sudo 執行方式, 不需要知道root的密碼,這才是sudo存在的最大意義,換言之,你可以讓某個使用者某個時間段擁有某些命令(或全部命令)的root操作許可權,但又不用給他root密碼;
當然,樓上其它幾位也說了一些用途,如可帶入使用者環境變數,這些我覺得是附加的便利,並不是關鍵特性;
sudo還有一個用途,就是可以只限制該使用者有限的命令有root許可權, 而不是給所有root的命令許可權給該使用者,具體用法可參照visudo的配置指南;
當然,sudo還可以便於審計,系統審計日誌會記錄具體對應使用者執行的命令;如果幾個人共用root賬號,事後審計稍微比較麻煩;
評論有人提到可以用sudo passwd root, sudo su 來修改密碼或繞過限制,首先,如上面我提到,可以限制這些操作,另外,這些操作也會明確記錄在系統audit log(刪除log或其它繞過系統限制的行為,正常需有其它安全工具來預防);第二,“可以修改密碼”和“修改密碼的操作”是完全不同兩回事,從系統管理員的角度來看,系統管理員(或資料庫管理員)有許可權檢視、修改或拿走公司的資料,和實際進行這些操作是完全不同的一回事;
sudo 執行方式, 不需要知道root的密碼,這才是sudo存在的最大意義,換言之,你可以讓某個使用者某個時間段擁有某些命令(或全部命令)的root操作許可權,但又不用給他root密碼;
當然,樓上其它幾位也說了一些用途,如可帶入使用者環境變數,這些我覺得是附加的便利,並不是關鍵特性;
sudo還有一個用途,就是可以只限制該使用者有限的命令有root許可權, 而不是給所有root的命令許可權給該使用者,具體用法可參照visudo的配置指南;
當然,sudo還可以便於審計,系統審計日誌會記錄具體對應使用者執行的命令;如果幾個人共用root賬號,事後審計稍微比較麻煩;
評論有人提到可以用sudo passwd root, sudo su 來修改密碼或繞過限制,首先,如上面我提到,可以限制這些操作,另外,這些操作也會明確記錄在系統audit log(刪除log或其它繞過系統限制的行為,正常需有其它安全工具來預防);第二,“可以修改密碼”和“修改密碼的操作”是完全不同兩回事,從系統管理員的角度來看,系統管理員(或資料庫管理員)有許可權檢視、修改或拿走公司的資料,和實際進行這些操作是完全不同的一回事;