sudoにrootパスワードを設定するのが最善の方法ですか、それともその逆ですか?

sudoにrootパスワードを設定するのが最善の方法ですか、それともその逆ですか?

sudoers使用するたびに、ユーザーパスワードの代わりにルートパスワードを要求するように設定しましたsudo。主にルートコマンドを実行するには、ルートパスワードを知る必要があることが合理的だと思うからです。

しかし、これはセキュリティリスクと見なすことができますか?

そうでなければ、これがほとんどのディストリビューションでデフォルト設定ではないのはなぜですか?

編集:私は唯一のユーザーであるプライベートLinuxボックスを実行しています。この場合、この理由はさらに意味がありますか?マルチユーザーシステムでは、これが機能しない可能性があると思います。

背景:私の経験は単に「同義語」であるsudoシステムに関するものです。ユーザーパスワードだけを入力すれば、rootコマンドを実行できるという点は、そもそもrootの目的を崩すことだと思います。だから私の推論はルートパスワードを尋ねることです。つまり、私はthisの強力な機能を知りませんが、一部のユーザーは実行できるコマンドを指定できると述べました(一部のルート専用コマンドは省略します)。良い中間地点だと思います。sudosusudoerssudo

答え1

sudosu一部では、次の2つの主な目的が代わりに使用されるため、これはセキュリティリスクと見なされます。

  1. sudoユーザーはrootとして一部(すべてではない)コマンドを簡単に実行できます。

  2. ルートパスワードを提供する必要はありません。。 rootパスワードを持つことは、特定のコマンドをrootとして実行することを許可するよりもはるかに危険です。

誰かがrootパスワードを持っている場合は、rootとしてログインするか、を使用できますsu。 root アクセス権を取り消すのも難しいです。ルートパスワードを変更し、誰にでも新しいパスワードが何であるかを知らせる必要があります。デフォルト設定では、sudosudoersファイルを変更するか、sudoグループからユーザーを削除するだけです。

これがデフォルト設定ではない理由ですsudo

ルートパスワードが「合理的」であることを知る必要があるという考えよりもよく考慮されたことがほぼ確実であるため、デフォルトの動作に戻すことを強くお勧めします。 「常識」は一般的に「一般的な」ものでもなく、「賢い」ものでもありません。

sudoこのファイルは作成されました(少なくとも特定のルートレベルのシステム管理タスクを実行するために必要な機能を必要とするすべての人がrootパスワードを知る必要がある場合に発生する問題を回避するために部分的に)。実際、これは特に人々の役割が頻繁に変わる大学や会社などの大規模な環境で非常に問題になることが証明されています。

長年にわたり、私は人々が同じ組織内でさまざまな役割を果たした様々な環境で働いてきました。年度以前に(または組織を完全に離れる前に)有効なログイン権限を持ってはいけませんが、まだシステムへのルートアクセス権を持っています。また、実際に正しいことをしたり、不要になったりすると、rootアクセスを削除したりアカウントを無効にしたりすると、人々が怒ってしまうこともよくあります。

答え2

仮想の(しかし非常に合理的な)シナリオを考えてみましょう。ルートパスワードを持つユーザーが誤ってルートパスワードを変更して記録できませんでした。

今持っているのは、ルートパスワードを知っている人が誰もいないということです。誰もルートに昇格することができます。これにより、全員のルートパスワードが効果的に漏洩し、sudoパスワードをリセットするには修正(ダウンタイムが必要)が必要でした。

答え3

sudoersメカニズムには、ルートパスワードを提供するよりも多くの利点があります。

  • 制限されたコマンドセットを管理者として実行できるようにする

  • コマンドの実行に伴う責任を記録してsudo理解することができます。WHO走る

  • 管理者グループからユーザーを追加および削除して、管理者権限を簡単に移行できます。

sudoすべてのユーザーにrootパスワードを提供すると、ユーザーはrootとしてログインする必要がなくなり、sudoerの使用目的が完全に失われます。


OP追加後編集:

編集:私は唯一のユーザーであるプライベートLinuxボックスを実行しています。この状況では、合理性はさらに意味がありますか?マルチユーザーシステムでは、これが機能しない可能性があると思います。

実際にシステムの唯一のユーザーである場合、上記は適用されず、sudo必要に応じて管理者として実行するのではなく、rootとしてログインできます。しかし、注意してください。あなたの行動はより大きな影響を与え、システムをより簡単に損傷する可能性があります。古代のUNIX Zenマスターの言葉を引用するには:

「根を通してのみ真の苦しみを得ることができ,そうして悟りを得ることができます」。

答え4

あなたの質問によると、あなたはシステムの唯一のユーザーです(私は持っています設定私のものsudoers…毎回sudoを使用)提供された回答は、ほとんどの場合、マルチユーザーの観点からのものです。

基本的な構成の理由は、特定sudoのユーザーに制限されたスーパーユーザーアクセスを提供したい元のアイデアによるものです。

今日のLinuxディストリビューションでは、小さな「注意」通知を使用してシステムの限られた領域に簡単にアクセスできるというアイデアがあなたのアイデアに似ています。

この場合、rootパスワードを使用すると、次の1つの主な利点があります(rootパスワードが設定されている場合)。

sudo権限が正しく設定されている場合、パスワードを知ると、システム全体(バックアップを含めることができます)ではなくアカウントのみが破損します。コンピュータ室に入るには2番目の鍵が必要です。

関連情報