linux – “sudo su – ”被认为是一种不好的做法吗？

背景

我知道su –,sudo su – 和sudo< command>之间的区别：

> su – 将用户切换到root,需要root密码
> sudo su – – 将用户切换到root,只需要当前用户的密码
> sudo< command> – 仅为特定命令授予root访问权限;仅需要当前用户的密码

我的问题是关于是否使用sudo su – 在生产环境中是一种安全的做法.

一些想法：

>似乎允许sudo su – 通过根据个人用户密码访问root帐户而带来安全风险.当然,这可以通过强制执行严格的密码策略来缓解.我不认为su – 更好,因为它需要管理员共享实际的root密码.
>允许用户完全切换到root帐户会使跟踪谁更改系统变得更加困难.我在我的日常工作中看到了多个用户获得sudo su访问权限的案例.在开始工作之前,用户在登录系统时所做的第一件事就是运行sudo su – .然后,有一天会出现故障,并且无法追踪到谁在错误的目录中运行rm -rf *.

问题

鉴于上述问题,允许用户使用sudo su甚至su – 是否是一个好主意？

管理员是否有任何理由为sudo su或su配置用户帐户,而不是sudo< command> (除了懒惰)？

注意：我忽略了当root用户禁用直接ssh访问时,运行sudo su或su的用户是管理员需要进行系统更改的情况.

解决方法

让我们来看看你的情况：

su -

将使用root环境以root用户身份运行/ bin / sh.需要root密码,并且可以根据syslog设置记录日志记录(通常默认为/var/log/auth.log).

sudo /bin/sh

将使用当前的一组环境变量以root用户身份运行shell(有一些例外,如sudoers文件中所定义).密码是源用户密码,而不是root用户密码. sudo通常是记录的.

sudo su -

将以root用户身份运行shell(通常为/ bin / sh)以root用户身份设置环境.这将需要源用户的密码,这通常会被记录.

有时需要在自己的环境中拥有根环境,因此su是一种合适的方法.请记住,在任何一种情况下,sudo仍会记录shell命令的使用.

linux – “sudo su – ”被认为是一种不好的做法吗？

解决方法

相关文章