我知道su –,sudo su – 和sudo< command>之间的区别:
> su – 将用户切换到root,需要root密码
> sudo su – – 将用户切换到root,只需要当前用户的密码
> sudo< command> – 仅为特定命令授予root访问权限;仅需要当前用户的密码
我的问题是关于是否使用sudo su – 在生产环境中是一种安全的做法.
一些想法:
>似乎允许sudo su – 通过根据个人用户密码访问root帐户而带来安全风险.当然,这可以通过强制执行严格的密码策略来缓解.我不认为su – 更好,因为它需要管理员共享实际的root密码.
>允许用户完全切换到root帐户会使跟踪谁更改系统变得更加困难.我在我的日常工作中看到了多个用户获得sudo su访问权限的案例.在开始工作之前,用户在登录系统时所做的第一件事就是运行sudo su – .然后,有一天会出现故障,并且无法追踪到谁在错误的目录中运行rm -rf *.
问题
鉴于上述问题,允许用户使用sudo su甚至su – 是否是一个好主意?
解决方法
su -
将使用root环境以root用户身份运行/ bin / sh.需要root密码,并且可以根据syslog设置记录日志记录(通常默认为/var/log/auth.log).
sudo /bin/sh
将使用当前的一组环境变量以root用户身份运行shell(有一些例外,如sudoers文件中所定义).密码是源用户密码,而不是root用户密码. sudo通常是记录的.
sudo su -
将以root用户身份运行shell(通常为/ bin / sh)以root用户身份设置环境.这将需要源用户的密码,这通常会被记录.
有时需要在自己的环境中拥有根环境,因此su是一种合适的方法.请记住,在任何一种情况下,sudo仍会记录shell命令的使用.
