使用sudo还是su？其中的安全隐患要如何掌控？

james90404

认同su多过sudo 不喜欢权限纠缠一起sudo方便是方便之前opensuse下就是sudo输入root密码的方便不用root持续登入状态权限又分明

Shell_HAT

我们这里的Linux/HP-UX/AIX都配的sudo，而且要求配日志：
Defaults logfile=/var/log/sudo.log
方便将来审计

jieforest

对分配的Linux用户，我们一般使用sudo；对于系统维护人员，出于方便，给予的是su。

lsstarboy

回复 32# Shell_HAT


不太懂其他的系统，日志文件可以再配上“不可更改”和“只允许追加”标志，这样就防止日志被改了。   

Shell_HAT

回复 34# lsstarboy

1. chattr +i /var/log/sudo.log
   
2. chattr +a /var/log/sudo.log

复制代码

是这个意思吗？

wsysx

我觉得bz的背景写的就已经很精彩了

su8610

回复 12# 蛮多肉


    其实即使是alias还是不如直接su - 方便，但是sudo还是比较便于管理和规避风险。

su8610

回复 33# jieforest


    我们也是，对于SA会有一个组，这个组允许sudo su ，其他的都禁止。

forgaoqiang

也是 -i 直接相当于切换过去用户 更加方便一些

-i, --login                 run login shell as the target user; a command may also be specified

lsstarboy 发表于 2015-06-26 09:09
回复 5# forgaoqiang

陌路巨额投入

1、su和sudo都可能带来哪些安全隐患？
su的隐患：
       su–运行替换用户和组标识的shell,修改有效用户标识和组标识为USER的，这个有时候会在自己认为修改了的文件，其实在系统退出之后依旧没有修改。      
sudo的隐患：
        1. PATH 被改了，sudo 实际不是 /usr/bin/sudo， (PATH 被改不影响其它程序的路径，因为 PATH 被 sudo 重置了)
        2. $HOME 下配置文件被改了，比如 sudo aptitude 读取的是 普通用户 HOME 目录里配置。 这种攻击方式很不容易考虑到， 如果配置里可以调用其它命令，那就风险更大了。

2、你在实际工作中，是使用sudo更多一些还是su更多一些？
      在工作中，用su比较多些。因为一般都死是使用的user的权限就行，不需要使用超级权限，使用超级权限会导致误操作的话就会产生很大的影响。

3、你希望sudo进入基本系统吗？
        希望，只是对于在使用sudo的时候应该加以限制，或者使用log日志来进行监控。

4、什么样的场合需要多人共用root密码？
        在开通同一个项目开发的时候，项目经理和一些teamleader需要使用吧，还有在系统管理员和运维人员需要公用的。
5、其他你认为su和sudo的优缺点。
       切换用户方便，使用简单。su较sudo更方便，sudo权限更大，隐患更大。