sudo 使ってる奴って意識高そうだよなwwww
したら意味無いのにwwwwwwwwwwwwwwwwwwww
適切にグループ権限を設定すれば、
通常の利用でsudoが必要になることはない。
debian/Ubntu系はrootにパスワード設定なしで、
Ubntu系は標準ユーザでも管理者ユーザーでもないカスタムユーザーが
初期設定される。
カスタムユーザーってのがクセモノで最初からsudoが使える。
意識が高いというよりも、OSの仕様だから仕方ないんだ
されてまずいようなら /etc/sudoers で禁止するし
面倒くさいから、お前が間違ってる。の一言で終わらせるわ。
これが証拠写真。ばいばい
http://www.server-world.info/Debian_6.0/install/img/8.jpg
よおドブネズミ
どうかしたか?
完全に制限できないんだなあ
それが
だからスレたってんだよ
どういうこと?
一般ユーザーではない。
むろん管理者でも一般ユーザーでもない
もちろんsudoは使える。
カスタムユーザをそのまま使い続ける弊害は無いとも有るとも…
ぐぐっても「カスタムユーザー」などという言葉は
でてこない。
お前は、わかってない。単なる思い込み。
ポリシーしだいじゃね
だが、ユーザーを新たに作ってないのなら君のアカウントはカスタムユーザー
なんだよ。これ常識の話な。
だからそれをカスタムユーザーとは呼ばない。
オレオレ用語だろ。
だいたい、OSをインストールしたユーザー=sudoが使える
ユーザーで何の問題もないだろう?
sudoが使えるユーザーのことを管理者と呼ぶが
(お前がカスタムユーザーと呼んでいるヤツのこと)
OSをインストールしたユーザーは当然管理者であるべきだ。
でなければ、誰が管理者のパスワードを入力するんだ?
インストール作業の途中で管理者呼んできて、
rootのパスワード入力してくださいとかやるつもりか?
いやいや管理者が複数いる場合を考えるとrootのパスワードを共有するのはありえないな。
お前が何を問題視しているのか全くわからん。
sudoers にもお前のログイン名が入ってないだろ?
だが、sudoグループにもadmグループにもはいっている
$id で確認しろ低級ユーザー(笑い)
rootは最強管理者
admは管理者
お前はのsudoersファイルにはお前のインストール時のアカウント名は無い
> sudoers にもお前のログイン名が入ってないだろ?
今はsudoersにユーザー名書かないんだよ。
sudoersみてみろ。
こういう行があるだろ。
%sudo ALL=(ALL:ALL) ALL
今はsudoersに直接名前を書かずに
sudoersに定義されたsudoグループを使うことで
間接的にsudoを使えるようにするんだよ。
びっくりしたw sudoersにアカウント名がないという
当たり前ことを、偉そうにw
Debian系ではログファイルなどは
admグループに追加することでsudoコマンドなしに
見れるよう(書き込み不可)に設定されている。
ログファイル見るだけで、sudoコマンドを使うもんじゃない。
admグループに追加することで見れるようにする。
バカが噛み付くから、半殺しにされる分かったか?ね?
sudoを使うための、sudoグループへの追加と
ログを見るためのadmグループへの追加がわかるだけだが?
なんかこいつグループの意味わかってないみたいだなw
sudoersの指定でユーザー名を書くのと、sudoグループに
追加するのが同じ意味になるのもわかってないようだ。
自動でなっている。
何度説明説明すりゃあ分かるんだ?
だからカスタムユーザーだと言ってるだろ。
OSも進化してるんだ。
だからそれをカスタムユーザーとは言わない。
じゃあカスタムモードとでも解釈しとけよ
Ubuntu/追加済み一般ユーザーを管理者権限に変更する方法・CUI編
http://goo.gl/3F7Dz2
rootの問題点は、rootという名前のユーザー名、rootというパスワードを使うから
複数のユーザーが管理者の場合に、rootという名前になってしまう(のはまだいいにしても)
パスワードを共有することになるから、やるべきではない。
この画像のように「sakura」を管理者にするために、
sudoグループに追加という方法を取る。
Ubuntuの画面に「管理者」と書いてある以上
どうあがいても管理者だ。
オレオレ用語作るな
ドアホめ。
rootユーザーは複数ユーザーで共有することが出来ず
sudoを使うことでどのユーザーでも管理者になることができるのだから
rootは百害あって一利なし。なのでsudoを使う。
これが正解。
意識なんか特に高くない仕方なく使ってるだけだ何度も言うようだが
多分sudoersのmanのPreventing shell escapesの辺りの話じゃね?
他にもmountが許可されてればそれだけでoverlayfsとか使って簡単に制限を突破出来るとか色々思いもよらない落とし穴が多いから、sudoでのコマンドの制限はあくまでお知らせ程度のものだと思ってたほうが良い
> 他にもmountが許可されてれば
それはグループに追加するのが問題なんだろ?
パーミッションを全部777にすれば
だれでもアクセスできるから、パーミッション制限には
穴があるって言ってるのと同じなんだが。
「制限の突破を試みるようなユーザーがsudo出来るようにする事が既に問題」って意味?
「制限の突破を試みるようなユーザーを重要なグループに追加出来るようにする事が既に問題」って意味
sudo関係ない。sudoを使わなくても
mountが許可されたグループに追加したら
同じことだろう?
うーん、言いたいことが分かったようなわからないような
そうするとsudoのコマンドの制限は何のために存在するの?
デフォルトでsudoでコマンド制限の設定はされてないだろ?
sudoを使うといったら、普通はrootユーザーを使わずに、
自分のユーザーと自分のパスワードを使って運用するためだよ。
あんたが言ってる「sudoのコマンドの制限」というのは
正確に言えばコマンドの制限ではなくてコマンドの解放。
特定のユーザーに対して、本来危険だからと禁止されているコマンドを解放する行為。
禁止されているものを解放するという行為でミスしたら、
それはパーミッションを777にするのと同じで、
自分のミスだろうがで終わりな話。
未だに何が言いたいのかイマイチわからんけど、これ以上何も知らないふりしてレス誘っても得るものはなさそうだから普通に書き込ませてもらうわ
> sudoを使うといったら、普通はrootユーザーを使わずに、
> 自分のユーザーと自分のパスワードを使って運用するためだよ。
意味不明
ログインっていう概念とプロセスのuid、euidとかが何なのか解ってないだろ
sudoのバイナリはsetuidされてるからそこからforkしてexecされる対象のコマンドは全てrootユーザーによって実行される
ただ一般的にsudoはpamによる認証の際にユーザー自身のパスワードを使うってだけの話
> あんたが言ってる「sudoのコマンドの制限」というのは
> 正確に言えばコマンドの制限ではなくてコマンドの解放。
> 特定のユーザーに対して、本来危険だからと禁止されているコマンドを解放する行為。
どちらから見るかというだけで結果的には同じだが、敢えて言うなら違う
前述の通りsudoはsetuidされてるので対象のバイナリは全てrootユーザーによって実行される
それに対してsudoがsudoersによって指定されたバイナリ以外は実行しないと言う処理(制限)をすることによって"制限/開放"を実現してる
> sudoのバイナリはsetuidされてるからそこからforkしてexecされる対象のコマンドは全てrootユーザーによって実行される
sudo関係ないじゃんw
setuidされてるバイナリはforkしてexecされる対象のコマンドは全てrootユーザーによって実行されるんだよ。
sudoアンインストールしてみな。
その仕組は全く同じだから。
ユーザーが余計なパスワードを覚えなくてもよくなる。
大きな変更を加える際、パスワードの入力を求められるようにすることで、ユーザーは何をしようとしているか再認識することができる。
sudoコマンド実行ログが残り、何か不具合が発生した際にどのようなコマンドを実行したのかを確認することができる。システム監視の意味でも有用。
rootアカウントでのログインを無効にしている場合、パスワードの総当たりなど、強引な手法でシステムに侵入を試みるクラッカーがrootアカウントで侵入できない。
ユーザーを管理者グループに追加、削除することにより、管理者権限を持つことのできるユーザーを限定できる。
sudo は su に比べて、より細かいセキュリティポリシーを設定することができる。
管理者権限を時間経過で自動的に破棄するように設定することができる。
wikipediaより
それは知らんかったー
rootのパスワード設定しないと入る
くだらない論争はあなたの勝ちってことで
まぁ、別にどっちでもよくね?
こまけぇこたぁ、いいんだよwww
総務省の『憲法改正国民投票法』、でググってみてください。
日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、日本人の悲願である
改憲の成就が決まります。皆様方、必ず投票に自ら足を運んでください。お願い致します。
一つ考えられるのはsuしたままついつい席を話してしまって留守中に他の人に
好き放題されてしまうことでしょうか?
他にありますか?
コマンドの履歴が自分の履歴にちゃんと残る。
sudo経由で重要なコマンドを実行したことがログが残る。
使い慣れた自分のシェルが使える。
(rootは緊急用で使うのでdashなどの軽いシェルが適している)
エディタの設定など自分の設定ファイルを使える。
(正確にはsudoへのシンボリックリンクであるsudoedit)
書こうと思ったら書かれてた
単純に考えて、この場合にsudoを使うのは
わざわざセキュリティホールをつくることだと思うんですが、
そのへんはどうなんでしょうか?
いいえ、あなたが思っていることは間違いです。
具体的には、あなたが思っていることが
わからないので指摘できませんw
結局両者の「違い」は単純に安全/危険でわけられるようなものじゃないので答えは出ないんじゃないかな
>>64は多分「複数人でいじくるサーバーとかと違っていわゆる自分ちのデスクトップみたいに、管理する人間と普段使いする人間が同じ場合sudoのメリットってあんまりなくね?」
みたいな思いがあるように感じられるけど、これは概ね同意できる
>>67は多分「あんま変わんないなら余計なものを入れることでリスクが増すんじゃないか?」
とか「sudoのが色々細かく設定できる分設定ミスとかのリスクが増えるんじゃないか?」
みたいな事だと思うけど、これも確かに間違いではないと思う
ただし例えば前者は「じゃあそのリスクって具体的にどんなシナリオが考えられる?」って聞かれたら答えられないんじゃないかしら
suとかsudoってよく使うから安易に見がちだけど、セキュリティに直結するからすごく慎重に作られてる
なので正しく使う分にはそこまで神経質にならなくていいと俺は思う
後者は「細かく設定できる」事と「ミスが増える可能性」をどう評価するかは完全に個人の主観よね
長文書いてみたけど自演の釣りじゃないことを願う(´・ω・`)
無知なので、なにが問題なのか言えない。
というか、問題があると思う理由は無知と言うべきか。
無知はもちろんセキュリティホールを作ることにつながる。
だがsudo自体にはセキュリティ的に問題はない。
たとえば~/.bashrcに
sudo(){
}
su(){
}
って書き加えるだけで本物のsudo/suとは違うsudo/suを実行させることができる
~/.bashrcの編集には当然rootの権限なんていらないからブラウザの脆弱性とかを使われて一般ユーザーのアカウントが陥落した時点でアウトになる
当然~/.bashrcを見ればすぐにバレるし現状では脆弱性を使ってコードを実行なんて事自体が難しいわけだけど、それでも可能性はある
その可能性と結果をどう評価するかは人それぞれであって間違ってるとか正しいとかじゃない
>>70
頭悪いってよく言われない?
> 頭悪いってよく言われない?
それお前の書き込みだろw
~/.bashrcの編集には当然該当ユーザーの書き込み権限が必要で
rootの~/.bashrcに書き込みが可能なら、sudoやsuを置き換えるまでもなく
そこにコマンド仕込めばいいだけだろ
他人の.bashrc編集ができないことを知らないのは常にroot使ってるからだ。
rootだったら他人のファイルでも書き換えられるからな。
こいつ本物だよ。本物の馬鹿だw
他のアカウント(/etc/以下含む)のbashrcが編集できないなんて、んなの当たり前とか以前の問題だよ
俺が言ってんのは>>67を受けて、sudo使ってるアカウントでそのままブラウザでエロサイトとか閲覧してるとかのケースの話だよ
その場合ブラウザ経由で脆弱性を使ってコードが実行された場合そのユーザーのbashrcが書き換えられる
そのユーザーがbashrcが書き換えられたことに気づかないままsudoを使うとその偽sudoがパスワードを取得したうえで本物のsudoに引き継ぐ
とかが起こりえるって話だよ
そしてその起こりえるってのが現実的には起こらないレベルだろバカバカしいって思うのはお前の自由だし、いやでも起こりえるから俺は使わないってやつはそれもそいつの勝手だって話だよ
マジで頭悪すぎて面倒くさいからもう少し考えてレスしてくれ
sudo特有の問題の話じゃなかったの?
ですよねw
rootを使って、ブラウザ経由で脆弱性を使ってコードが実行された場合そのrootのbashrcが書き換えられる
そのユーザーがbashrcが書き換えられたことに気づかないままbashを起動すると
そのbashに書かれたスクリプトが実行されて、何でもかんでもできてしまう。
ブラウザ経由でbashrcが書き換えられて、
suコマンドが、あ、"su" コマンドがぁ 置き換えられてしまったらどうするんだぁ!!
あ、sudoコマンドの話でしたっけ?w
/usr/bin/sudoとフルパスで呼び出せばいいですよ?
/usr/bin/sudoはrootじゃないと書き換えられないんで。
もちろんrootを常用していると、ブラウザ経由で/usr/bin/sudoを書き換えられるから
ユーザーはわけないといけませんよ! rootになるのは必要最小限に。
マジで頭悪すぎて面倒くさいからもう少し考えてレスしてくれ
sudoでもsuでも同じ話、root常用だったらもっと危険な話
であることを、もう少し考えてレスしてくれ
ですよね、じゃねーよカス
suも同じだってのはすでに>>71で言ってんだよ
suとsudoの違いレベルでセキュリティを気にするならそもそもsuもsudoも使わないぐらいのほうが良いってことだ
足りないオツムで一生懸命反論考えたんだろうがこっちの言ってる意味が理解できてないから穴だらけなんだよゴミ
頭悪いのはお前だろ?
suもsudoも使わなかったら、どうやってアプリをインストールするんだ?
sudoよりもsuよりももっと問題が大きいrootを使うしかないだろ。
お前は他人に反論を求める前に、自分が反論をしろ
>>79にはお前が書くべき反論は含まれてないぞ。
まず反論しろ。一体どうすればいいのかを答えるだけだ。
に決まってんだろゴミクズ、仮想コンソールからのログインは当然一般ユーザーの権限じゃ偽装できないからな
あと俺は誰でも何でもかんでもそうするのが良いって言ってんじゃなくて"suとsudoの違いレベルでセキュリティを気にするならそのぐらいしたほうがいい"って言ってるだけだボケ、同じこと何回も言わせんな
> sudoよりもsuよりももっと問題が大きいrootを使うしかないだろ。
そもそもrootがなんで危険って言われてるかを理解でいてないからこういう馬鹿なレスが来るんだよめんどくせーな
rootが危険なんじゃなくてrootで何でもかんでも作業するのが危険なんだよ
rootでブラウザを実行してりゃブラウザの脆弱性経由で実行されたコードもrootで実行される、だから常にrootでログインして常用するのは危険ってだけだ
同じコマンドを実行するだけなら一番安全なのは「仮想コンソールからrootでログインしてそのコマンドを実行してログアウトする」だ
sudoやsuを使ったところでコマンドが実行されるのがrootであることに変わりはねーんだから同じコマンドを実行するだけなら同じなんだよ、そこに一般ユーザーの権限でできる偽装の可能性があるぶんだけ超極々僅かにsu/sudoのが危険だ
ただしお前(別人かもしれんが)みたいなバカはすぐに前提条件を忘れるから念の為言っとくが「複数人でいじくるサーバーとかと違っていわゆる自分ちのデスクトップみたいに管理する人間と普段使いする人間が同じ場合」の話だからな
それからもう一回言うが誰でも何でもかんでもそうするのが良いって言ってんじゃなくて"suとsudoの違いレベルでセキュリティを気にするならそのぐらいしたほうがいい"って言ってるだけだからな
少なくとも俺の知る限りはsudo/suの気になるところは先に上げたハイジャックぐらいだから普通に使う分にはそんなに気にしても意味ない
その条件+X上ならわざわざ各コマンドを偽装するまでもなかったりもする。
プロセス同士で入出力は筒抜けなので任意のコードが走ったあとにパスワードを打った時点でシステム全体がアウト。
「suよりsudoのほうが安全なんです!」って奴を見ると
あんまりsuかsudoか関係ないような気がしている
慣れると「頭にsudoつけるのめんどうですよね? これで誤操作抑止できますよね?」
効果はなくなるようだし
人間の問題は関係ないので持ち出さないように。
どんな安全装置も意味が無いっていう
言い方にできてしまうだろ。
> Any user who uses su or sudo must be considered to be a privileged user.
> If that user's account is compromised by an attacker, the attacker can also gain root privileges the next time the user does so.
> The user account is the weak link in this chain, and so must be protected with the same care as root.
sudoとsuの違いの話の中でだけど一応UbuntuのWikiでも指摘されてるね
sudo使える管理専用のユーザーとsudo使えない普段使い用ユーザー2つ作るのがベストって事かな…
メンドクサイ(´・ω・`)
つAndroid
いやそらそうやろ(´・ω・`)
誰でもsudo使えたらあかんまっせ・・・
本当は管理者として振る舞いたいんじゃなくて
特殊なログを見たり、特殊なコマンドを実行したいだけ
だから実はグループに追加するだけで良かったりする。
suやsudoを使う前にグループに追加することを覚えましょう
通常なら、スーパーユーザー権限を与えたいuserを/etc/groupのwheelに追加するだけだもんな。
> 通常なら、スーパーユーザー権限を与えたいuserを/etc/groupのwheelに追加するだけだもんな。
それのどこが一手間なの?
debianではwheelの代わりにsudoグループだけど、
adduser user sudo の一行だけじゃん。
これのどこがひと手間なのかわからない。
http://gihyo.jp/admin/serial/01/ubuntu-recipe/0410
アホ
100〜のスレッドの続きを読む
