su o sudo?
Regole del forum
su o sudo?
Re: su o sudo?
In realtà è l'esatto opposto!! Su Ubuntu l'utente root è disabilitato di default; l'untente normale è configurato per l'utilizzo di sudo perché è ritenuto più sicuro per una serie di motivi. Inoltre tramite sudo, puoi limitare i privilegi di amministratore per un dato tempo, solo per uno specifico utente, solo per specifiche operazioni, ...
Re: su o sudo?
Il fatto che sia ritenuto più sicuro dal wiki di debian, è perché sia Mac Os x che fedora (per citare i due che conosco) hanno un sistema di privilegi che non sono contemplate dal wiki di debian. Mi spiego meglio: su OS X, sistema certificato UNIX io raccomando sempre (per essere sicuri al 100% invece che al 90%) di usare per tutti i giorni un account NON amministrativo. Negli account non amministrativi (quindi più sicuri dal punto di vista degli attacchi informatici) non si può usare sudo perché non sei un sudoers. In pratica se vuoi fare un comando amministrativo sul terminale del Mac non essendo amministratore, devi fareCUB3 ha scritto: ↑dom mag 24, 2020 9:56 pm In realtà è l'esatto opposto!! Su Ubuntu l'utente root è disabilitato di default; l'untente normale è configurato per l'utilizzo di sudo perché è ritenuto più sicuro per una serie di motivi. Inoltre tramite sudo, puoi limitare i privilegi di amministratore per un dato tempo, solo per uno specifico utente, solo per specifiche operazioni, ...
Codice: Seleziona tutto
su "nome amministratore"
Codice: Seleziona tutto
sudo purge
In fedora il sistema è simile, se l'utente non è amministratore devi fare
Codice: Seleziona tutto
su
Re: su o sudo?
Questa procedura aggiunge solo complessità al sistema e porta ad una conclusione errata. Infatti, su MacOS è vero che un account amministratore può installare programmi, modificare le impostazioni di sistema e creare, modificare o eliminare utenti e gruppi ma è anche vero che un utente "standard" può installare ed eseguire programmi e script localmente che quindi possono anche essere malware in grado di aprire una reverse shell, criptare i file personali dell'utente interessato, rubare le credenziali di accesso ai siti, minare bitcoin, ...iLupus ha scritto: ↑mer mag 27, 2020 10:30 am Mi spiego meglio: su OS X, sistema certificato UNIX io raccomando sempre (per essere sicuri al 100% invece che al 90%) di usare per tutti i giorni un account NON amministrativo. Negli account non amministrativi (quindi più sicuri dal punto di vista degli attacchi informatici) non si può usare sudo perché non sei un sudoers. In pratica se vuoi fare un comando amministrativo sul terminale del Mac non essendo amministratore, devi faredopo di che puoi fareCodice: Seleziona tutto
su "nome amministratore"
"purge" tanto per fare un esempio di comando da root. Questo mette un doppio lucchetto, infatti tu devi rifare la password due volte, e non una (!!!) e in più devi sapere il nome dell'amministratore. Un malware non può in nessun modo installarsi su un utente non sudoers in questo modo.Codice: Seleziona tutto
sudo purge
Questo vale a maggior ragione per sudo! Infatti con sudo non avrai mai un'intera sessione di root ma, con i massimi privilegi, sarà eseguito un solo comando alla volta!iLupus ha scritto:In fedora il sistema è simile, se l'utente non è amministratore devi fareal terminale. Questi privilegi di root valgono solo per quel terminale che apri lì, e non sono validi per altre operazioni fuori da quella sessione (se tu apri un altro terminale parallelo e contemporaneo, non avrai nessun privilegio.Codice: Seleziona tutto
su
Inoltre affinche su avvi una shell interattiva come root è richiesto che l'account root abbia la possibilità di fare login sul sistema; questo, per riprendere l'esempio dei lucchetti che dicevi prima, è come avere mezzo lucchetto perché l'username è conosciuto (è root!) e si deve "soltanto" indovinare (o fare un bruteforce) sulla password. Il sistema adottato da Ubuntu (bada bene solo da Ubuntu, non da Debian) è una soluzione brillante a questo problema: l'utente root ha l'accesso disabilitato e quindi, per ottenere i privilegi di amministratore si deve conoscere due valori assegnati arbitrariamente: il nome di un account sudoers e la password (che come ho detto in precedenza può anche essere diversa dalla password di login dell'utente!).
Quindi non può nemmeno aggiornare il sistema cosa che un utente sudoers debitamente configurato, potrebbe benissimo fare (e si potrebbe benissimo concedergli solo questo privilegio!). E noi sappiamo bene come un sistema aggiornato sia più sicuroiLupus ha scritto:con il sistema dell'utente "non sudoers" l'utente se non sa quello che fa, operazioni non ne può fare proprio
È vero. Ai malware piace fingersi quello che non sono, ma come detto per il caso di MacOS, per fare danni (ad esempio, possono sfruttare una macro di una suite da ufficio) non è necessario acquisire diritti di amministratore.iLupus ha scritto:Inoltre non sarebbe la prima volta che un malware si finge un'al'tra cosa per ottenere dei privilegi di root trovando una backdoor in un'operazione che in teoria non doveva essere pericolosa per il sistema. Se quell'utente è un sudoers con un qualche accrocchio maligno, il malware potrebbe eseguirsi.
Non è assolutamente vero. Un utente sudoers, se non limitato, può accedere all'intero sistema esattamente come utilizzando su. Il motivo per cui Debian preferisce sudo è chiaramente espresso nella wiki e non devo certo riportarlo qui.iLupus ha scritto: Il wiki di debian considera più pericoloso su perché in teoria (ma bisogna vedere se è così, magari ci sono dei blocchi) uno potrebbe attentare alla privacy di altri utenti da quell'utente che usa su nel terminale. In pratica si considera che è più importante arginare degli ipotetici quanto improbabili attacchi dall'interno rispetto a quelli di vari malware o programmi maligni esterni. Non sono d'accordo.
Comunque, ti ripeto, io non voglio convincere nessuno, se tu credi che il tuo sistema sia migliore continua ad utilizzarlo, ma mi permetto di darti solo un consiglio: dato che non c'è cosa peggiore di un falso senso di sicurezza, non sarei convinto al 100% che il tuo sistema è sicuro cit.
tieniti un po' di margine giusto per non abbassare troppo la guardia
Concludo con un meme:
BTW I USE ARCH
Re: su o sudo?
Comunque per mac os x fare come ho detto io è il modo più sicuro (o meno insicuro, come preferisci). Se qualcuno installa cavolate "in locale" basta eliminare l'account intero.
-
- Argomenti simili
- Risposte
- Visite
- Ultimo messaggio
-
- 0 Risposte
- 361 Visite
-
Ultimo messaggio da CUB3