使用sudo还是su？其中的安全隐患要如何掌控？

蛮多肉

1.sudo 就相当于windows7里面那条，以系统管理员运行该程序，但仅仅是执行，但linux又有点不同的，要以系统管理员执行程序的话，首先要需要在/etc/soduers中给相关用户授权，并且linux可不只是执行程序这么简单，他可以查看普通用户无法查看系统文件等等的权限。就这点而言，我认可windows的做法

su     就相当于windows系统下的用户切换，但两者又有点不同，windows无论是管理员还是普通用户，切换到任何用户都需要使用密码，
而linux下的root却被程序猿美化到极点，无需知道普通用户的密码直接切换。相对而言，我还是认可windows的做法。


2.两者什么情况下用，对于安全性非常谨慎的童鞋，两者都有自己不利的地方，赋予了某个普通用户的sudo权限，他的权限其实并不比root小多少，你root能干的事，赋予了sudo权限的用户他绝大部分也能做，然后把超级管理员密码公之于众的作法更是扯淡的作法，出l问题，没有一个人会承认。
如果可以，一个服务器，一个管理员，一个账号，有问题，追究责任更清楚明白。没必要开放那么多特权给和这台服务器没有多大关系的人。不是每个人都那么有安全意识，特权账号越多，安全性就越低，你懂的

大家探讨,对事不对人,请多指教!欢迎纠错!

红一 sudo 配置用户有权限看,用户就可以看,配置用户没权限看,用户sudo也无法看

红二 sudo 配置用户需要密码切换,用户就得需要密码才能切换,反之依然

蛮多肉

1、su和sudo都可能带来哪些安全隐患？
在我看来这些都有隐患，当然最大的隐患就是让用户取得root权限，可以为所欲为。所以都需要设置一定的规则来规避这些东西。比如说使用su的话，无可避免的需要多个人知道root密码，这肯定不安全。所以另外一套机制来监控谁使用su到root，然后root只会又做了些什么，这样子算是一个比较可以的监控机制。对于sudo，限制sudosudo,sudo su , shellescape等等的使用，只对某个组或者某个用户开放sudo su的权限，或者根本不开放。根据用户的需要开放对应的命令，比如说管理ID的一般就是useradd , userdel, usermod之类的命令，其他不关的一概！掉。

2、你在实际工作中，是使用sudo更多一些还是su更多一些？
其实我是使用sudo多，因为使用su非常麻烦。如果要保证su - root的安全，除了要记录谁使用su，还有root之后的操作，还需要及时修改root密码，特别是每当有人离职的时候，更是需要修改root密码，所以最好是做到每次有人logout root就修改密码。

3、你希望sudo进入基本系统吗？
在我看来sudo还是比较安全一点，可以有sudo log来记录sudo 情况，还可以限制sudo 命令的使用。

4、什么样的场合需要多人共用root密码？
应该没有吧。除非都是老板，觉得每次都要敲sudo 好麻烦，那就都使用su 吧

5、其他你认为su和sudo的优缺点。
su明显方便一点，但是sudo会更加便于管理和监控

红一: 常用的可以alias

1. alias sc        sudo shutdown -p now
   
2. alias sr        sudo reboot
   
3. alias se        sudo emacsclient -t
   

复制代码

蛮多肉

bash 下 sudo 执行 alias 命令

配置起来比csh 要方便

.bashrc 里面加入 alias sudo='sudo ' 就行

FreeBSD10.1下 csh 如此配置 就无效

woxizishen

回复 11# 蛮多肉



1.sodu和su不是一个东西，楼主讲的切换是su，不是sodu。


2.另外sodu的权限确是非常大的，除非做了限定，否则我能在普通用户模式下生效相关配置文件，而在windows下是不可能的，windows下必须输入管理员密码。
不过相比2者而言，su我是不赞成使用的，告诉所有人管理员密码，是不安全的。我最后的建议方式是一台服务器，一个管理员，一个账号，可以避免很多问题。

rover12421

1、su和sudo都可能带来哪些安全隐患？
su,sudo都是执行都带root权限,很多公司都是开发人员部署业务环境的,根本不理解linux权限管理.
他们宁愿使用root登录,也不愿意遇到权限这等让他们头疼的问题,估计是windows用习惯了.我就接触过很多这样的开发人员.
不管是su还是sudo,都是可以篡改其他用户数据的,这个风险其实是很大的,所以宁可麻烦,也不要给不熟悉,不是核心人员su或sudo权限的账号,尤其是线上服务器的.隐约可以想到同城的悲剧.

2、你在实际工作中，是使用sudo更多一些还是su更多一些？
使用sudo更多,能用sudo解决的,觉不用su.而且很少使用`-s`,`-i`参数

3、你希望sudo进入基本系统吗？
当然希望

4、什么样的场合需要多人共用root密码？
很少吧.真正的业务服务器基本没这个需求.严格一点的,连sudo权限也不给的.

5、其他你认为su和sudo的优缺点。
`话题背景`里基本都说了,我再啰嗦下.
su直接切换到root账号下,以后所有命令都是root账号执行.优点就是一次切换,以后就不用考虑是不是root权限的问题.
sudo -s, -i 和此类似. sudo就是要提醒用户,正在使用root权限执行命定,但是用了 -s,-i之后,这个特性就没了.
这也是个人不喜欢使用sudo -s,-i,的原因.虽然他一次切换root权限下,以后的命令都可以不用加sudo了,但是也带来了一个隐患,有时候没注意,
就把不需要root权限执行的命令也再root权限下执行了.尤其是使用了zsh的某些设置,没有明显的root,非root权限的显示.
使用sudo也遇到一些问题,sudo -s会加载当前环境配置,如果直接用sudo执行一些当前环境下的一下命令,会提示找不到命令,这时候只好用`sudo -s`再执行命令,这点就感觉挺麻烦的,
不知道是不是还有其他参数可以解决该问题.

lsstarboy

回复 14# woxizishen


   

我最后的建议方式是一台服务器，一个管理员，一个账号，可以避免很多问题。

服务器上这种环境应该非常少吧？有很多时候是需要协作的。

lsstarboy

回复 15# rover12421

使用sudo也遇到一些问题,sudo -s会加载当前环境配置,如果直接用sudo执行一些当前环境下的一下命令,会提示找不到命令,这时候只好用`sudo -s`再执行命令,这点就感觉挺麻烦的,
不知道是不是还有其他参数可以解决该问题.

  

是相对路径的问题吗？用sudo的时候，最好用绝对路径。

蛮多肉

回复 14# woxizishen

rover12421

回复 17# lsstarboy


    不是相对路径问题,是sudo账号配置的环境命令,使用sudo会找不到.比如,Ubuntu的登录账号,默然会把`ll` alias 到'ls -l',如果用`sudo ll` 就会提示找不到命令.
再比如,配置好android环境,就能执行`adb`,`aapt`等一系列命令,这些环境配置写在`/etc/profile`,`/etc/bash.bashrc`下,但是用'sudo'执行就会找不到命令. 我用的是`UBUNTU`,不知道其他发行版本是不是也是这样

rover12421

回复 16# lsstarboy


    Docker 是一个很好的解决方案