以下是切换到 Linux sudo 命令的五个安全原因。下载 sudo 参考手册获取更多技巧。
来源: https:// linux.cn/article-14634- 1.html
作者:Seth Kenlon,译者:MjSeven
以下是切换到 Linux sudo 命令的五个安全原因。下载 sudo 参考手册获取更多技巧。
在传统的 Unix 和类 Unix 系统上,新系统中存在的第一个同时也是唯一的用户是 root 。使用 root 账户登录并创建“普通”用户。在初始化之后,你应该以普通用户身份登录。
以普通用户身份使用系统是一种自我施加的限制,可以防止愚蠢的错误。例如,作为普通用户,你不能删除定义网络接口的配置文件或意外覆盖用户和组列表。作为普通用户,你无权访问这些重要文件,所以你无法犯这些错误。作为系统的实际所有者,你始终可以通过 su 命令切换为超级用户( root )并做你想做的任何事情,但对于日常工作,你应该使用普通账户。
几十年来, su 运行良好,但随后出现了 sudo 命令。
对于日常使用超级用户的人来说, sudo 命令乍一看似乎是多余的。在某些方面,它感觉很像 su 命令。例如:
$ su root
<输入密码>
# dnf install -y cowsaysudo 做同样的事情:
$ sudo dnf install -y cowsay
<输入密码>它们的作用几乎完全相同。但是大多数发行版推荐使用 sudo 而不是 su ,甚至大多数发行版已经完全取消了 root 账户(LCTT 译注:不是取消,而是默认禁止使用 root 用户进行登录、运行命令等操作。root 依然是 0 号用户,依然拥有大部分系统文件和在后台运行大多数服务)。让 Linux 变得愚蠢是一个阴谋吗?
事实并非如此。 sudo 使 Linux 更加灵活和可配置,并且没有损失功能,此外还有几个显著的优点。
为什么在 Linux 上 sudo 比 root 更好?
以下是你应该使用 sudo 替换 su 的五个原因。
1. root 是被攻击确认的对象
我使用防火墙、fail2ban 和SSH 密钥 的常用组合来防止一些针对服务器的不必要访问。在我理解 sudo 的价值之前,我对日志中的暴力破解感到恐惧。自动尝试以 root 身份登录是最常见的情况,自然这是有充分理由的。
有一定入侵常识的攻击者应该知道,在广泛使用 sudo 之前,基本上每个 Unix 和 Linux 都有一个 root 账户。这样攻击者就会少一种猜测。因为登录名总是正确的,只要它是 root 就行,所以攻击者只需要一个有效的密码。
删除 root 账户可提供大量保护。如果没有 root,服务器就没有确认的登录账户。攻击者必须猜测登录名以及密码。这不是两次猜测,而是两个必须同时正确的猜测。(LCTT 译注:此处是误导,root 用户不可删除,否则系统将会出现问题。另外,虽然 root 可以改名,但是也最好不要这样做,因为很多程序内部硬编码了 root 用户名。可以禁用 root 用户,给它一个不能登录的密码。)
2. root 是最终的攻击媒介
在访问失败日志中经常可以见到 root 用户,因为它是最强大的用户。如果你要设置一个脚本强行进入他人的服务器,为什么要浪费时间尝试以受限的普通用户进入呢?只有最强大的用户才有意义。
root 既是唯一已知的用户名,又是最强大的用户账户。因此,root 基本上使尝试暴力破解其他任何东西变得毫无意义。
3. 可选择的权限
su 命令要么全有要么全没有。如果你有 su root 的密码,你就可以变成超级用户。如果你没有 su 的密码,那么你就没有任何管理员权限。这个模型的问题在于,系统管理员必须在将 root 密钥移交或保留密钥和对系统的所有权之间做出选择。这并不总是你想要的, 有时候你只是想授权而已 。
例如,假设你想授予用户以 root 身份运行特定应用程序的权限,但你不想为用户提供 root 密码。通过编辑 sudo 配置,你可以允许指定用户,或属于指定 Unix 组的任何用户运行特定命令。 sudo 命令需要用户的现有密码,而不是你的密码,当然也不是 root 密码。
4.超时
使用 sudo 运行命令后,通过身份验证的用户的权限会提升 5 分钟。在此期间,他们可以运行任何管理员授权的命令。
5 分钟后,认证缓存被清空,下次使用 sudo 再次提示输入密码。超时可防止用户意外执行某些操作(例如,搜索 shell 历史记录时不小心或按多了 向上 箭头)。如果一个用户离开办公桌而没有锁定计算机屏幕,它还可以确保另一个用户不能运行这些命令。
5. 日志记录
Shell 历史功能可以作为一个用户所做事情的日志。如果你需要了解系统发生了什么,你可以(理论上,取决于 shell 历史记录的配置方式)使用 su 切换到其他人的账户,查看他们的 shell 历史记录,也可以了解用户执行了哪些命令。
但是,如果你需要审计 10 或 100 名用户的行为,你可能会注意到此方法无法扩展。Shell 历史记录的轮转速度很快,默认为 1000 条,并且可以通过在任何命令前加上空格来轻松绕过它们。
当你需要管理任务的日志时, sudo 提供了一个完整的日志记录和警报子系统,因此你可以在一个特定位置查看活动,甚至在发生重大事件时获得警报。
学习 sudo 其他功能
除了本文列举的一些功能, sudo 命令还有很多已有的或正在开发中的新功能。因为 sudo 通常是你配置一次然后就忘记的东西,或者只在新管理员加入团队时才配置的东西,所以很难记住它的细微差别。
putty对Linux上传下载文件或文件夹
putty是一个开源软件,目前为止最新版本为0.70。对于文件或文件夹的上传下载,在Windows下它提供了pscp和psftp两个命令。pscp在命令提示符中使用,只要putty(ssh)能够远程,就能使用该命令。
sed 和 awk,所有的 Linux 管理员都应该会的技能!
我曾经有一次在 Reddit 看到一个帖子。这是一个很简单的需求,就像我们常用 Unix 的人每天遇到的一样。他的问题是,如何删除文件中的重复行,只保留不重复的。 这听起来似乎很简单,但是当文件足够大时,就会有些复杂。
在linux上部署自己开发的web项目
相信有很多做开发的小伙伴和我之前一样,只会在windows环境下,利用开发工具开发运行web项目,但是却不知道怎么把开发好的项目部署到linux服务器上去,并能够外网访问,这里是我自己摸索总结的过程
w3m浏览网页_linux在命令符界面如何浏览网页
w3m是个开放源代码的命令行下面的网页浏览器。 它支持表格、框架、SSL连线、颜色。如果是在适当的terminal上,支持多种操作系统,在命令行终端可以很好的支持中文。即使在没有鼠标支持的情况下也可以检查网页的输出。本文列出常用的快捷键。
Linux运维:mysql数据库的备份与恢复
运维工程师的日常工作需要对各种数据进行备份,其中数据库数据的备份当属重点之一,为了方便管理,选择哪种备份方案是很重要的。全量备份就是指对某一个时间点上的所有数据或应用进行的一个完全拷贝
linux系统启动过程
首先计算机之中在主板上,有一个东西叫ROM(Read Only Memor),在ROM上固话了一些程序,被称为BIOS(基本输入输出系统),由于系统刚刚启动时处于实模式,关于什么是实模式,以及保护模式
Linux下4种禁用Root登陆的方法,你掌握了哪几种呢?
我们都知道 Linux 下 Root 用户的权限是最大的,因此一般不推荐直接使用 Root 用户操作。通常都是使用普通用户,在必要时通过 Sudo 命令来提权。在 Ubuntu 中,更是直接把 Root 用户直接禁用了。那么如何在 Linux 中禁止Root 登陆呢?今天,我们就来介绍几种常用的方法。
安全强化你的Linux服务器的七个步骤
这篇入门文章将向你介绍基本的 Linux 服务器安全知识。虽然主要针对 Debian/Ubuntu,但是你可以将此处介绍的所有内容应用于其他 Linux 发行版。我也鼓励你研究这份材料,并在适用的情况下进行扩展。
处理Linux文件的3个技巧
Linux 提供了许多用于查找、计数和重命名文件的命令。这有一些有用的选择。Linux 提供了多种用于处理文件的命令,这些命令可以节省你的时间
如何查看Linux哪些用户拥有sudo权限
本教程将讲解如何查看Linux用户是否有sudo权限。您还将学习如何查看Linux系统上的所有sudo用户。如何查看Linux哪些用户拥有sudo权限
内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!