Negatif / kerugian dari pengaturan sudo tanpa-root Ubuntu

Secara default, Ubuntu tidak membuat akun root yang dapat diakses pengguna. Sebagai gantinya pengguna menggunakansudo ketika mereka perlu melakukan tindakan yang memerlukan akses administratif.

Jelas, orang-orang di Ubuntu merasa ini adalah ide yang bagus, dan semua yang saya baca di situs Ubuntu memberikan banyak alasan mengapa mereka berpikir itu ide yang bagus (lihat RootSudo @ the Ubuntu Wiki , misalnya).

Namun, banyak distribusi utama lainnya, seperti Debian, Gentoo, dll. Tidak mengatur semuanya dengan cara ini secara default, dan saya mencoba mencari tahu mengapa. Jika pengaturan default sudo-root Ubuntu adalah ide yang bagus, mengapa tidak semua distro utama lain melakukannya juga? Ini membuat saya percaya bahwa mungkin ada alasan kuat untuk TIDAK mengaturnya dengan cara ini; tapi saya kesulitan menemukan apa pun yang memberikan detail tentang ini. Yang saya temukan hanyalah artikel / posting yang berbicara tentang betapa hebatnya ...

Jadi pertanyaan saya adalah: Apakah ada masalah besar dengan pengaturan sudo Ubuntu (rasa tidak aman, keterbatasan fungsional, dll.) Yang mencegah distribusi lain dari menggunakan pengaturan ini, dan jika demikian, apakah itu? Tentu saja, itu mungkin hanya ide bagus bahwa distro lain lambat untuk digunakan, atau tahan karena berbeda dari cara kerja selama 30 tahun terakhir. Jika itu masalahnya, saya ingin mengetahuinya.

Satu-satunya kelemahan non subjektif yang saya tahu jika adalah bahwa ketika pengguna root tidak memiliki kata sandi mengatur itu memungkinkan akses ke mode pengguna tunggal tanpa kata sandi.

Mesin yang benar-benar aman akan berada dalam wadah terkunci, boot dari media yang dapat dilepas dinonaktifkan, kata sandi BIOS diatur untuk mencegah perubahan, kata sandi bootloader ditetapkan untuk mencegah cmdline booting kernel tidak diubah (jadi tidak ada penambahan init=/bin/sh), dan kata sandi akan menjadi diperlukan untuk mengakses mode pengguna tunggal.

Ketika Anda menggunakan vi alih-alih visudo untuk mengedit / etc / sudoers pada sistem jarak jauh dan mengacaukan sintaks, Anda tidak dapat lagi sudo, atau menggunakan su karena tidak ada set kata sandi root.

Saya sudah melakukan ini. Saya telah belajar dari ini. Itu terbakar. :-)

Pada dasarnya, sudo memberi Anda hak administratif. Jika Anda tidak memiliki akun root, dan pengguna sudah ALL=(ALL) ALLmasuk /etc/sudoers, maka pengguna Anda adalah pengguna super. Ini tidak disarankan karena Anda dapat menjalankan perintah dengan hak administratif menggunakan sudodan kata sandi pengguna ANDA.

Administrator HARUS mengkonfigurasi sudountuk mengakui beberapa perintah untuk pengguna, tetapi beberapa tugas administratif roothanya akan , jadi rootadalah superuser nyata .

Masalah sebenarnya adalah hak istimewa adalah hak istimewa. Sistem paling aman hanya akan memiliki 1 pengguna super, dan itu root.

Lihat ini

Di distro lain yang Anda sebutkan, disarankan untuk membuat (atau lebih tepatnya tanda komentar) pada baris /etc/sudoers, yang memberikan wheelakses tidak terbatas pada grup , dan kemudian menambahkan diri Anda ke grup itu.

Ini tidak hanya eksklusif untuk Linux, tetapi juga standar pada * BSD, dan saya percaya bahkan pada Mac OS X (tidak yakin tentang yang terakhir, karena saya tidak menggunakan Mac secara teratur).

Saya menduga sebagian besar masalah kelembaman. Sekali waktu, sudoperintah itu tidak ada, jadi akun root harus dikonfigurasi dengan kata sandi. Menurut "Sejarah Singkat Sudo" , yang dirujuk dari artikel Wikipedia ini , sudopertama kali diterapkan sekitar tahun 1980, tetapi mungkin tidak menyebar luas sampai tahun 1990-an.

Mungkin masih ada kecenderungan untuk melihat sudosebagai kenyamanan tambahan, bukan sebagai sesuatu yang harus menjadi inti dari bagaimana sistem dikelola.

Seperti yang ditunjukkan oleh mattdm, pertanyaan ini (sebagian besar) sudah dijawab di sini: Mana cara teraman untuk mendapatkan privilege root: sudo, su atau login?