然而,由于权限上su
有-rwsr-xr-x
没有什么东西尝试暴力破解root密码阻止他们。
是。假设您使用的是普通的Linux系统,该pam_unix.so
模块会将认证尝试失败的时间延迟了大约2秒钟,但是我认为没有什么可以阻止同时尝试的。
当然会记录失败的尝试:
Aug 16 22:52:33 somehost su[17387]: FAILED su for root by ilkkachu
如果您有用于监视密码的任何系统,则暴力破解密码应该在日志中突出显示。如果您拥有不受信任的本地用户,也许应该。不受信任的本地用户还可以尝试使用任何仅本地特权升级漏洞,并且比远程特权升级更为普遍。
更令我困惑的是,它似乎根本没有用。
当然,它很有用root
,如果您知道密码,它可以使您提升为。
它使我可以su
直接运行而不需要执行操作sudo su
,但这并不麻烦。
sudo su
有点多余。无需使用两个程序即可让您以另一个用户身份运行程序,一个程序就足够了。如果要运行shell,只需使用sudo -i
或sudo -s
(或其他sudo /bin/bash
)。
我在俯视什么吗?世界是否出于历史原因才对su执行许可?
往上看。好吧,并非所有系统都sudo
可以替代,我不确定您是否认为这是历史性的。
删除我尚未遇到的权限是否有不利之处?
据我所知,不是真的。我认为某些系统已su
设置为仅特定组(“ wheel
”)的成员可以运行它。sudo
如果喜欢(chown root.sudousers /usr/bin/sudo && chmod 4710 /usr/bin/sudo
),也可以执行相同的操作。
或者,如果不需要它们,则可以仅删除其中一个或两个程序。尽管在Debian上,软件包su
附带了login
,所以从整体上删除软件包可能不是一个好主意。(并且像这样配对login
并su
在一起似乎有些历史性。)
sudo
安装可选件的系统呢?我想说这是个很大的不便;)