เนื่องจาก Ubuntu จะปิดใช้งานบัญชีรูทตามค่าเริ่มต้นทำไมไม่ปิดใช้งานรูทเชลล์ด้วย?

12

ค่าเริ่มต้นปัจจุบันสำหรับบัญชีหลักในการมี/etc/passwdroot:x:0:0:root:/root:/bin/bash

ทำไมไม่ตั้งค่าให้root:x:0:0:root:/root:/usr/sbin/nologin?

command-line  security  root 
loongyh
แหล่งที่มา
7
เพื่อที่คุณจะทำsudo -iอย่างไร
AlexP
12
"ปิดใช้งานบัญชีรูท" เป็นคำอธิบายเล็กน้อย: สิ่งที่ปิดใช้งานจริงๆคือการพิสูจน์ตัวตนด้วยรหัสผ่านของบัญชีรูท
steeldriver
1
@AlexP แน่นอนฉันเพิ่งทดสอบมัน sudo -i ไม่ได้ทำงานกับชุดรากเป็น / usr / sbin / nologin
loongyh

คำตอบ:

19

หากเป็นเช่นนั้นคุณจะสามารถเรียกใช้คำสั่งได้sudoทีละรายการเท่านั้น แต่คุณจะไม่สามารถเริ่มรูทเชลล์ได้ รูทเชลล์มีความสะดวกในหลาย ๆ กรณีเช่นหากคุณวางแผนที่จะรันหลายคำสั่งเหมือนกับรูทในแถว

โดยเฉพาะอย่างยิ่งคุณไม่สามารถทำงานได้sudo -iตามที่ AlexP ระบุไว้ จากman sudo:

-i, --login    Run the shell specified by the target user's password database entry as a login shell.
อัลแบร์โตซานตินี
แหล่งที่มา
7
ใช้การไม่ได้sudo /bin/bashหรือไม่
Federico Poloni
5
@FedericoPoloni ที่เป็นมากกว่าที่sudo -sฉันคิด (รูทเชลล์ แต่ไม่ใช่รูทเชลล์ล็อกอิน ) แม้ว่าจะเป็นจุดที่ดี - และในความเป็นจริงsudo -sดูเหมือนว่าจะทำงานได้แม้ในขณะที่รูทของรูทอยู่/usr/sbin/nologin
steeldriver
1
คุณสามารถปิดการใช้งาน-i, -s, /bin/bashและอื่น ๆ โดยเพียงแค่ช่วยให้รายการที่อนุญาตของคำสั่งให้ดูเอกสารสำหรับ sudoers ไฟล์ ดังนั้นนี่คือเม็ดเล็กดีว่ามันเป็นตัวอย่างที่เป็นไปได้เพื่อให้ผู้ใช้เรียกใช้เป็นรากโดยไม่อนุญาตให้พวกเขาให้ทำงาน/etc/init.d/someservice restart /etc/init.d/someservice stopแต่ค่าเริ่มต้นของอูบุนตูนั้นเป็นเพียงการตั้งรหัสผ่านrootและอนุญาตให้ผู้ใช้ผู้ดูแลระบบทำทุกอย่างด้วย sudo อาจมีเหตุผลคือ a) ผู้ใช้ที่เป็นผู้ดูแลระบบมากกว่าหนึ่งคนและ b) ผู้ใช้ที่เป็นผู้ดูแลระบบไม่จำเป็นต้องจำรหัสผ่านที่สองสำหรับบัญชีรูท
อัลโล
8

นอกจากคำตอบ sudo ของ Alberto Santini แล้วยังมีอีกคำตอบ (ดีกว่า) หากเชลล์ของรูทถูกตั้งค่าเป็นสิ่งที่ไม่ใช่เชลล์การบูตผู้ใช้คนเดียวจะไม่ทำงาน มีการกู้คืนsuloginสำหรับสิ่งต่าง ๆ เช่นเชลล์ที่ไม่ได้อยู่หรือเชลล์ที่เสียหายโดยสมบูรณ์ แต่มันจะไม่ทำงานหากเชลล์นั้นดูเหมือนจะเป็นเชลล์ที่ถูกต้อง แต่ไม่ใช่เชลล์จริงๆ

คุณยังคงsudoสามารถรับเชลล์ได้โดยตรงโดยระบุเชลล์ไว้sudoเพื่อไม่ให้มีการป้องกันที่ดี

โจชัว
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.