¿Cómo es más seguro sudo que usar directamente su si el usuario tiene acceso a todos los comandos?

Así que he estado leyendo las diferencias entre el uso de suy sudo, y todos parecen estar de acuerdo en que el sudoenfoque es más seguro que permitir el acceso a la cuenta raíz. Dicen que con la cuenta raíz puede romper todo el sistema con solo un comando. Esto lo entiendo. PERO el usuario inicial creado en el sistema también tiene acceso a todos los comandos usando sudo. Esto lo puedo descubrir corriendo su -l. Si este es el caso, entonces simplemente puedo correr sudo <game-ending command>para arruinar mi sistema. Entonces, ¿cómo es este enfoque mejor o más seguro que permitirme el acceso directo a la cuenta de superusuario? Puedo ejecutar los mismos comandos ...

¿Es porque al usar sudola línea de comando le digo explícitamente a la computadora que creo que sé lo que estoy haciendo? ¿Creen que las personas olvidarán que están bajo la cuenta de superusuario a menos que lo digan explícitamente?

Las personas también afirman que si el sistema fuera comprometido e ingresado por alguien extranjero, estar bajo la cuenta raíz les permitiría hacer cosas terribles en mi sistema. Pero me parece que si ya tienen acceso a mi cuenta y conocen mi contraseña, pueden hacer estas mismas cosas terribles usando sudo e ingresando mi contraseña, ya que ni siquiera necesitan saber la contraseña del superusuario. ¿Qué no voy a llegar aquí?

Personalmente, no necesariamente lo considero más seguro y la mayoría de los beneficios (de sudo) están en un sistema multiusuario. En un sistema de usuario único, probablemente sea un lavado.

Los beneficios son (sin ningún orden en particular):

• sudo tiene un registro superior. sudo registra cada comando.
• sudo permite un control de grano más fino. Uno puede configurar sudo para dar acceso de root a algunos pero no a todos los comandos.
• sudo usa la contraseña de inicio de sesión. Esto protege el tener que dar la contraseña de root (como lo haría con su) y está relacionado con el punto anterior con respecto al control / acceso más fino a root.
• En Ubuntu, por defecto, la cuenta raíz está bloqueada. Esto disuade a los crackers de iniciar sesión (remotamente a través de say ssh), tienen que adivinar tanto un nombre de usuario como una contraseña. Si la cuenta raíz no está bloqueada, como es el caso con su, entonces solo necesitan descifrar la contraseña de root.
• sudo -ies probablemente el mejor método para aislar las variables ambientales de la raíz de su usuario. Esto surge de vez en cuando pero es moderadamente esotérico. Ver https://help.ubuntu.com/community/RootSudo#Special_notes_on_sudo_and_shells
• algunas personas sienten que tener que escribir sudo antes de cada comando que desean ejecutar como root o tener tiempo de espera de sudo les permite detenerse y pensar con mayor claridad y reduce sus errores o ejecutar comandos erróneos. Si hacerlo te ayuda, eso también sería un beneficio.

Probablemente hay más beneficios, pero, esos son los principales, en mi humilde opinión.

Ver también: https://help.ubuntu.com/community/RootSudo

Para tratar de responder algunos de tus otros pensamientos:

• No hay nada en su o sudo que le impida ejecutar código malicioso siempre que conozca la contraseña. Tampoco es más seguro o mejor.
• Los crackers pueden obtener acceso a shell a través de varios métodos. Cuando vea "ejecutar código arbitrario" en un aviso de seguridad - https://usn.ubuntu.com/usn/ - eso significa que un cracker puede ejecutar / bin / bash o cualquier otro código. Por lo tanto, un cracker, a través de varios exploits, puede obtener acceso a shell sin conocer su nombre de usuario o contraseña. Ni sudo ni su ayudan con esto.
• Si un cracker tiene acceso de shell, puede causar mucho daño sin acceso de root. Por ejemplo, el ransomware que cifra todos sus datos personales.
• Si un cracker tiene acceso de shell a una cuenta con acceso de root, a través de su o sudo, el cracker puede obtener acceso de root a través de varios métodos más allá del alcance de esta discusión. Ni sudo ni su son superiores a este respecto tampoco.

Entonces, si bien ha observado problemas o fallas con sudo, su tiene exactamente las mismas vulnerabilidades y su no es superior a sudo en esos aspectos, en mi humilde opinión

Imagina que tienes 20 minutos para hacer algo complejo. Tienes un poco de resaca y tienes que apurarte. "Vamos a usar su", dices. "Ahorrará algo de tiempo" es su razonamiento.

Por accidente escribes

rm -rf /*

en lugar de

rm -rf ./*

Su sistema ahora se está bloqueando y tiene 10 minutos hasta su fecha límite.

Si elige explícitamente cuándo necesita root, puede minimizar la posibilidad de que esto suceda. Es posible que no se necesite la raíz, rm -r ./*¿por qué usarla? ¿Por qué correr el riesgo?

Eso es lo que significa "seguridad" aquí. Minimizar el riesgo de que los usuarios (todos los usuarios, no solo los principiantes) cometan un error fatal.

Por supuesto, este es un ejemplo extremo que no debe permitirse que ocurra en un entorno de producción (garantizo que ha sucedido en un entorno de producción).

En cuanto a la seguridad, hay algunas cosas para las que también es mejor sudo. Como dice @Panther : registro, restricciones, la contraseña de root es SPOF, etc.)

Quiero agregar un poco de perspectiva histórica a las otras respuestas. Desafortunadamente, no tengo ninguna fuente lista excepto mis propios recuerdos de las discusiones de Usenet y artículos de revistas.

Hace algún tiempo, en la década de 1990, las distribuciones facilitaban la instalación de Linux en su propio hardware, incluso con poco conocimiento de la computadora. Por lo tanto, Linux comenzó a atraer a más y más personas que sorprendentemente no habían sido perforadas previamente como administradores de sistemas en algún dialecto UN * X. En cambio, muchos se usaron para sistemas (de un solo usuario) como Windows 95/98. Y aprendieron que la mayoría de las tareas de administración del sistema Linux hacían necesario trabajar bajo esa extraña cuenta "raíz".

Por lo tanto, algunos usuarios simplemente iniciaron sesión como root y usaron esa cuenta para todo su trabajo diario. ¿Por qué deberían tener que escribir suy la contraseña de root una y otra vez o iniciar sesión en un nuevo tty solo para algunos comandos de administración? Pero usar root para todo, por supuesto, no es una buena idea, ya que podría hacer mucho más daño a su sistema con un comando poco consciente en el lugar equivocado. Esto incluso llevó a alguna distribución (¿era SuSE?) A modificar el fondo del escritorio para que el usuario root mostrara una gran advertencia de que debería usar esa cuenta solo para tareas administrativas.

Entonces, la forma de Ubuntu sudotiene algunas ventajas (además de las que ya figuran en Panther ).

• No se puede iniciar sesión directamente a la raíz account.² :-)
• El proceso de instalación no le pedirá una contraseña raíz (adicional), solo necesita una contraseña (de su usuario).
• sudoalmacena en caché sus credenciales, por lo que para varios comandos de administración en secuencia, solo tiene que ingresar su contraseña una vez (en contraste con su). Esto reduce la necesidad de abrir un shell o una nueva terminal con privilegios de root .
• Y hace que sea más fácil decirle a los usuarios en línea y en la documentación qué comandos tienen que ingresar como administrador y cuáles no.

¹ Y para aquellos que no se atreven a hacerlo ellos mismos, hubo fiestas de instalación.
² Pero puede usar un comando como sudo -io sudo su - rootpara obtener un shell raíz después de iniciar sesión como usuario normal.
³ Pero usted sabe, por supuesto, que no debe simplemente copiar y pegar comandos de Internet , ¿verdad?

Ha sido posible deshabilitar el inicio de sesión raíz a través de ssh durante décadas. La forma de Ubuntu de deshabilitar la cuenta raíz y hacer que la gente sudo todo no es más que un truco. Simplemente "sudo -s" y tienes un shell raíz. Deshabilite el inicio de sesión raíz a través de ssh y déjelo allí.

Dependiendo de la configuración, sudo <game ending command>no necesariamente funcionará. Por supuesto, si la sudoersconfiguración dice "usuario ALL = (ALL) ALL", sudono ofrecerá protección adicional. Sin embargo, puede especificar una lista de comandos privilegiados que necesita ejecutar a menudo, como instalar nuevos paquetes, y omitir comandos peligrosos como rm.

De esta manera, puede ejecutar todos los comandos si inicia sesión como root, pero dado que solo necesitará esto ocasionalmente, el riesgo de ejecución <game ending command>se reducirá sustancialmente.

Que sudo le permite permitir solo ciertos comandos no es el único beneficio de sudo sobre su.

En la mayoría de las tiendas, ni siquiera es el beneficio más importante.

Con sudo, sabes quién realizó un comando en particular.

Ahora tal vez esto no te importe. Por ejemplo, puede ser el único usuario de su computadora. Si es así, entonces sudo posiblemente no sea mejor que su.

Pero muchos hosts tienen más de un administrador.

entonces sudo se vuelve muy útil porque si alguien hace algo incorrecto, sudo le permite saber quién lo hizo.

Eso le permite comprender por qué ocurrieron los errores y educar a las personas para evitar que se repitan los errores o, si es necesario, para eliminar las herramientas de alguien.

Como beneficio adicional, cuando las personas saben que sus acciones están grabadas, a menudo son un poco más cuidadosas.

El sudo no es perfecto.

Si dos personas hacen "sudo sh" al mismo tiempo, puede ser difícil atribuir comandos a uno u otro.

Y un administrador malintencionado siempre puede eliminar o editar registros, aunque hacerlo limpiamente no siempre es tan fácil como la gente piensa, especialmente si tiene un registro centralizado.

sudo no necesariamente detiene una acción estúpida o maliciosa, por todas las razones identificadas en la pregunta original.

Pero le da una oportunidad mucho mejor de prevenir una recurrencia.