отдельный пароль(пользователь sudo) нужен или нет?

[ilyuha21st]

Добрый день. Собственно вопрос был озвучен в теме. Дополнительно хотелось бы уточнить, если не нужен, то почему? И если нужен пароль на системного администратора, то при каких обстоятельствах? Спасибо.

[yorik1984]

Несовсем понятен вопрос. Пользователя "sudo" в системе нет. Что вы имеете ввиду?

[denkin]

тоже не понял вопроса. Если предположить, что имеется ввиду вопрос: нужно ли устанавливать пароль для рута, если уже есть пользователь с правами sudo? Ответ будет такой: если правильно использовать учетные записи, то не обязательно. Под "правильно использовать учетные записи" имею ввиду: каждый реальный пользователь компьютера имеет свою отдельную учетку, с достаточными, по мнению администратора, для него правами.

[Lekssey]

Сталкивался с таким на AltLinux - там задавалось 2 разных пароля: отдельно для пользователя и отдельно для root.

[fisher74]

Lekssey, Вы может не поверите, но root-ом без пароля может "похвастаться" очень мало *nix-систем.
Я знаю только одну - Ubuntu. Предполагаю, что Debian тоже в этом ряду, но не уверен, потому как не работал с ним.
Все остальные, с чем я работал(-аю): Slackware, Gentoo, RedHat, SuSe (ну и клоны, типа ArchLinux, Knoppix, Slax и т.п.) - все они с полноправным root.
Хорошо это или плохо? Не могу сказать. Но я научился жить без root, используя sudo, и нисколечки об этом не жалею. Нужно иногда подумать как правильно ввести команду через sudo. Зато я точно знаю, что пароль root никто не узнает.. Потому что пароля у root этой системы просто НЕТ.

[ilyuha21st]

Всем спасибо за дискуссию. Сделал выводы...

[Чистый]

fisher74,
Простите, не мог пройти мимо, но с чего вдруг ArchLinux это клон ? Не мне Вам тыкать носом в wiki, но все же имейте ввиду что ArchLinux полноценный дистр, ни на ком не основанный, ни к чему не привязанный....

[fisher74]

Извините. Меня история развития дистрибутивов никогда не интересовала. Видимо как-то по жизни так стеклось, что посчитал арч клоном православной слаки.
А носом тыкать можно и нужно.

[ArcFi]

Ну, кому как.
Лично для себя не вижу преимуществ использования sudo.
Хотя на десктопе оно, конечно, проще.

[Чистый]

ArcFi,
согласен, что sudo писать, что su

[fisher74]

только для su нужен пароль root, а для sudo он не нужен.

В чём прикол обезпароливания root?
В том, что в протоколе AAA применяется пара login/password, которые обеспечивают определённую степень защиты, в которой каждый из элементов вносит свою степень защищённости. В случае с root - это тот самый login, который есть в любой *nix системе, т.е. этот элемент защищённости сводится к нулю и остаётся только пароль. Мало того, в случае раскрытия password-а система отдаётся со всеми возможными привилегиями. Именно поэтому отсутствие пароля для root считается весьма широким шагом к защищённости системы.

[Чистый]

только для su нужен пароль root, а для sudo он не нужен.

В чём прикол обезпароливания root?
В том, что в протоколе AAA применяется пара login/password, которые обеспечивают определённую степень защиты, в которой каждый из элементов вносит свою степень защищённости. В случае с root - это тот самый login, который есть в любой *nix системе, т.е. этот элемент защищённости сводится к нулю и остаётся только пароль. Мало того, в случае раскрытия password-а система отдаётся со всеми возможными привилегиями. Именно поэтому отсутствие пароля для root считается весьма широким шагом к защищённости системы.

при этом если утерян пароль от пользователя который привелигирован к sudo  то и пароль от root нам не нужен.... тут как бы фиф-ти-фиф-ти.... учитывая что в той же ubuntu sudo настроено отвратительно, то я не вижу тут никакого шага к безопасности...

[ArcFi]

fisher74, не вижу причины, которая могла бы остановить злоумышленника от получения логина способом, аналогичным тому, которым был получен пароль.

[fisher74]

Про утерю пароля мы не говорим, тут нарушение безопасности в обоих вариантах критическое. Так что 50-50 касаемо только разгильдяйства администратора. Так что не считается.
Для любителей su я вообще могу мат поставить за оставленное авторизованное окно под root.  но мы же сопоставляем аналогичные ситуации
Хотя тоже могу прибавить плюс на весы в пользу sudo.
В случае оставленного терминала авторизованного под root (ака su) систему можно ковырять как угодно. А вот при оставленном авторизованном терминале даже под привилегированным  пользователем для "взломщика" выйдет "шляпа", так как на sudo нужно ввести пароль этого самого пользователя.

Если же говорить о доступе к системе при отсутствии данных авторизации (и неавторизованных терминалов) - тут для системы с root-паролем явный проигрыш.
Пользователь решил продолжить мысль 08 Августа 2013, 21:22:40:

fisher74, не вижу причины, которая могла бы остановить злоумышленника от получения логина способом, аналогичным тому, которым был получен пароль.

Согласитесь, если брутфорсом долбать, то 4 изначально известных знака - это большой успех.
Пользователь решил продолжить мысль 08 Августа 2013, 21:25:00:ЗЫ. Терморектальные и подобные способы получения аутентификационных данных мы также не будем принимать во внимание ввиду одинаковой незащищённости, как со стороны классического su так и новмодного sudo

[thunderamur]

Считаю очень правильным отсутствие пароля для root. Ничем админам серверов это не мешает, скорее пользы больше. Зашел на сервак, sudo su и вперед. Через visudo выключаем запрос пароля для sudo для sudoerа под которым заходим, дабы быстрее было.
На десктопе же оставляю как есть, все правильно ведь итак)