複数のユーザーがリモートでログインするヘッドレスサーバーがあります。他のユーザーはsudoersファイルにないため、通過できませんsudo
。ただし、権限がsu
あるため-rwsr-xr-x
、ルートパスワードを無差別に代入する試みを防ぐことはできません。
ユーザーがルートパスワードを知っている場合は、とにかくシステムが破損する可能性があると主張するかもしれませんが、私はそうではないと思います。 OpenSSHは、他のユーザーがサーバーに物理的にアクセスできないようにPermitRootLogin no
構成されています。PasswordAuthentication no
私が知る限り、フル実行権限は、/usr/bin/su
ユーザーが自分のサーバーからrootアクセス権を取得しようとする唯一の方法です。
私をさらに混乱させることは、それがうまくいかないようです。su
何もせずにただ走ることができますが、sudo su
不便ではありません。
私は何かを見落としましたか?su
ただ歴史的な理由で公演ができる世界の許可はありますか?この権限を削除すると、まだ経験していない欠点はありますか?
ベストアンサー1
何かを逃したイルカチュウの答え問題は、ルートに昇格させることは1つの特定の用途にすぎないということですsu
。 suの一般的な用途は、他のユーザーのログインアカウントで新しいシェルを開くことです。他のユーザーできるはいroot
(おそらく最も一般的に)、しかし、su
次のように仮定するために使用できます。どのローカルシステムで確認できるID。
たとえば、ユーザーとしてログインして報告されたが再現できない問題を調査しjim
たい場合は、ユーザーとしてログインして問題を引き起こすコマンドを実行しようとします。mike
mike
13:27:20 /home/jim> su -l mike
Password:(I type mike's password (or have him type it) and press Enter)
13:27:22 /home/mike> id
uid=1004(mike) gid=1004(mike) groups=1004(mike)
13:27:25 /home/mike> exit # this leaves mike's login shell and returns to jim's
13:27:29 /home/jim> id
uid=1001(jim) gid=1001(jim) groups=1001(jim),0(wheel),5(operator),14(ftp),920(vboxusers)
-l
オプションを使用すると、ログイン全体(ページsu
ごと)をシミュレートします。man
ただし、上記の操作を実行するにはmike
パスワードを知る必要があります。アクセス権があれば、sudo
パスワードなしでログインできますmike
。
13:27:37 /home/jim> sudo su -l mike
Password:(I type my own password, because this is sudo asking)
13:27:41 /home/mike>
要約すると、実行可能ファイルの権限がsu
表示されているのと同じsu
理由一般ツールシステムのすべてのユーザーが使用できます。