sebelum perintah dijalankan. Jadi interaksi pengguna dengan Anda juga diperlukan .

Upaya untuk memohon sudo juga dapat dicatat .

Ini tentang manajemen pengguna / kata sandi untuk sysadmin.

Jika Anda memiliki banyak pengguna, mereka semua harus memiliki akun terpisah dan harus dapat dilacak menggunakan akun tersebut. Ini berarti bahwa orang tidak dapat menyembunyikan identitas mereka. Juga, jika Anda perlu mencabut izin pengguna tertentu, Anda juga tidak perlu mengatur ulang kata sandi root. Memberi setiap orang di lingkungan dengan lebih dari 2 admin, kata sandi root membuat mimpi buruk ketika satu orang berhenti. Anda tidak hanya harus mengubahnya, tetapi mengomunikasikannya, dll. Semua hal ini juga harus terjadi ketika salah satu dari mereka memiliki laptop yang dicuri atau hal-hal seperti itu. Satu akun dengan satu kata sandi per orang membuat administrasi lebih sederhana. Ini mirip dengan filosofi di balik mengapa setiap layanan harus memiliki akun sendiri. Jika satu akun dikompromikan, Anda tidak perlu mengkonfigurasi ulang selusin layanan lain (seperti tugas cadangan) untuk menggunakan akun yang berbeda.

Saya juga merasa nyaman secara pribadi untuk tidak memiliki kata sandi lain untuk melacak, kehilangan, dan berkompromi. Pada RHEL saya secara khusus menonaktifkan akun root setelah mengkonfigurasi sudo jadi saya tidak perlu melacaknya. Sekali waktu seorang pengguna mencetak file sudo, tapi itu bisa diperbaiki dalam mode single-user. (Biasanya, itu biasanya mesin produksi.)

CATATAN: 'sudo bash' akan memungkinkan Anda melewatkan mengetik sudo untuk setiap perintah ...

Saya pikir pertama, kita perlu melihat ke dalam apa yang su dan sudo sebenarnya adalah

su - singkatan Pengguna Pengganti. Anda menggunakan ini untuk beralih ke shell sebagai pengguna lain yang menggunakan kata sandi pengguna itu. Biasa digunakan dengan root. Tidak memerlukan kata sandi saat dijalankan sebagai root.

sudo - memungkinkan pengguna yang diizinkan untuk menjalankan perintah yang ditentukan sebagai pengguna lain. Juga biasa digunakan dengan root. Namun, ini memungkinkan Anda untuk secara khusus mengelola perintah apa yang dapat dieksekusi sebagai penggunaan lain. (Misalnya, Anda bisa memberi pengguna kemampuan untuk menjalankan skrip init.d tetapi tidak ada yang lain.)

Catatan, Anda selalu dapat menjalankan sudo suatau sudo -idan itu akan memberi Anda shell root. Namun, tidak ada kata sandi root berarti tidak masuk langsung sebagai root ... yang berarti tidak ada yang bisa membobol pengguna itu.

EDIT: jadi mungkin jawaban yang Anda cari adalah: tidak memiliki kata sandi root memaksa Anda untuk menggunakan sudo, yang pada gilirannya akan menyelaraskan Anda dengan sudofilosofi yang menyarankan Anda untuk menegakkan kontrol yang lebih besar atas tindakan yang dijalankan sebagai root.

Selain itu ada pertimbangan logging untuk dipertimbangkan antara sudo dan su. Menjadi su hanya melakukan semuanya sebagai root tanpa entri selain satu baris dalam auth log yang mengatakan Anda menjadi root.

Sudo di sisi lain - selalu dicatat sebagai ID pengguna Anda dengan peningkatan priveleesw.

Biasanya, masuk sebagai su lebih mudah saat melakukan tugas administratif. Namun, setidaknya ada satu pengecualian: ketika kepemilikan file penting. Jika Anda membutuhkan pengguna untuk menjadi pemilik file, maka masuklah sebagai pengguna itu dan gunakan sudo untuk donwload atau menyalin file. Contoh sederhana adalah file bookmark dan wallpaper. Jika pengguna tidak memiliki file tersebut, Firefox "Restore" bookmark "From File" akan gagal. Ketika Anda mengatur wallpaper desktop, itu mungkin tidak berfungsi kecuali Anda memiliki file. Terkadang Anda hanya dapat mengatur hak istimewa atau mengaktifkan sebagai file yang dapat dieksekusi, tetapi beberapa pengaturan atau program gagal jika Anda bukan pemilik file.