Do ponto de vista de segurança, devo adicionar meu usuário ao arquivo sudoers ou não? [fechadas]

0

Gostaria de saber qual é a melhor prática do ponto de vista de segurança: devo adicionar meu usuário ao arquivo / etc / sudoers no computador de usuário único ou simplesmente deixar o% sudo lá?

Isso causaria algum problema ou eu teria que abrir o console como root toda vez que eu executar algo que requeira privilégios de root?

Estou usando o Debian 9.1 com o KDE.

    
por mYnDstrEAm 31.07.2017 / 18:43

4 respostas

0

Ok, agora aprendi que é melhor simplesmente não criar uma conta raiz durante a instalação. Simplesmente deixe a senha de root vazia como explicado no instalador. (Não é necessário editar o arquivo sudoers depois). Em seguida, use os comandos sudo e sudo -i para qualquer coisa que exija privilégios de root.

    
por 04.08.2017 / 03:46
2

Como uma perspectiva de segurança, não há diferença entre definir um único usuário no arquivo "sudoers" ou adicioná-lo a um grupo como "sudo". No entanto, o padrão e a melhor prática é adicionar quem precisa emitir sudo para o grupo "sudo" ou "roda" em diferentes distribuições.

Quando devo adicionar um único usuário ao arquivo "sudoers"? quando esse usuário específico precisar de algumas permissões específicas, por exemplo, ele só poderá executar um comando específico de uma máquina específica sob o usuário "john" sem a necessidade de fornecer sua senha.

Agora vamos dizer que temos muitos usuários e todos eles precisam do mesmo privilégio sudo padrão, não é lógico adicionar todos eles um por um ao arquivo sudoers, certo? o que devemos fazer é adicionar todos eles ao grupo "sudo".

no entanto, no seu caso, apenas um usuário não é diferente, se você quer ser capaz de executar comandos usando sudo , então adicione o seu self ao grupo "sudo":

sudo gpasswd -a username sudo
    
por 31.07.2017 / 18:56
1

Não é um problema de segurança.

sudo é apenas o caminho para um administrador ter acesso root rápido sem usar um shell de root.

Usar o shell de root o tempo todo é perigoso, a seguir estão algumas razões.

Você está logado como root = todos os aplicativos estão sendo executados com privilégios de root - cada vulnerabilidade no Firefox, Flash, OpenOffice, etc. agora pode destruir o seu sistema, porque possíveis vírus agora têm acesso em todos os lugares. Sim, existem apenas alguns vírus para o Ubuntu / Linux, mas também por causa da boa segurança e do usuário padrão sem privilégios. Não é só sobre vírus - um pequeno bug em um aplicativo pode apagar alguns arquivos do sistema ou ...

Quando você está logado como root, você pode fazer tudo - o sistema não perguntará! Você quer formatar este disco? Ok, apenas um clique e pronto, porque você é root e sabe o que está fazendo.

Assim, sudo foi criado, para que quando o acesso root for necessário, seja apenas o comando que você usa sudo com, que obtém acesso root, você não estará permanentemente usando o shell de root. p>     

por 31.07.2017 / 19:00
0

É a "melhor prática" ter que emitir o sudo para executar comandos elevados.

Evita a tendência de executar um shell com privilégios de root e executar tudo lá. Isso permitirá que qualquer comando seja executado como root, mas também como perigosos. Com sudo, você tem que fornecer a palavra sudo, o que significa que esse comando receberá mais atenção, serve como um aviso para você mesmo.

Você não precisa fazer nada adicional para obter a separação de privilégios.

O uso do sudo evitará que usuários normais executem comandos nos diretórios /sbin e /usr/sbin e alguns outros sbin .

Por exemplo, fdisk está em /sbin , se pode ser usado para listar detalhes de partições, mas também pode ser usado para alterar essas definições de partição (em essência), destruindo todos os dados do disco. Claramente não é um comando que todos deveriam usar.

Um usuário normal verá isso:

$ fdisk
sh: 1: fdisk: not found

Quando realmente fdisk existe dentro de /sbin as /sbin/fdisk .

Se esse usuário tiver privilégios suficientes com o sudo, ele poderá:

$ sudo fdisk -l

para realmente executar o programa (-l listará apenas as partições, nada perigoso se você tentar).

    
por 31.07.2017 / 22:54