왜 거의 모든 것에 sudo를 사용해야합니까?

Linux 철학을 올바르게 이해하면 sudo조금만 사용해야하며 대부분의 작업은 권한이없는 사용자로 수행해야합니다. 그러나 sudo패키지 관리, 구성 파일 편집, 소스에서 프로그램 설치 또는 무엇을 포함하든 항상 입력해야하기 때문에 의미가 없습니다 . 이것들은 기술적 인 것이 아니라 일반 사용자가하는 것입니다.

사람들이 암호를 요구하지 않도록 클릭하거나 클릭하지 않는 Window UAC를 상기시켜줍니다. 또한 많은 사람들의 Windows 사용자도 관리자 계정입니다.

또한 일부 사람들은 sudo없이 권한 을 요구하는 명령을 표시하는 것을 보았습니다 sudo. sudo필요하지 않은 방식으로 시스템을 구성 했습니까?

이 시스템 관리 기능을 언급했습니다

패키지 관리, 구성 파일 편집, 소스에서 프로그램 설치

그 것들로

일반 사용자가하는 모든 것

일반적인 다중 사용자 시스템에서는 일반적인 사용자 작업이 아닙니다. 시스템 관리자는 이에 대해 걱정할 것입니다. 그런 다음 "권한이없는"일반 사용자는 유지 관리에 대한 걱정없이 시스템을 사용할 수 있습니다.

가정용 시스템의 경우 시스템을 사용하고 관리해야합니다.

사용하기가 정말 어려운 sudo가요? 그것이 단지 시스템이라면 root쉘에 넣을 수없는 이유가 없습니다 ( sudo -s- 루트 쉘을 얻는 다양한 방법에 대한 개요는 이 게시물 을 참조하십시오 ) 및 / 또는 sudo암호를 묻지 않도록 구성하십시오 .

Sudo / Root는 시스템 관리자가 일반적으로 허용하지 않는 방식으로 표준 사용자가 시스템 구성을 손상 / 변경할 위험이없는 작업을 수행 할 때마다 사용됩니다.

패키지 관리, 구성 파일 편집, 소스에서 프로그램 설치 또는 무엇을 가지고 있는지 여부

이러한 모든 기능은 기술적으로 관리 기능이며 잘못된 작업을 수행하면 시스템이 크게 손상 될 수 있습니다. 회사 환경에서 Sysadmin은 사용자가 본인의 명확한 지식 없이는 할 수 없도록하는 것이므로 sudo입니다.

예를 들어, 상승 된 권한없이 패키지 / 구성 파일을 수정할 수있는 경우 외부 소스가 시스템을 손상 시키거나 손상시킬 수있는 원격 코드를 실행하는 것이 매우 간단합니다. 이러한 작업에 루트 액세스 권한을 요구하면 사용자가 해당 작업의 수행 여부를 결정하게됩니다.

UAC창과 매우 유사하며 실제로 창에 대한 아이디어가 UAC있습니다.

sudo를 처음 사용할 때받는 인용문은 매우 적합하고 매우 중요합니다.

현지 시스템 관리자로부터 일반적인 강의를 받았다고 믿습니다. 일반적으로 다음 세 가지로 요약됩니다.

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

특히 # 2, 입력하기 전에 생각하십시오. 이것이 sudo가 존재하는 중요한 이유입니다. 명령을 입력 할 때 "이 작업을 수행하려면 반드시 루트 여야합니다"가 멈춰서 실제로 수행중인 작업을 중단하고 생각해야합니다.

또한 일부 사람들은 sudo없이 권한 을 요구하는 명령을 표시하는 것을 보았습니다 sudo. sudo필요하지 않은 방식으로 시스템을 구성 했습니까?

해당 명령을 수퍼 유저로 실행해야하지만을 사용하여 실행할 필요는 없습니다 sudo. 예를 들어 su또는 대신 doas(OpenBSDs replacement for sudo)을 사용 하거나 간단히 root로 로그인 할 수 있습니다.

따라서 그들이 여기에 명령을 표시하지 않으면 sudo독자가 자신이 좋아하는 명령을 수퍼 유저로 실행하는 것으로 가정합니다.
가장 확실한 것은 해당 명령을 일반 사용자로 실행할 수 있다는 의미는 아닙니다.

에서 제공 한 보안 기능은 sudo당신이 할 수 있다는 것입니다 없이 시스템 root암호 있도록 root사용자가 직접 로그인 할 수 없습니다. 이 방법은 취약한 암호를 선택하는 사용자를위한 추가 보호 기능을 제공합니다. SSH를 통해 암호를 무차별 공격하려는 공격자는 먼저 유효한 사용자 이름을 파악해야합니다.

또 다른 측면은보다 세분화 된 권한 관리입니다. make; sudo make install대 make; make install로서의 뿌리를 생각하십시오 . 많은 일들이 잘못 될 수 있습니다 make. 잘못 구성된 도구는 중요한 시스템 파일을 덮어 쓰려고 시도 할 수 /lib있으며, 현재 디렉토리 대신 "정리"하고 , 사용 가능한 모든 RAM을 소비하고 시스템을 정지시키는 등의 make install작업은 치명적인 오류 가능성이 훨씬 적은 작은 간단한 동작입니다.

요점은 역사적으로 시스템은 실제로 로그온하고 몇 가지 작업을 수행 한 다음 로그 오프하는 여러 사용자가 공유하도록되어 있다는 것입니다. 따라서 관리자와 일반 사용자의 구별. 이러한 시스템은 여전히 ​​대학 실험실에 존재하며 이러한 컴퓨터를 사용하면 차이를 크게 느낄 수 있습니다. 귀하가 단독 사용자이고 또한 관리자 역할을 수행해야하는 가정용 PC는 훨씬 나중에 개발됩니다.

컴퓨터는 도구입니다. 다른 도구와 비유 해 봅시다. 프라이팬이라고합시다. 때로는 프라이팬을 돌봐야합니다. 예를 들어, 식기 세척기로 청소해야합니다. 접시 비누가 프라이팬을 사용하는 레시피의 필수 성분이라고 말할 수 있습니까? 요리 책에 "접시 비누"가 성분으로 표시되지 않습니다. 그것은 필요하지만 도구 준비는 또 다른 문제이므로 요리 책에서는 언급하지 않습니다. 프라이팬은 청소해야하지만 그것이 만든 것은 아닙니다.

컴퓨터도 마찬가지입니다. 그것은 구성되고 관리되어야하지만, 그것이 만들어지는 것은 아닙니다. 잘 관리하고 구성하면 제대로 작동 할 수 있습니다. 이 작업이 완료되면 시스템 관리자가 아니라 사용자로 사용할 수 있습니다. 그것이 만든 것입니다. 사용자는 더 이상 sudo 가 필요하지 않습니다 . 미리 준비한 도구를 사용하십시오. 물론 프라이팬을 요리 할 때마다 자주 청소해야하는 것처럼 루트 특권을 사용해야합니다.

너무 과장하지 않고 컴퓨터를 사용하기 위해 sudo (또는 루트 암호)가 필요 하지 않다고 말할 수 있습니다. 컴퓨터 만 준비하십시오.

시스템 관리 작업을 제외한 모든 것에 GUI 소프트웨어를 사용하거나 Linux 서버에 대해 이야기하고 있기 때문에 대부분의 액세스는 당연히 시스템 관리입니다. 따라서 셸에서 필요한 작업을 수행하는 것처럼 느껴질 수 있습니다 sudo.

일상적인 작업에 쉘을 사용할 수도 있습니다. 에서 개인 파일 관리 ~, 파일 편집, IRC 채팅, 코드 컴파일, 웹 탐색 등을 모두 쉘에서 수행 할 수 있습니다. 나는 심지어 bc이동 계산기로 도 사용 합니다. 일부 작업은 GUI를 통해 수행하기가 쉽고 일부 작업은 쉘을 통해 수행하기가 쉽습니다. GUI를 사용하는 것을 선호하더라도 셸은 배치 작업 및 자동화에서 우수합니다 (쉘 스크립트 생각). 개인적으로 나는 당면한 작업에 가장 적합한 것을 사용합니다.

경우에 따라 sudo기본적으로 루트가 필요하지만 문제를 일으킬 가능성이없는 작업에 항상 사용할 필요가 없도록 시스템을 설정하는 것이 좋습니다 . 한 가지 예는 직렬 포트를 사용하는 하드웨어로 작업하고 루트가 아닌 일반 사용자로 장치에 액세스 할 수 있도록 udev 규칙을 설정 한 것입니다.

sudo암호를 요구하지 않도록 구성하는 것이 좋지 않다고 생각 합니다. 잘못 입력 한 명령이나 악의적 인 스크립트를 사용하여 전체 시스템을 너무 쉽게 망칠 수 있습니다.

항상 루트가 필요한 작업을 수행해야하는 경우 sudo -s터미널 창에서 영구 루트 셸을 실행 하지 않는 이유 는 무엇입니까? 그러면 암호를 입력하지 않고도 사용할 수 있으며 실수로 사용하기가 쉽지 않습니다. 루트 쉘에있을 때 쉘 프롬프트를 밝은 빨간색으로 설정했습니다.

[...]하지만 패키지를 관리하든 구성 파일을 편집하든 소스에서 프로그램을 설치하든 또는 무엇을하든 항상 sudo를 입력해야하므로 이치에 맞지 않습니다. [...]

이 모든 것과 관련된 암시적인 형용사는 그것들이 시스템 전체 또는 전체적인 변화라는 것입니다. 여러 사용자가 동일한 설치를 원격으로 사용 하는 다중 사용자 시스템 ¹ 로 Unix의 출처를 고려해야합니다 . 한 평신도 사용자가 모든 사용자의 전체 설정을 변경하도록 허용하는 것은 이치에 맞지 않습니다. 그것은 sysadmin, 루트, 특권 및 책임이었습니다.

다중 사용자 설정에서는 사전 설치된 소프트웨어와 시스템 전체 구성이 각각 아래 /usr에 /etc있습니다. 이 위치를 터치하면 루트 권한이 필요합니다. 그러나 Unix 소프트웨어는 다중 사용자를 염두에두고 작성되었으므로 $HOME 디렉토리 ² 아래에서 소프트웨어를 컴파일 및 설치 하고 홈 아래에 자체 구성 파일을 보유 할 수 있으며, 여기서 수퍼 유저가 아닌 파일을 자유롭게 편집 할 수 있습니다.

가정에 자체 소프트웨어를 설치하는 것 외에도 대부분의 시스템 전체 소프트웨어는에서 구성을 $HOME처음 읽은 직후 부터 사용자 별 구성을 읽습니다 /etc. 이를 통해 대부분의 작업을 사용자 정의 할 수 있습니다 root.

가정용 PC를 사용하면 단일 기본 사용자 설정으로 원하는 것을 사용 sudo하고 근절 할 수 있습니다 . 그러나 응용 프로그램 구성 을 만지지 /etc말고 항상 집에서 사용자 별 구성을 제공하는 것이 일반적 입니다. 이렇게하면 패키지 관리자가 업그레이드시 시스템 전체 구성을 재설정 할 수 있습니다. 단일 사용자 설정에서는 시스템 전체에 새로운 소프트웨어를 설치하는 것이 좋습니다. 배포판 패키지는 대안을 가정하지 않으므로 쉽게 벗어날 수 있습니다.

패키지 관리자가 전 세계에 물건을 설치하도록 허용하지만 소스에서 컴파일 한 모든 내용과 직접 만든 물건은 아래에 둡니다 $HOME. 그리고 나는 그것을 위해 sudo 할 필요가 없습니다.

당신이 당신의 외부 데이터 파일 저장이 있으면 $HOME, 부담없이 chown또는 chgrp당신이하지 않고 파일에 액세스 할 수 있도록 이름으로 디렉토리 sudo.

^[1] (Unix가 Multics 운영 체제의 '단일 사용자'버전이 되었기 때문에 약간 아이러니합니다)

^[2] (홈 파티션을 noexec로 마운트하지 않아 시스템에서 허용하는 경우)

UNIX (및 하강에 의해 Linux)를 위해 설계된 여러 종류의 다중 사용자 시스템에서 이는 일반적인 사용자 작업 이 아닙니다 . 시스템 관리자가 일반 사용자는 수행하지 않을 수 있으므로 시스템 관리자는 실제로 sysadmin이이를 수행하도록 요청합니다.

그러나 단일 사용자 홈 시스템에서도 일반적인 사용자 조치 는 아닙니다 . 일반적으로 시스템을 처음 설정할 때 이러한 작업을 수행해야 할 수도 있지만, 일단 완료되면 일반 사용자가 자주 수행하지 않아도됩니다 . 대부분의 일반 사용자는 이미 설치된 프로그램 / 패키지를 사용하여 홈 디렉토리 (또는 그 하위 디렉토리) 내의 파일을 작업하기 만하면 sudo됩니다. 또는 시스템의 다른 곳에서 해당 목적을 위해 따로 설정 한 특수 디렉토리에서 작동 할 수 있으며 sudo이를 설정 해야 하지만 일반적으로 한 번만 수행하면됩니다.

왜 중요한가요? "단일 사용자가"잘못된 이름이기 때문에 : 당신은 당신이 유일한 수 있습니다에도 불구하고, 컴퓨터의 유일한 사용자가 아닌 인간 사용자 . 일반적인 가정용 Linux 설치에서도 많은 프로그램이 시스템을 다양한 방식으로 사용하도록 설정되어 있으며, 백업, 업데이트, 맬웨어 검사 및 처럼. 대부분의 경우 이러한 사용은 완전히 양성이지만 일부 사용의 경우에도 사용자가 실제로 원하는지 확인하는 것이 좋습니다. 그리고 그러한 경우가 발생 sudo합니다. 컴퓨터는 누군가 (아마도, 아마도 프로그램)가 말한 것을 실제로하고 싶은 사람인지 확인하기 위해 체크인하고 있습니다.. 그리고 그것은 당신이 가장하고 싶지 않은 악성 코드의 가능성에 들어 가지 않습니다.

이것은 일반적으로 표현 된 것만 큼 흔하지는 않지만 일반적으로 일반적인 내부에서 결과를 달성하기 위해 훨씬 더 일반적인 특권 시스템 호출이 필요한 경우에 발생합니다.

• USB 스틱을 마운트 해제하고 옮깁니다. umount당신이 그것으로 많은 것들을 마운트 해제 할 수 있기 때문에 심각한 명령입니다.
• 로컬 무선 네트워크에 연결하십시오. 특별한 것은 아니지만 네트워크 구성 ( ifup등)은 수퍼 유저 전용입니다.
• 업데이트되지 않은 경우 실행을 거부하는 자체 업데이트 앱. 업데이트 = 설치이며 원하지 않는 것을 포함하여 많은 것을 설치할 수 있습니다.

시스템은 일반적으로 그러한 경우의 수를 줄이기 위해 진화합니다. USB 스틱은 이제 사용자가 장착 할 수 있으며 네트워크는 사용자가 연결할 수 있습니다. 그러나 항상 이런 것은 아니 었습니다.

가정 : 이것은 시스템과 데이터입니다.

sudo매번 입력하지 않고 실수로 데이터를 지우거나 OS를 브릭 킹하는 것의 위험성보다 가중치를 부여하면됩니다 .

홈 서버에서 일상적으로 로그인하고 루트로 작업하기 때문에 저 할 수 있어요 더 쉽습니다.

당신은 천재를 겪지 않으면 핵무기를 발사 할 수 있다고 들겠 sudo지만 현실은 오늘날 사람들이 root많은 장치 (TV, 휴대 전화, 토스터, Windows (예 : 당신이 언급)). 많은 사람들이 다르게 생각하기를 원하지만 리눅스는 여기서 다르지 않습니다.

BTW UAC는 sudo멀웨어가 당신을 대신하여 일을하고 싶어 할 때를 볼 수 있도록 사람의 역할이 (삶을 비참하게 만드는 것 외에도) 모델링되지 않았습니다 .

_{(*) root전력은 중요한 데이터를 핵으로 처리하는 능력으로 정의됩니다. "대단한 힘으로 큰 문제가 생긴다"(또는 그 무엇이든) 격언이 적용됩니다.}

내 가정이 틀렸다 면 여전히 위의 위험에 가중치를 두어야하지만 더 많은 변수가 있습니다 (직업, 배우자가 촬영하고 동일한 랩톱에 저장된 사진 등 ...)

초기 질문을 작성한 사람을 방어하기 위해 지난 몇 년 동안 동일한 질문이 있었지만 다른 접근 방식을 취했습니다.

여기의 대부분의 답변은 루프와 함께 재생 될 수 있습니다. 왜냐하면 sudo와 root에 대해 같은 점을 강조하기 때문입니다. 이 주제에 다른 관점을 추가하겠습니다.

내가 유닉스와 리눅스를 배운 방식은 내 컴퓨터 중 하나를 "기니피그"로 사용하는 것이었다. 나는 SCO Linux를 설치하고 결국 Solaris와 Linux를 훨씬 나중에 설치하면서 루트로 즐겁게 실험하면서 디렉토리 계층과 무제한 액세스 권한을 가진 모든 파일을 읽고 탐색 할 수 있으며 집에 "일반 사용자"계정을 만들 수 있습니다. -유일한 사용자 였지만 다중 사용자 상자를 사용했습니다. 그리고 그렇게해서 다행입니다. "Unix Philosophy"와 Unix가 실험에 사용되는 방식에 대해 많은 것을 배웠습니다.

보안에 대해 많은 것을 배우고 터미널에 rm -rf / *를 루트로 입력하여 위험한 명령을 실행했습니다. (이 작업을 수행하지 마십시오! IT가 시스템을 선택합니다!) 실시간으로 어떤 일이 발생하는지 확인하기 위해 이와 같은 작업을 수행했습니다. 나는 사전에 결과를 아는 이런 종류의 일을했지만 여전히 그렇게 많은 것을 배웠습니다. 나는 웹이 존재하기 전에 SCO Unix LONG을 사용하고 있었고 (예, 나는 나이가 들었습니다!)이 방법을 실험하는 것은 내 학습에 매우 중요했습니다.

그래서 내가 말하는 것은 무언가 잘못되었을 때 다시 설치하는 것을 신경 쓰지 않는다면, 루트로 su 또는 로그인을 사용하고 구성 / 해킹하십시오! 그렇게함으로써 많은 것을 배울 수 있습니다.

여기서 많이 반복 된 조언은 타당한 이유 때문에 반복되었다는 점을 기억하십시오. 모범 사례 프로토콜은 compsec이 발전함에 따라 수십 년 동안 발전해 왔으며 시스템의 가정 / 단일 사용자 인 경우에도주의를 기울여야합니다. . 이렇게하면 좋은 sysadmin 위생 / 습기가 제 2의 자연이 될 것입니다.

su와 sudo의 주제에 대해 생각할 음식. 행복한 해킹!