Чем плох su в отличие от sudo?

Как минимум тем, что sudoers можно настроить так, что бы позволить пользователю выполнять от рута только ограниченный набор команд.

sudo может работать как su и имеет гибкие настройки, значит sudo лучше. безопасность одинаковая

/thread

он может требовать другой пароль, нежели пароль пользователя? Одним из методов получения доступа к обычному пользователю является узнать его пароль.

может требовать пароль рута, как это делает su

Вопрос надо перевернуть. Чем плох sudo.

Да всем он плох на локалхосте с одним самсебеадмином.

он может требовать другой пароль, нежели пароль пользователя?

stackexchange говорит, что да.

Вся правда про права доступа в linux

Часто злоумышленник может заменить PATH/заалиасить su и получить тот же пароль рута чуть позже.

Периодически проскакивают мнения, что su и ввод пароля рута это менее безопасно, чем sudo.

Потому что 10 обезьян скомпрометируют пароль быстрее, чем одна

Потому, что sudo требует не только shell, но и terminal

Потому, что sudo позволяет дать ограниченный доступ

Потому, что sudo в принципе можно настроить на требование другого пароля

А su предназначен в первую очередь для init скриптов

Но ты можешь продолжать разрушать легенды. Твой локалхост, твои проблемы

В многоквартирном доме можно каждому дать ключ от его квартиры. А можно всем поставить одинаковые замки и просто каждому выдать копию единого ключа.

Вот это тоже проблема.

для ее решения есть gnome-keyring.

На локалхосте su удобней, но и sudo бывает нужен (например, ntfs монтировать/размонтировать). На многоюзверном компе sudo более предпочтителен, т.к. логи есть (хотя, имеющие доступ к sudo bash запросто могут их подчистить).

Потому, что sudo требует не только shell, но и terminal

Ты путаешь с su.

А su предназначен в первую очередь для init скриптов

Ты путаешь с runuser.

Ты путаешь с su.

Нет, ты. man sudoers, /requiretty

Ты путаешь с runuser.

Неа. init скриты запускаются от рута, пароль не нужен ;)

надо сперва получить доступ к обычному пользователю, а затем еще узнать пароль рута

Прочти man pam и man pam_wheel, узнай про возможность вписать auth sufficient pam_wheel.so trust use_uid в /etc/pam.d/su.

если же в системе используется sudo для выполнения привилегированных действий, то достаточно знать пароль обычного пользователя

Прочти man sudoers, узнай про rootpw, targetpw и runaspw.

А зачем тебе su? sudo su уж тогда.

man sudoers, /requiretty

Вот именно, что sudo может требовать терминал, а может и не требовать; su требует терминал всегда.

init скриты запускаются от рута, пароль не нужен

То-то и оно, что скрипты — от рута, а демоны — от соответствующих учетных записей. Впрочем,

If the PAM session is not required then recommended solution is to use setpriv(1) command.

(из man runuser).

sudo su

А смысл?

А хз, то же su, но без пароля рута.

молодой человек, вы пьяны? это двойное богохульство, это вообще против всякой безопасности и не по религии. И вообще, если серьёзно, так опасно писать, вроде как. Точно не помню, но будут последствия.

На локалхосте норм, не бухти.

Не то же.

sudo su уж тогда.

sudo -s уж тогда.

Какой милый топик, «что лучше - теплое или мягкое?»

Тот милый случай, когда с умным видом говоришь глупость!

Тот милый случай, когда с умным видом говоришь глупость!

а зачем вы это делаете? )

а зачем вы это делаете?

Да нет, это ты говоришь глупость. «Тёплое с мягким».

Так и что же лучше - su или sudo? )

Периодически проскакивают мнения, что su и ввод пароля рута это менее безопасно, чем sudo.

Чьи мнения? Местных «экспертов» на дуалбуте Windows-Ubuntu?

Если сервер с одним админом, то «sudo или su» - без разницы , а если у вас стоит Oracle или SAP и админам прикладных систем нужен доступ то тут однозначно ТОЛЬКО sudo. Иначе все поломают

sudo -s уж тогда.

Ну да, так то оно кошерней. Прилепилось это sudo su, дурная привычка.

скорее речь про ключ от подвала или чердака

sudo bash же! :)

Я предпочитаю su и никаких sudoer-ов. Рутовый пароль знает только одно лицо.
На случай непредвиденных обстоятельств копия рутового пароля лежит в сейфе в запечатанном конверте.
Да, это не про localhost.

alias ololo='sudo -u root su -c bash'

Потому, что sudo требует не только shell, но и terminal

То есть pkexec еще лучше?

О! Вот об этом и речь. Su и sudo - это разные команды с разными функциями. Su - это инструмент администратора, любой человек, знающий рутовый пароль, по факту - администратор.

A sudo - это инструмент пользователя, даже если они где-то пересекаются с su и оба предназначены для повышения привилегий. Поэтому сравнивать sudo и su - все равно что молоток с отверткой или теплое с мягким.

stackexchange

Специалиста видно сразу.

даже если они где-то пересекаются

Он не «где-то пересекаются», они очень пересекаются.
И вот поэтому сравнивать их между собой совсем не то, что сравнивать:

молоток с отверткой или теплое с мягким.

Он не «где-то пересекаются», они очень пересекаются.
И вот поэтому сравнивать их между собой совсем не то, что сравнивать:

Вы мне свою субъективщину не навязывайте, мне моей достаточно ) «очень перескаются», «не очень пересекаются»... )

Если вы в состоянии забить винт молотком или гвоздь отверткой, это не значит что одно из них хороший инструмент, а другое плохой ) Главное чтобы вам нравилось и вы чувствовали себя в безопасности )