» »

Zakaj sudo?

Zakaj sudo?

DostMam ::

"Zvezdica27 :: včeraj, 23:25:12
to veš, da si root? To se načeloma odsvetuje... oz. zakaj nalašč delaš to kot root in ne le kot superuser?"

To me je vedno zanimalo: zakaj je dobro stalno tipkati "sudo..., sudo..." namesto se prijaviti kot root in opraviti nalogo?

c3p0 ::

50x napisat sudo, ali enkrat in opravit vse komande, varnostno ni razlike.

kow ::

Ker isto masino lahko uporablja vec ljudi...

https://unix.stackexchange.com/question...

c3p0 ::

Ni nek argument. Kot root se lahko "prijaviš" tudi preko 
sudo -s
. Je to kaj manj varno, kot 50x tipkat sudo? Think not.

kow ::

Argument za: zakaj se ne loginamo kot root. Ce pa je vprasanje kako se izogniti veckratnemu pisanju gesla, je pa to drugo vprasanje.
Lahko si tudi poveca timeout.

eric_cartman ::

Primer - strežniki pri nas.

Testni strežniki - se večinoma stalno prijavljamo notri kot sudo su - root.

PROD strežniki - se prijavljamo kot root le takrat, ko to nujno potrebujemo - nadgradnje v PROD, menjave certifikatov, ... Nikoli nismo pod root-om kar tako. Prevelika nevarnost tega, da kaj zafrkneš v PROD.

sudo je posameznemu userju onemogočen.

Netrunner ::

Ko si konfiguriraš in nastavljaš zadeve na začetku se prijavi kot root, za vsakdanje delo, ko rabiš sem pa tja uredit pa uporaibš sudo. Ali dešal kaj takega, da moraš stalno sudo pisat ?
Doing nothing is very hard to do... you never know when you're finished.

zmist ::

DostMam je izjavil:

"Zvezdica27 :: včeraj, 23:25:12
to veš, da si root? To se načeloma odsvetuje... oz. zakaj nalašč delaš to kot root in ne le kot superuser?"

To me je vedno zanimalo: zakaj je dobro stalno tipkati "sudo..., sudo..." namesto se prijaviti kot root in opraviti nalogo?


Samo hint, sudo napises samo enkrat... `sudo root` ;)

HotBurek ::

Gre za različno kulturo.

sudo uporabljajo tisti, katere je strah, da bodo naredili kakšno napako. In potem to uporabljajo, da se kako zaščitijo.

Tisti, ki pa uporabljamo direktno root, nas ni strah napak, ker vemo, če jo naredimo, kdo jo bo moral popraviti.


Mogoče bi lahko bil zaključek, da so "sudo" uporabniki prestrašeni, počasni in neodgovorni, napram "root" uporabnikom, ki se ne sekirajo za morebitne napake; delajo hitreje, in če gre kaj narobe, to tudi popravijo.


Pa da bo jasno, desktop računalnik uporabljam kot navadni uporabnik, ki ni v root skupini. A če grem spreminjat neke stvar, odprem terminal, su, enter, geslo, enter, cd /, enter, enter, enter, clear, enter, in tu se začne delo.

Dostop do strežnik preko ssh podobno; prijavim se z navadnim uporabnikom, potem pa su, enter, geslo, enter, cd /, enter, enter, enter, clear, enter. Tu se delo na strežniku lahko začne.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

crniangeo ::

Miha, si to ti? :D
Convictions are more dangerous foes of truth than lies.

Invictus ::

Morate pa res delati na nepomembnih zadevah, da ste logirani kot root ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

LeQuack ::

Odvisno ali sebi zaupaš? Pisanje sudo je vedno spraševanje sebe ali si dovoliš izvedbo nečesa. Dejansko sam sebe za dovoljenje sprašuješ, kar je redundantno.
Quack !

GupeM ::

HotBurek je izjavil:

odprem terminal, su, enter, geslo, enter, cd /, enter, enter, enter, clear, enter, in tu se začne delo.

Tip naredi 6 korakov povsem za brezveze (več kot polovica vseh korakov), in trdi, da dela hitro.

Gagatronix ::

HotBurek je izjavil:

odprem terminal, su, enter, geslo, enter, cd /, enter, enter, enter, clear, enter, in tu se začne delo.


Nekdo ni slisal za "sudo su" ;)

kow ::

Predvsem me zanima zakaj 'cd /, enter, enter, enter'?

Zgodovina sprememb…

  • spremenil: kow ()

GupeM ::

Ker je bolj g33ky za videt/prebrat, če to gleda/bere non-tech user. Pol vsi mislijo da je tip l33t h4ckz0r in je to potrebno narediti, da zadeva sploh dela. V resnici pa samo zabija čas, ker ne ve, kaj mora naprej narediti. Root geslo ima pa verjetno 5p0ck, da ni predolgo, hkrati pa ima črke in številke, pa misli da je zato varno.

Zgodovina sprememb…

  • spremenil: GupeM ()

phantom ::

eric_cartman je izjavil:

Primer - strežniki pri nas.

Testni strežniki - se večinoma stalno prijavljamo notri kot sudo su - root.

PROD strežniki - se prijavljamo kot root le takrat, ko to nujno potrebujemo - nadgradnje v PROD, menjave certifikatov, ... Nikoli nismo pod root-om kar tako. Prevelika nevarnost tega, da kaj zafrkneš v PROD.

sudo je posameznemu userju onemogočen.

sudo su - root? WTF?

Drugače je "sudo -s" podobno kot "su", samo bolje počisti environment, "sudo -i" pa je enako "su -". Pisati "su - root" je odveč, ker če ne navedeš uporabnika, je implicitno root. Največja bedarija pa je pisati "sudo su - root". Če že uporabljaš sudo, piši "sudo -i".
~
~
:wq

DostMam ::

Le redki so me razumeli, HotBurek še najbolje. Dejansko gre za neko kulturo, saj je na voljo nešteto howtojev, kjer so navodila podana nekako tako:

sudo md5sum -c owncloud-complete-yyyymmd...
sudo sha256sum -c ownclou...
sudo ...

Zakaj bi naj to bilo bolj varno od:

su -
md5sum -c ...
sha256sum ...
...
exit

Kaj menite, Kow, s tistim "Ker isto masino lahko uporablja vec ljudi...". -nix operacijski sistemi so večuporabniški, to je jasno. Ravno zato se včasih moramo predstavljati kot pooblaščeni uporabnik. Lahko bolj pojasnite zakaj je bolje sudo sudo?

kow ::

Saj sem prilepil link. Admin gre na dopust, zacasno pusti juniorju (njegovemu accountu), da lahko posodobi pakete (sudo yum update ..). Ne rabi mu dati root passworda. Ko pride nazaj, mu pravice odvzame.

Zgodovina sprememb…

  • spremenil: kow ()

DostMam ::

Ta pije vodo. Hvala.

GupeM ::

DostMam je izjavil:

Le redki so me razumeli, HotBurek še najbolje. Dejansko gre za neko kulturo, saj je na voljo nešteto howtojev, kjer so navodila podana nekako tako:

sudo md5sum -c owncloud-complete-yyyymmd...
sudo sha256sum -c ownclou...
sudo ...

Zakaj bi naj to bilo bolj varno od:

su -
md5sum -c ...
sha256sum ...
...
exit

Kaj menite, Kow, s tistim "Ker isto masino lahko uporablja vec ljudi...". -nix operacijski sistemi so večuporabniški, to je jasno. Ravno zato se včasih moramo predstavljati kot pooblaščeni uporabnik. Lahko bolj pojasnite zakaj je bolje sudo sudo?

Saj ni bolj varno samo po sebi. Je pa bolj varno, ker lahko različnim userjem daš različne pravice. V službi imamo na nekaterih mašinah userja, ki nima nobenih pravic, lahko pa s sudo komando izvede restart določenega servicea in to celo brez gesla. Ampak lahko samo ta service restarta in nič drugega.

Če delaš kot administrator na mašini, potem je pogosto lažje, da se prijaviš kot root in narediš kar je za narest. Če imaš za izvest samo eno komando ali dve, jo pač (lahko) izvedeš s sudo. Poleg tega, da se ti ni treba prijavljati v root, je prednost še to, da ti komanda ostane v tvoji zgodovini, ne v zgodovini root userja in jo zato lahko najdeš brez da bi se prijavljal kot root.

Edit:
Pa še tretja stvar: Če recimo pozabiš odprt terminal v katerega si prijavljen kot root in nekdo pride do PC-ja, lahko naredi kar hoče. Če si komande izvajal kot sudo, bi verjetno moral vpisati password (odvisno od timeouta in konfiguracije v sudoers fileu).

Zgodovina sprememb…

  • spremenil: GupeM ()

HotBurek ::

Zakaj "cd /, enter, enter, enter"?

Well, prvi ukaz je jasen. Jst se vedno rad postavim v "/" in delam z absolut pathi oz. od tam štartam. Da bi imel /../../troll.conf je no go.

Enter 3x pa izhaja iz navade, kako preverit in potrdit, da je strežnik živ in daje response. Zakaj ravno enter? Mislim da od izkušnje, ko remote spreminjaš firewall in se zakleneš ven. Takrat prvo pritisneš parkrat enter, ko vidiš, da se kurzor ne prestavi v novo vrstico. Kar je znak, da si se ven zaklenil. Sledi skorajšna smrt zaradi začasnega zastoja srca. Fun times ahead, če nimaš direkt dostopa, kot je vnc/ilo.

In tako je ta enter, enter, enter prišel avtomatsko v navado ob vsaki prijavi.


Kar se tiče verjetnosti root gesla 5p0ck, je ta dokaj majhna. Prvo sem moral preverit, kaj Špock sploh je. Potem morem pa še to povedat, da sta Star Wars in Star Trek eno in isto, ter da oboje nisem gledal.

Geslo imam dolgo 13 znakov, ena velika črka, številka ali tri, ostalo male črke, zelo preprosto za napisat. Od oka, ki ni sokoljevo, porabim 1-2 sekunde.


To, da sem pa geek, pa vsi vejo, ker nosim majco z sledečim napisom:

BaaS
Bulšit as a Service
Full Full Cloud Stack Ready
DevOpsDidItAgain | Industry 7.0 | BlockČain
Certified PowerPoint Sales Master
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

strawman ::

DostMam je izjavil:

Le redki so me razumeli, HotBurek še najbolje. Dejansko gre za neko kulturo, saj je na voljo nešteto howtojev, kjer so navodila podana nekako tako:

sudo md5sum -c owncloud-complete-yyyymmd...
sudo sha256sum -c ownclou...
sudo ...

Zakaj bi naj to bilo bolj varno od:

su -
md5sum -c ...
sha256sum ...
...
exit


V navodilih se pomoje podaja v tej obliki zato, da so ukazi sessionless. Bolj praktično za copy+paste za kako avtomatizacijo.

BigBoss ::

- Pravilno konfiguriran sudo dovoljuje posameznim uporabnikom samo ukaze, ki jih smejo izvajati glede na politiko podjetja/lastnika strežnika.

- prijava kot uporabnik in nato sudo omogoča evidenco kdo se je kdaj prijavil in veliko lažje sledenje/ugotavljanje kaj je kdo počel (če je to kasneje potrebno)

Zgodovina sprememb…

  • spremenil: BigBoss ()

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Crontab in skripta v 8.04.2; kako?

Oddelek: Operacijski sistemi		91248 (1043) BigWhale
»

Ubuntu 8.10 desktop - težave

Oddelek: Operacijski sistemi		252532 (1978) Gapi
»

dostop iz linuxa do datotek v win xp

Oddelek: Operacijski sistemi		232146 (1695) palma
»

SUSE 3D acceleration ojej

Oddelek: Operacijski sistemi		352023 (1315) kriko1
»

VmWare Player (Ubuntu Linux, OSX)

Oddelek: Operacijski sistemi		262785 (2150) planetparty

Več podobnih tem