sudo | doas | su: Подробный разбор

2026-06-04 / Линукс (Linux)
Оценили: 4

*https://www.youtube.com/watch?v=00mVG7reB8k
**https://300.ya.ru/v_aI5P8YdH

таймкоды

00:00:01 Введение

  • Приветствие от Амперсанта.
  • Продолжение обсуждения альтернативы команды sudo — DOS.
  • Объяснение, почему использование sudo на десктопе считается сомнительным.

00:00:29 Многопользовательская система Linux

  • Linux — многопользовательская система с обычными пользователями и root-пользователем.
  • Root-привилегии используются для изменения системных конфигураций и установки программ.
  • Три утилиты для работы с root-привилегиями: sudo, DOS и SU.

00:01:03 sudo

  • sudo — самый популярный способ работы с root-правами.
  • Принцип работы: ввод команды и пароля.
  • Множество функций, включая делегирование прав и логирование вывода команд.

00:01:23 Уязвимости sudo

  • Кодовая база sudo раздута до 500 тысяч строк кода.
  • Примеры уязвимостей: 10-летняя уязвимость в sudo-edit, утечка памяти в 2023 году.
  • Около 17 уязвимостей за всё время существования программы.

00:02:59 Критика sudo

  • Критика раздутой кодовой базы sudo для десктопных пользователей.
  • Рекомендация минималистичных альтернатив, таких как DOS.

00:03:27 DOS

  • DOS — минималистичная альтернатива с кодовой базой в 130 раз меньше, чем у sudo.
  • Простота настройки: установка пакета OpenDOS и настройка файла etcdos.conf.
  • Две уязвимости за всю историю DOS.

00:04:47 SU

  • SU — третья альтернатива, не требующая настройки и присутствующая на всех дистрибутивах Linux.
  • Минималистичный вариант с 1000 строками кода.
  • Погонится в пользователя root и исполняет команды от его имени.
  • Не используется на серверах из-за отключённой возможности залогиниться в root.

00:05:54 Заключение

  • Все три метода имеют свои плюсы и минусы.
  • Выбор зависит от личных предпочтений пользователя.
  • Автор считает DOS золотой серединой между sudo и SU.

Transcript

0:01
Приветствую всех любителей технологий с
0:03
вами амперсант это видео является
0:05
продолжением предыдущего где я затронул
0:08
альтернативу команды суда под названием
0:10
DOS из-за очень поверхностного разбора
0:13
оно в итоге вызвало довольно
0:15
неоднозначную реакцию Так что в этом
0:17
видео Я подробнее раскрою свою позицию
0:19
насчет суда и объясню почему Лично я
0:22
считаю ее использование на десктопе
0:24
сомнительным а также затрону еще одной
0:26
альтернативу под названием су
0:29
Итак начнем с того что Linux это
0:31
многопользовательская система Если вы
0:33
используете эту систему на десктопе то у
0:35
вас скорее всего есть обычный юзер и
0:37
Root User Можно конечно все время сидеть
0:40
из подрута Но это крайне небезопасно и
0:42
многие утилиты в принципе не позволяют
0:44
так делать поэтому мы в основном
0:46
используем Linux залогинившись в
0:47
обычного юзера и используя привилегии
0:50
только если нам нужно поменять системные
0:51
конфиги установить что-то через пакетный
0:54
менеджер ремонтировать диск и так далее
0:55
и существует три утилиты позволяющие
0:58
исполнить что-то привилегиями суда Duos
1:02
isu суда Это самый популярный способ это
1:05
утилита установлена по умолчанию почти
1:07
на каждом дистрибутиве принцип работы у
1:10
него очень простой пишем суда и команду
1:12
которую мы хотим исполнить и затем
1:14
вводим пароль и на этом по сути все
1:16
большая часть людей использует суда
1:18
только для этого Хотя у этой утилиты
1:21
намного больше функций в мануале по
1:24
конфигурационному файлу RS больше двух
1:27
тысяч строк к при что позволяет
1:29
делегировать особые права пользователям
1:31
при этом не давая полный Root права или
1:34
логировать вывод команды при этом
1:35
компрессируя его залип архив или даже
1:38
оскорблять пользователя если он возит
1:40
неправильный пароль в суду настолько
1:42
много всего что его кодовая база
1:43
раздулась до 500 тысяч строк кода если
1:46
мы возьмем к примеру файловый менеджер
1:49
pcman FM Профи видеоплеер MPV и оконный
1:53
менеджер Openbox то кодовая база всех
1:55
этих программ вместе взятых будет меньше
1:58
чем суда А ведь это все гуишные
2:01
приложения и конечно же в таком огромном
2:04
объеме кода обязательно найдется
2:05
несколько уязвимостей к примеру в 2022
2:08
году была обнаружена десятилетняя
2:11
уязвимость в суда Эдит который не убирал
2:13
бэксплэша в конце строки и таким образом
2:15
возникало возможность эскалации
2:17
привилегий в 2023 году была найдена еще
2:20
одна уязвимость связанная с утечкой
2:22
памяти которая путем несложных махинаций
2:24
позволял получать Root права без пароля
2:26
если судебств было слово в этом же году
2:30
был найден еще один багдор и снова
2:32
связанный с судоэдит который позволял
2:34
изменять любые файлы в системе без
2:36
root-прав если при указании дефолтного
2:38
редактора текста указать также аргумент
2:40
двойной тире и это лишь верхушка
2:42
айсберга за все время существования этой
2:45
программы было обнаружено около 17
2:46
уязвимостей Хотя конечно вряд ли
2:49
какая-нибудь уязвимость сотрудник именно
2:51
вас ведь атаковать рядовых пользователей
2:53
Почти никто не будет так что это не
2:55
такая уж и большая проблема Если вы не
2:57
используете суда на сервере если
3:00
подводить итог то суть моей критики суда
3:02
сводится к тому что для юзеров иннокса
3:04
на десктопе использовать этот безобразно
3:07
раздутый программный продукт с ходовой
3:09
базой больше чем у многих уличных
3:10
приложений это крайне сомнительная идея
3:13
когда есть намного более минималистичной
3:15
альтернативы например Duos в плане
3:18
кодовой базы до 130 раз меньше чем суда
3:22
но как правильно заметили в комментариях
3:24
даже 4000 строк это все еще много Дело в
3:27
том что до вас был портирован Open bsd и
3:30
там довольно много строк потраченных на
3:32
совместимость с ядром Linux что конечно
3:34
не очень хорошо Если вы когда-нибудь
3:37
ставили арч то вы знаете что для
3:38
правильной работы суда нужно добавить
3:40
пользователя в группу Will открыть файл
3:42
и TC suders но не через Vim А через
3:44
висуда и раскаментировать там строку
3:46
позволяющую всем пользователям группы
3:47
был использовать суда
3:50
в случае с DOS Все намного проще
3:52
устанавливаем пакет Open Duos открываем
3:54
файл tcdos.com и пишем здесь пирамид имя
3:58
пользователя и все можно спокойно
4:00
пользоваться Если вы хотите чтобы до вас
4:03
не спрашивал пароль каждый раз а был
4:04
определенный тайм-аут то добавьте
4:06
персист после слова пермит
4:09
что касается безопасности то DOS меня
4:11
немного расстроил за всю историю доза
4:13
была обнаружено две уязвимости одна
4:15
связана с неправильной переменной пав а
4:17
другая системным вызовом с вот таким вот
4:19
названием Хотя опять-таки если вы
4:21
используете Linux на десктопе то
4:23
проблема с уязвимостями не так Критична
4:25
также Если кого-то вдруг волнует
4:27
проблемы совместимостью при переходе на
4:29
до 100 например на Агенту и на воде Я
4:31
использовал исключительно DOS И никаких
4:33
проблем я не испытывал У меня даже суда
4:35
установлен не был в то время как на арче
4:38
суда лучше не удалять потому что он
4:39
нужен для сборки пакетов через
4:47
так или иначе хоть до своим неплохо
4:50
справляется со своей задачей
4:51
сомнительные корни этой программы
4:53
побуждают многих людей ей не
4:54
пользоваться Однако есть третья
4:57
альтернатива под названием SU в отличие
5:00
от DOS исуда она не требует совершенно
5:01
никакой настройки и присутствует
5:03
буквально на всех дистрибутивах линукса
5:05
так как является частью пакета утил
5:07
Linux для получения нужно просто
5:10
написать SU ввести пароль и мы получаем
5:12
доступ к shellus ртом Если же нужно
5:15
вести просто одну команду то делается
5:17
через параметр C для удобства можно
5:19
создать вот такой вот shellscript чтобы
5:20
не писать постоянно кавычки
5:24
су это пожалуй самый минималистичный
5:27
вариант из трех в нем всего 1000 строк
5:29
кода что меньше чем судов 500 раз И
5:32
насколько мне известно скандалов
5:33
уязвимостями у него не было Ключевое
5:36
отличие су от DOS и суда Это то что он
5:39
логинится в пользователя Root и
5:40
исполняет команды от его имени а не дает
5:43
временные обычному пользователю по этой
5:46
причине су например не использует на
5:48
серверах потому что там часто отключают
5:50
возможность залогиниться врут в целях
5:52
безопасности
5:54
но в целом все три метода имеют свои
5:57
плюсы и минусы и какой из них лучше
5:59
всего подойдет лично вам это дело вкуса
6:01
может быть вам обязательно нужна
6:03
какая-то функция и ссуда без которой Ну
6:05
вообще никак может быть Вам нужна просто
6:07
минималистичная альтернатива суда как
6:09
например DOS А может быть Вам нужно
6:11
именно залогиниться врут а не получить
6:13
временный root права для обычного
6:15
пользователя и тогда вам подойдет
6:16
Обычный суп вообще довольно забавно что
6:19
рекомендую от DOS в прошлом видео Я в
6:21
итоге оказался Между двух огней с одной
6:23
стороны люди которые не считают суда
6:25
излишне раздутым а с другой стороны люди
6:27
которые считают меня недостаточно
6:29
радикальным минималистом который
6:31
рекомендует использовать DOS когда есть
6:33
суд Хотя лично для меня DOS здесь
6:35
является золотой серединой Ну как
6:37
говорится на вкус и цвет товарищей нет В
6:40
общем на сегодня все Всем пока
6:43
[музыка]

Поделиться:

Похожие записи