Ponieważ jednak uprawnienia su
są włączone -rwsr-xr-x
, nic nie powstrzymuje ich przed próbą brutalnego wymuszenia hasła roota.
Tak. Zakładając, że używasz zwykłego systemu Linux, pam_unix.so
moduł opóźnia nieudaną próbę uwierzytelnienia o ~ dwie sekundy, ale nie sądzę, aby było coś, co mogłoby powstrzymać jednoczesne próby.
Nieudane próby są oczywiście rejestrowane:
Aug 16 22:52:33 somehost su[17387]: FAILED su for root by ilkkachu
Brutalne wymuszanie hasła powinno być wyraźnie widoczne w logach, jeśli masz jakiś system do ich monitorowania. A jeśli masz niezaufanych lokalnych użytkowników, być może powinieneś. Niezaufani użytkownicy lokalni mogą również próbować wykorzystać jakiekolwiek exploity związane z eskalacją uprawnień tylko na poziomie lokalnym, i są one znacznie częstsze niż zdalne eskalowanie uprawnień.
Co jeszcze mnie zastanawia, że to nawet nie wydaje się przydatne.
Oczywiście jest to przydatne, pozwala podnieść się do poziomu root
, jeśli znasz hasło.
To pozwala mi biegać su
bezpośrednio zamiast tego robić sudo su
, ale nie jest to żadna niedogodność.
sudo su
jest nieco zbędny. Nie ma potrzeby używania dwóch programów, które mają umożliwić uruchamianie programów jako inny użytkownik, jeden wystarczy. Po prostu użyj sudo -i
lub sudo -s
(lub sudo /bin/bash
itp.), Jeśli chcesz uruchomić powłokę.
Czy coś przeoczyłem? Czy świat wykonuje zezwolenie na su tylko z powodów historycznych?
Patrz wyżej. Cóż, nie wszystkie systemy mają sudo
alternatywę, nie jestem pewien, czy uważasz to za historyczne.
Czy są jakieś wady usuwania tego uprawnienia, którego jeszcze nie spotkałem?
Nie bardzo, o ile mi wiadomo. Myślę, że niektóre systemy zostały su
ustawione tak, aby tylko członkowie określonej grupy („ wheel
”) mogli to uruchomić. Możesz zrobić to samo, sudo
jeśli chcesz ( chown root.sudousers /usr/bin/sudo && chmod 4710 /usr/bin/sudo
).
Lub możesz po prostu usunąć jeden lub oba programy, jeśli ich nie potrzebujesz. Chociaż w Debianie su
jest dostarczany z login
pakietem, więc prawdopodobnie nie jest dobrym pomysłem usunięcie pakietu jako całości. (A łączenie w pary login
i su
takie razem wydaje się nieco historyczne.)
sudo
zainstalowanej opcjonalnej ? Powiedziałbym, że jest to dość duża niedogodność;)