Почему root иногда отсутствует в файле sudoers, по умолчанию или по соглашению?

394
Sparr

Во многих разновидностях Linux и Unix пользователю root запрещено использовать sudo. Почему это? Есть ли какие-либо проблемы с безопасностью в root ALL=(ALL) ALLконфигурации sudoers по умолчанию для некоторых других разновидностей?

0

1 ответ на вопрос

2
Austin Hemmelgarn

Существует две «стандартные» версии /etc/sudoersиспользуемых дистрибутивов Linux. Каждый следует принципу наименьших привилегий и по умолчанию не включает упомянутую вами строку. Другой предпочитает удобство использования и простоту обслуживания, и включает в себя линию, которую вы перечислили выше.

С практической точки зрения, вне очень сильно ограниченных сред, включающих такие вещи, как SELinux, нет никакой разницы в безопасности между двумя версиями, потому что root уже имеет все инструменты, необходимые для олицетворения других пользователей (либо с помощью su, либо с помощью любого другого программного обеспечения, способного звоню setuid()).

Тем не менее, есть административное преимущество в том, что вы можете использовать его sudo -uкак root для олицетворения других пользователей. Поскольку sudoдолжным образом очищает среду и затем следует стандартным процедурам входа в оболочку, использование sudo -uдля олицетворения пользователя позволяет вам более точно воспроизводить проблемы, о которых сообщал этот пользователь, чем вы могли бы просто su, что, в свою очередь, значительно облегчает работу службы поддержки.

Похожие вопросы