PTT數位生活區 / Linux

[問題] 關於 linux user 轉換的問題

看板Linux作者 (gowrite)時間4年前 (2020/10/21 09:40), 4年前編輯推噓6(6032)
留言38則, 6人參與, 4年前最新討論串1/2 (看更多)
各位好,我是一個 Linux 自學的新手, 想問一個有關於 Linux 中在 BASH 作 user 轉換的實際意義, 假設使用 centOS 系統中, 有三個 users (root , alice , bob) 其中 alice 在 wheel group 中 (意即 alice 可以使用 sudo 指令) 當 alice 登入系統,取得自己的 BASH shell 之後, 就可以使用轉換 user 指令 $ sudo su - bob 然後 alice 輸入自己密碼,就可以轉換 user 變成 bob 就可以用 bob 的角色做事情, 這邊就是我最搞不懂的部分 1. 爲什麼 Linux 系統會允許 user A 可以不需要 user B 的允許, 就讓 user A 自己轉換爲 user B 去做事情? 這樣跟帳號盜用的差別在那裡? 2. 爲什麼 Linux 系統在 user A 轉換成 user B 時,要輸入的是 user A 的密碼, 而不是 user B 的密碼? 3. Linux 系統如此設計的意義是在哪裏呢? 同樣的東西在 windows,alice 則必須要在 logout 之後, 重新以 bob 的賬號登入,並且是以 bob 的密碼登入, 我一直搞不懂 Linux 爲什麼轉換成別人的 user account 是用自己的密碼 希望有熟悉 Linux 系統意義的前輩可以幫忙解惑, 謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.255.199.87 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1603244443.A.837.html
10/21 09:48, 4年前 , 1F
1/3 一般帳號不會給比較高的權限,所以用sudo來限制
10/21 09:48, 1F
10/21 09:49, 4年前 , 2F
也不需要像windows 登出登入來取得權限
10/21 09:49, 2F
10/21 09:49, 4年前 , 3F
2 因為你用sudo , 你改用 su - user_B 就是要B的密碼
10/21 09:49, 3F
10/21 09:50, 4年前 , 4F
大部分的帳號也都不會給到可以用sudo
10/21 09:50, 4F
10/21 10:05, 4年前 , 5F
root權限在一般非安全強化的linux系統就等於是所有權限
10/21 10:05, 5F
10/21 10:06, 4年前 , 6F
root可以setuid成任何使用者,連密碼都不需要.你以為輸入
10/21 10:06, 6F
10/21 10:07, 4年前 , 7F
bob自己密碼才變alice,事實上那個密碼是成為root的過程,
10/21 10:07, 7F
10/21 10:07, 4年前 , 8F
從root變alice不用密碼
10/21 10:07, 8F
10/21 10:08, 4年前 , 9F
你把指令分成兩動作sudo su以及su alice就懂我上面的意思
10/21 10:08, 9F
所以實際一般系統來說, 除了 root / admin 之外,通常不會給一般帳號有 sudoer 的權限,這樣對嗎? 那這邊想再跟前輩詢問幾個問題, 我想不通的問題部分 1. 假設整個系統除了 root 以外,還有一個 admin 帳號有在 wheel group 中, 那如果使用 admin 帳號者有不法的意圖,偷偷轉換成 bob 帳號做了非法的事情, 那 bob 該如何得知是 admin 所作,或證明 admin 所作, 意即非 bob 本人作的? 謝謝 ※ 編輯: gowrite (111.255.199.87 臺灣), 10/21/2020 10:15:31 ※ 編輯: gowrite (111.255.199.87 臺灣), 10/21/2020 10:18:09
10/21 10:23, 4年前 , 10F
看log和門禁等資料,能sudo的沒幾個,誰在該時間有先登入或
10/21 10:23, 10F
10/21 10:24, 4年前 , 11F
接近電腦,就可以知道是誰.當然你說sudo幹壞事順便清log,
10/21 10:24, 11F
10/21 10:25, 4年前 , 12F
所以真正重要系統以前會有console log printer,現在大概
10/21 10:25, 12F
10/21 10:25, 4年前 , 13F
就禁止遠端登入者sudo
10/21 10:25, 13F
10/21 10:28, 4年前 , 14F
一般環境就限制sudo能做的命令就夠了,真正需要root權限的
10/21 10:28, 14F
10/21 10:28, 4年前 , 15F
狀況通常可以列舉
10/21 10:28, 15F
10/21 11:00, 4年前 , 16F
1. root 不需要有sudo權限,啊我就root 了還 sudo個鬼
10/21 11:00, 16F
10/21 11:02, 4年前 , 17F
2.如果bob帳號就沒有特殊權限,要做哪些非法的事?
10/21 11:02, 17F
10/21 11:02, 4年前 , 18F
root和admin在一般正常系統是不能直接登入,要先經過su,而
10/21 11:02, 18F
10/21 11:02, 4年前 , 19F
su和sudo會有log
10/21 11:02, 19F
10/21 11:02, 4年前 , 20F
如果還是會怕,可以開啟紀錄所有指令的功能,對照登入
10/21 11:02, 20F
10/21 11:03, 4年前 , 21F
時間
10/21 11:03, 21F
10/21 11:05, 4年前 , 22F
故意偽裝bob也是有可能,就是把一些不該有的東西以bob名義
10/21 11:05, 22F
10/21 11:05, 4年前 , 23F
存放在bob目錄下之類的,不過這類動作root可以chown做到,
10/21 11:05, 23F
10/21 11:06, 4年前 , 24F
但先su bob比較不會漏做而出包,我猜大概這類意思
10/21 11:06, 24F
10/21 12:38, 4年前 , 25F
root權限是給受信任的管理者用的,你的問題是如果有權限的人
10/21 12:38, 25F
10/21 12:38, 4年前 , 26F
不能被信任? sudo可以限制哪些人可以sudo什麼內容,只需要看
10/21 12:38, 26F
10/21 12:38, 4年前 , 27F
log的人就不用給sudo su 的權限
10/21 12:38, 27F
10/21 12:42, 4年前 , 28F
當利益夠大,有權限的人確實也不一定能被信任啊 XD 制衡才
10/21 12:42, 28F
10/21 12:42, 4年前 , 29F
是比較好方法.進機房console管理電腦,操作什麼都有錄影,
10/21 12:42, 29F
10/21 12:43, 4年前 , 30F
門禁系統和錄影分由2人(或小姐)負責
10/21 12:43, 30F
10/21 12:43, 4年前 , 31F
小組 (更正錯字,差個字差很多XD)
10/21 12:43, 31F
10/21 13:06, 4年前 , 32F
有root當然想用誰的帳號就用誰的 想砍掉帳號都可以了
10/21 13:06, 32F
10/21 15:54, 4年前 , 33F
電影駭客任務裏,管理者可以附身到任意的人身上就是su
10/21 15:54, 33F
10/21 16:46, 4年前 , 34F
要先有最大管理者權限(root)設定sudo ,sduo 有log檔
10/21 16:46, 34F
10/21 16:47, 4年前 , 35F
windows 的 administrator 不是也可以進到使用者家目錄
10/21 16:47, 35F
10/21 16:49, 4年前 , 36F
sudo 可以避免密碼外洩 , su - user就需切換帳號的密碼
10/21 16:49, 36F
10/21 16:52, 4年前 , 37F
sudo allows a permitted user to execute a command as
10/21 16:52, 37F
10/21 16:52, 4年前 , 38F
specified by the security policy.
10/21 16:52, 38F
更多 gowrite 的文章
文章代碼(AID): #1VZv6RWt (Linux)
Linux 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 gowrite 的文章
文章代碼(AID): #1VZv6RWt (Linux)