В чём преимущество sudo для одного аккаунта при работе через ssh?

0

2

Я читал уже wiki и форумы по sudo, но пока я не могу понять в чём его преимущество при работе через ssh (я админю свой VPS), если пользователь один - т.е. админ и никого другого пока не будет в ближайшем будущем? Зачем нужно отключать возможность заходить под root через ssh?

Вот мои размышления по поводу sudo:

Рассмотрим случай использования sudo. Допустим, я на сервере делаю вот что:
1. Cоздаю юзера proto-h
2. Добавляю настройки для proto-h в sudoers
3. Потом прописываю всё, что нужно в конфиг sshd - sshd_config.
4. После этого захожу через ssh с авторизацией по ключу и паролю под proto-h.

Теперь мне нужно для каждой операции вводить команды вида:

sudo моя-команда аргументы

А это будет, наверное 99% операций. Но ведь если логиниться как root, всё можно делать проще, без лишней команды sudo.

Рассмотрим основной аргумент за sudo - так безопаснее. Но где безопасность? Если кто-то зайдёт под proto-h, он всё равно сможет сделать почти всё, что может root, ведь, если ограничить доступ для proto-h к только безопасному малому множеству команд, то под этим аккаунтом (proto-h) просто нельзя будет сделать ничего полезного по администрированию сервера.

Где провтык в моей логике и в чём действительно преимущество?

Ссылка

←	странная реакция X на вкл. CONFIG_SND_HDA_CODEC_HDMI

Трабл с google chrome

→

Это тема для холиваров. Как вам удобнее, так и делайте. При логине по ключу уже не так важно, чтобы был запрещён логин root'а, пароль к которому пытаются подобрать боты.

это будет, наверное 99% операций.

Это как настроить систему. Например, proto-h можно разрешить читать логи и ещё какие файлы. root нужен для внесения изменений в настройки, а операции по анализу состояния системы можно делать и без root.

mky ★★★★★
(05.05.15 06:45:15 MSK)

Ссылка

не путай теплое с мягким авторизацию конкретного демона и права доступа. Рассмотрим оба случая. 1 при подборе пароля бот с уверенностью знает что у тебя точно должен быть пользователь рут, для наглядности проанализируй свой лог, наверное 80% подборов будет именно с этим пользователем. Если у тебявключена авторизация по ключу, как выше было описано то все подборы сводятся к нулю, но это не означает что у тебя отключена авторизация по паролю, а это опять же ставит твою машинку под угрозу подбора пароля. 2. Если злоумышленник попадает в систему под рутом он уже знает что он может делать все, при использовании судо пользователь сможет делать только то что ты ему розрешишь. Я всегда и везде просто отключаю пользователя рут, чтоб его даже в системе небыло, при подборе пароля угадать имя твого пользователя отличное от рута сводится к почти нулю.

CHIPOK ★★★
(05.05.15 07:10:52 MSK)

без лишней команды sudo.

sudo -s

surefire ★★★
(05.05.15 09:07:19 MSK)

Ответ на: комментарий от surefire 05.05.15 09:07:19 MSK

sudo -i

man sudo

anonymous
(05.05.15 09:22:02 MSK)

А зачем вообще эта sudo? Че бы не: «su <пользак>» и вывалиться обратно по Ctrl+D?

deep-purple ★★★★★
(05.05.15 09:28:09 MSK)

Ссылка

Зачем нужно отключать возможность заходить под root через ssh?

Потому-что заходить под root по ssh не нужно. А еще ты можешь посмотреть все команды которые выполнялись в auth.log.

anonymous_sama ★★★★★
(05.05.15 09:36:10 MSK)

Ссылка

Я вообще иной раз делаю ssh root@host (естественно, ssh по паролю запрещен, только по ключу). Ну или ssh host && su -

anonymous
(05.05.15 11:01:51 MSK)

Ссылка

Подразумевалось, что пионерам не просто догадаться, что на произвольно торчащем в интернет хосте нужно подбирать пароль именно от proto-h.

eabi ★
(05.05.15 11:28:21 MSK)

Ссылка

Ответ на: комментарий от CHIPOK 05.05.15 07:10:52 MSK

Если у тебявключена авторизация по ключу, как выше было описано то все подборы сводятся к нулю, но это не означает что у тебя отключена авторизация по паролю, а это опять же ставит твою машинку под угрозу подбора пароля.

О, прикольно, забыл про это. Важная штука :)

Я всегда и везде просто отключаю пользователя рут, чтоб его даже в системе небыло, при подборе пароля угадать имя твого пользователя отличное от рута сводится к почти нулю.

А как тогда делать что-то важно, например, менять конфиги grub? Специального юзера завести, наделённого полной властью?

ProtoH
(05.05.15 13:24:38 MSK) автор топика

Ответ на: комментарий от ProtoH 05.05.15 13:24:38 MSK

Переименуй рута в какого-нибудь toor'а. Тупо в /etc/passwd и /etc/shadow

anonymous
(05.05.15 13:49:21 MSK)

Ссылка

Ответ на: комментарий от ProtoH 05.05.15 13:24:38 MSK

у меня есть отдельный пользователь который может все, но по ссх под ним подключится нельзя. Если нужно чет важное сделать то тогда sudo su - superuser и делаю что нужно. Используй директиву AllowUsers чтоб определить кому можно подключатся, смени стандартный порт, поставь Fail2ban и можешь спать спокойно.

CHIPOK ★★★
(05.05.15 16:51:07 MSK)