Kako koristiti sudo u Linuxu kao profesionalac

Početna » piton » Kako koristiti sudo u Linuxu kao profesionalac

Ako koristite Linux duže od nekoliko dana, prije ili kasnije ćete naići na sudo naredbu. Možda pokušate instalirati paket, urediti sistemsku datoteku ili ponovo pokrenuti servis, a ljuska odgovori porukom „Dozvola odbijena“ ili „Operacija nije dozvoljena“. To je obično podsjećanje Linuxa da su obični korisnici namjerno ograničeni i da vam je potreban siguran način da privremeno djelujete kao administrator. Upravo tu dolazi do izražaja sudo.

Sudo („superkorisnik do“ ili „zamjenski korisnik do“) omogućava određenim korisnicima da izvršavaju naredbe s povišenim privilegijama na kratko vrijeme. To je temeljni kamen Linux sigurnostUmjesto da se prijavljujete kao svemoćni root račun, ostajete kao vaš normalni korisnik i eskalirate samo kada je to apsolutno neophodno. Usput, sudo bilježi ko je šta uradio i kada, omogućava vam fino podešavanje dozvola u sudoers datoteci, pa čak i zaštitu od nekih uobičajenih grešaka. U ovom vodiču ćemo detaljno objasniti kako sudo funkcioniše, kako ga pravilno konfigurisati i kako izbjeći mnoge zamke koje dolaze s previše moći.

Šta je zapravo sudo i zašto je važan

U svojoj suštini, sudo je mali program koji izvršava drugu naredbu kao drugi korisnik, obično root, prema pravilima definiranim u /etc/sudoers. Kada pokrenete komandu sa sudo komandom, stvarni i efektivni korisnički i grupni ID-ovi procesa (UID i GID) se mijenjaju kako bi odgovarali ciljnom računu. U većini postavki, to je root, ali može biti bilo koji korisnik ili grupa koju navedete.

Historijski gledano, Unix sistemi su jednostavno direktno koristili root nalog, često putem su (prebacivanje korisnika). Administratori bi se prijavili kao root ili pokrenuli su - sa svog korisničkog računa i ostanu tamo dok ne završe. Funkcionisalo je, ali je također značilo da jedna greška u kucanju ili zlonamjerna naredba mogu uništiti sistem, a nije postojala ni precizna kontrola nad tim ko šta može uraditi. Sudo je kreiran 1980-ih kako bi riješio upravo ovaj problem omogućavanjem kontrolirane eskalacije privilegija.

Moderne Linux distribucije poput Debiana, Ubuntua, Fedore, openSUSE-a i Red Hat Enterprise Linuxa isporučuju se sa unaprijed instaliranim ili lako dostupnim sudo-om. Na nekim sistemima (posebno na mnogim Ubuntu sistemima), root nalog je zaključan po defaultu i prvi korisnik umjesto toga dobija sudo pristup. Na drugima (kao što su klasični Debian ili RHEL), root se i dalje koristi, a sudo je opcioni, ali toplo preporučeni alat.

Filozofija koja stoji iza sudo-a je "najmanje privilegija": dati ljudima taman onoliko prava koliko im je potrebno da obavljaju svoj posao, i ni malo više. Umjesto da dajete root lozinku svima kojima bi povremeno mogla zatrebati administratorska prava, dodjeljujete im ciljane sudo dozvole, koje se kasnije mogu opozvati bez promjene lozinki.

Osnovno korištenje sudo naredbe na Linux sistemima

Na tipičnom Linux desktop računaru ili serveru, većinu vremena radite kao neprivilegovani korisnik sa ograničenim dozvolama. Možete raditi u svom početnom direktoriju, pokretati aplikacije i manipulirati datotekama koje posjedujete. Sistemski direktoriji poput /usr, /etc, /var i /usr/local su uglavnom zabranjeni za pisanje osim ako niste root ili ne koristite sudo.

Root je superkorisnički račun koji može čitati i pisati gotovo sve, učitati module kernela, upravljati korisnicima i instalirati softver. Budući da je root toliko moćan, opasno ga je koristiti ležerno: jedna pogrešna komanda (zamislite rm -rf /) može obrisati vaš sistem, a svaki zlonamjerni softver koji se pokreće kao root ima potpunu kontrolu.

Sudo premošćuje jaz omogućavajući korisnicima koji nisu root korisnici da izvršavaju određene privilegovane naredbe bez prijavljivanja kao root. Na primjer, umjesto prelaska na root pristup za instalaciju softvera, možete pokrenuti sudo apt install package or sudo zypper in packageBinarna datoteka sudo konsultuje svoju konfiguraciju kako bi odlučila da li vam je dozvoljeno da pokrenete tu komandu i kao koji korisnik.

Sistem administrator kontroliše ponašanje sudo naredbe koristeći datoteku /etc/sudoers i opcionalne dodatne isječke koda u /etc/sudoers.d. Ove datoteke određuju koji korisnici ili grupe mogu pokretati koje naredbe, s kojih hostova i kao koji ciljni korisnici. Također definiraju sigurnosne postavke, opcije evidentiranja, rukovanje okruženjem i još mnogo toga.

Kako sudo funkcioniše ispod haube

Kad god ispred komande stavite prefiks sudo, program provjerava vaše dozvole i obično traži lozinku za vašu autentifikaciju. Podrazumevano na mnogim distribucijama, sudo će tražiti vašu korisničku lozinku, a ne root lozinku, iako se to može promijeniti u konfiguraciji.

Nakon uspješne autentifikacije, sudo izvršava traženu naredbu s povišenim privilegijama i pokreće kratki "grace period". Tokom tog vremenskog okvira (obično 5 ili 15 minuta, ovisno o distribuciji), možete izdati još sudo naredbi bez ponovnog kucanja lozinke. Tačno vrijeme isteka kontrolira timestamp_timeout postavka u sudoersima i može se prilagoditi globalno ili po korisniku.

Komanda koju pokrenete sa sudo komandom se evidentira zajedno sa vašim originalnim korisničkim imenom, ciljnim korisnikom i vremenom izvršenja. Ovo evidentiranje je ključno za reviziju i odgovornost. Ako neko promijeni kritičnu datoteku ili ponovo pokrene ključnu uslugu, postoji zapis o tome ko je to učinio i kada.

Sudo također upravlja okruženjem u kojem se naredba izvršava. Može resetirati ili očistiti varijable okruženja (env_reset), nametnite sigurnu PUTANJU (secure_path) i sačuvati samo mali, eksplicitno dozvoljeni skup varijabli poput postavki lokalizacije. Ovo smanjuje rizik od napada eskalacije privilegija koji se oslanjaju na zatrovane varijable okruženja.

Pokretanje naredbi sa sudo komandom: praktični primjeri

Najjednostavniji način korištenja sudo naredbe je da je stavite ispred naredbe koja zahtijeva administratorske privilegije:

Primjer (kreiranje datoteke u /usr/local/bin):

cp myscript.sh /usr/local/bin/

Ovo obično neće uspjeti za običnog korisnika uz poruku "Dozvola odbijena". Sada pokrenite:

sudo cp myscript.sh /usr/local/bin/

Bit ćete upitani za lozinku (kucana "na slijepo", bez odjeka znakova) i ako je sve ispravno konfigurirano, kopiranje će uspjeti.

Imajte na umu da do greške može doći i ako sam sudo nije pravilno konfiguriran za vašeg korisnika. U tom slučaju možete vidjeti poruke poput „korisniku nije dozvoljeno izvršavanje ove naredbe kao root“. To je vaš savjet da pregledate članstvo u grupi (npr. sudo ili wheel grupa) ili prilagodite pravila sudoersa.

Uobičajeni slučajevi korištenja sudo komande i korisne opcije

Sudo se uglavnom koristi za zadatke sistemske administracije: upravljanje paketima, kontrolu servisa, upravljanje korisnicima i datotekama i uređivanje zaštićenih konfiguracijskih datoteka. Prošetajmo se kroz područja gdje se sudo najčešće pojavljuje.

Upravljanje paketima pomoću sudo naredbe

Instaliranje, ažuriranje i uklanjanje softvera uvijek zahtijevaju povišene privilegije, bez obzira na distribuciju. Tačna naredba se razlikuje između upravitelja paketa, ali obrazac je isti: dodajte sudo prije.

• Debian/Ubuntu: sudo apt update, sudo apt install nginx
• RHEL/CentOS/Fedora: sudo yum install sudo or sudo dnf install sudo
• openSUSE/SLE: sudo zypper in sudo

Komande koje samo traže informacije i ne mijenjaju sistem (kao što je listanje repozitorija) obično ne zahtijevaju sudo. Na primjer, zypper lr or apt list često se može pokrenuti bez povećanih prava.

Upravljanje sistemskim servisima pomoću sudo i systemctl naredbi

Na distribucijama zasnovanim na systemd-u, kontrola servisa se vrši putem systemctl-a, a administrativne akcije se moraju izvršavati pomoću sudo-a.

• Ponovo pokrenite web server: sudo systemctl restart apache2 or sudo systemctl restart httpd
• Omogućite uslugu pri pokretanju: sudo systemctl enable sshd
• Zaustavite uslugu: sudo systemctl stop nginx

Operacije samo za čitanje, poput provjere statusa servisa, često se mogu izvršiti bez sudo naredbe: systemctl status NetworkManager obično radi kao običan korisnik, jer ne mijenja stanje sistema.

Upravljanje korisnicima pomoću sudo i usermod/adduser naredbi

Kreiranje, mijenjanje ili brisanje korisničkih računa je rezervirano za root korisnika, tako da morate koristiti sudo. Tipične naredbe uključuju:

• Dodajte novog korisnika: sudo useradd edward or sudo adduser bill
• Izmijenite postojećeg korisnika: sudo usermod -L tux ili postavite vremensko ograničenje isteka lozinke: sudo usermod -f 30 tux
• Dodajte korisnika u sudo grupu: sudo adduser bill sudo (Debian/Ubuntu) ili sudo usermod -aG wheel bill (slično RHEL-u)
• Uklonite sudo prava: sudo deluser bill sudo ili skinite s kotača

Nakon što je korisnik dodan u odgovarajuću grupu, mora se odjaviti i ponovo prijaviti da bi novo članstvo u grupi stupilo na snagu. Mnogi ljudi ovo zaborave i onda se pitaju zašto sudo i dalje odbija da radi za njih.

Promjena vlasništva pomoću sudo i chown naredbi

Vlasništvo nad datotekama u sistemskim područjima može promijeniti samo root, tako da se naredba chown obično pojavljuje sa naredbom sudo. Na primjer, da biste dodijelili direktorij i njegov sadržaj korisniku:

sudo chown -R tux:tux /home/test/tux-files

Promjenu možete provjeriti naredbom poput: ls -l /home/test/tux-files, što će prikazati tux kao novog vlasnika (i grupu, ako je navedena).

Pokretanje naredbe kao drugi korisnik ili s čistim okruženjem

Sudo može više od pukog pokretanja stvari kao root: također možete ciljati proizvoljne korisnike i kontrolirati okruženje.

• Pokrenite naredbu kao određeni korisnik: sudo -u tux ls -R /home/test/tux-files/ rekurzivno će izlistati datoteke kao da je korisnik tux pokrenuo naredbu.
• Otvorite shell kao drugi korisnik, nasljeđujući vaše okruženje: sudo -s pokreće shell kao root (ili drugi korisnik sa -u) koristeći vaše trenutne varijable okruženja.
• Otvorite prijavnu ljusku sa "čistim" okruženjem: sudo -i simulira potpunu prijavu ciljnog korisnika, počevši od njihovog HOME direktorija i pokrećući njihove shell init datoteke (kao što su .profile ili .bash_profile).

I sudo -s i sudo -i naredbe se zapisuju u historiju vaše ljuske i u sudo zapise, što pomaže u praćenju privilegovanih aktivnosti. Međutim, njihovo kontinuirano korištenje kao načina "života kao root" poništava mnoge prednosti sudo-a, pa ih treba koristiti štedljivo.

Datoteka sudoers: centralna konfiguracija za sudo

Ponašanje Sudo komande prvenstveno kontroliše datoteka /etc/sudoers i opcione *.conf datoteke u /etc/sudoers.d. Ova konfiguracija definira ko šta može pokretati, na kojim mašinama i kao koji korisnici ili grupe. Također postavlja globalne zadane vrijednosti poput secure_path, načina evidentiranja ili da li je potreban tty.

Nikada ne biste trebali uređivati ​​/etc/sudoers običnim tekstualnim editorom; uvijek koristite visudo. Visudo zaključava datoteku tako da je samo jedna osoba može uređivati ​​istovremeno i pokreće provjeru sintakse prije spremanja. Ako napravite grešku prilikom direktnog uređivanja sudoer-a, lako možete prekinuti sudo i zaključati se bez administratorskog pristupa.

Za sigurno uređivanje sudoera, pokrenite: sudo visudo ili, za određenu datoteku u sudoers.d: sudo visudo -f /etc/sudoers.d/customNa mnogim sistemima možete konfigurirati visudo da koristi vaš omiljeni editor postavljanjem varijable okruženja EDITOR.

Osnovna sintaksa i ključne linije Sudoera

Klasična sudoers datoteka sadrži nekoliko osnovnih linija koje većina distribucija dijeli. Pojednostavljeni primjeri:

• Dozvoli potpuni pristup root-u: root ALL=(ALL:ALL) ALL – root može pokrenuti bilo koju naredbu na bilo kojem hostu, kao bilo koji korisnik ili grupa.
• Dajte grupi sudo ili administratorske privilegije: %sudo ALL=(ALL:ALL) ALL or %admin ALL=(ALL) ALL – članovi ovih grupa imaju neograničen pristup sudo komandama.
• Uključite dodatne isječke konfiguracije: @includedir /etc/sudoers.d or #includedir /etc/sudoers.d – kaže sudo komandi da učita pravila iz odvojenih datoteka u tom direktoriju.

Redovi koji počinju sa # su komentari i sudo ih ignoriše. Koristite ih obilno da dokumentujete zašto ste dodali ili promijenili pravila, posebno u okruženjima s više administratora.

Aliasi u sudoerima: Cmnd_Alias, User_Alias, Host_Alias, Runas_Alias

Sudoers vam omogućava grupiranje povezanih entiteta pomoću aliasa kako bi datoteka bila čitljiva i održiva. Glavne vrste su:

• Cmnd_Alias: lista dozvoljenih (ili eksplicitno zabranjenih) komandi.
• Korisnički_pseudonim: spisak korisnika i grupa.
• Alias_Hosta: lista imena hostova ili IP adresa.
• Runas_Alias: lista korisnika pod čijim imenom se mogu izvršavati naredbe.

Na primjer, pretpostavimo da želite da korisnik fulano upravlja konfiguracijom web servera i ponovo ga pokreće, ali ništa drugo:

Cmnd_Alias ADMINHTTPD = /usr/bin/systemctl httpd reload, /usr/bin/vim /etc/httpd/conf.d/variables.conf, /usr/bin/vim /etc/php.ini
fulano ALL = ADMINHTTPD

Ovdje, ADMINHTTPD grupira relevantne naredbe, a fulano ih može pokrenuti s bilo kojeg hosta. To možete kombinirati s aliasima hosta kako biste ograničili odakle se ove naredbe mogu izvršavati, što je posebno korisno u okruženjima s više servera.

Drugi uobičajeni obrazac je definiranje aliasa za korisničke ili grupne skupove koji mogu upravljati nekim podsistemom. Na primjer:

User_Alias WEBADMINS = fulano, mengano, zutano
Host_Alias WEBHOSTS = 192.168.70.25, 192.168.70.26, 192.168.70.23

Onda to možete povezati sa:

WEBADMINS WEBHOSTS = ADMINHTTPD

To znači: korisnici u WEBADMINS mogu pokretati naredbe u ADMINHTTPD, ali samo kada su povezani na hostove u WEBHOSTS.

Dodjeljivanje ograničenih moći sličnih korijenskim

Ako želite dati korisniku gotovo puna root ovlaštenja, ali i dalje zadržati praćenje i jednostavno opoziv, vidjet ćete pravila poput:

fulano ALL = (ALL) ALL

Ovo omogućava fulanu da izvrši bilo koju komandu kao bilo koji korisnik sa bilo kojeg hosta, ali sudo i dalje zahtijeva njihovu lozinku (ili barem neku autentifikaciju, ovisno o zadanim postavkama). Sistemi slični Ubuntuu često koriste pravila zasnovana na grupama kao što su:

%sudo ALL=(ALL:ALL) ALL

Svaki korisnik u sudo grupi nasljeđuje pune sudo privilegije. Iako je zgodno, ovo je prilično popustljivo, pa je mudro kombinirati to sa strogim pravilima o lozinkama i dobrim evidentiranjem.

Ako apsolutno morate dozvoliti sudo bez lozinke za neku automatizaciju ili vrlo pouzdan račun, možete koristiti:

fulano ALL = (ALL) NOPASSWD: ALL

Ovo se generalno smatra rizičnim. Svako ko kompromituje taj račun ima root pristup bez dodatnih prepreka, pa ga koristite samo ako zaista razumijete i prihvatate implikacije.

Zahtijevanje root lozinke ili onemogućavanje upita za lozinku

Podrazumevano, sudo obično traži lozinku pozivajućeg korisnika. Ako umjesto toga želite da se za korištenje sudo-a zahtijeva root lozinka, možete postaviti:

Defaults rootpw

S druge strane, ako želite da grupni sudo izvršava naredbe bez ikakve lozinke (opet, obično loša ideja):

%sudo ALL=(ALL) NOPASSWD: ALL

Sigurniji kompromis bi mogao biti postavljanje dužeg ili kraćeg vremenskog ograničenja za pristup podacima za određene korisnike:

Defaults:usuario timestamp_timeout=30

Ovo održava sudo akreditive važećim 30 minuta za tog korisnika umjesto zadanih 5 ili 15 minuta.

Detaljna kontrola, sigurnosne brave i zamke

Sudo uključuje mnoge sigurnosne mehanizme kako bi se izbjegla zloupotreba, ali pogrešna konfiguracija ga i dalje može učiniti opasno moćnim. Razumijevanje kako ograničiti komande i neutralizirati izlaze iz ljuske ključno je za sigurno raspoređivanje.

Blokiranje opasnih naredbi i izlaza iz shell-a

Neki programi, kao što su vi, vim, more i less, imaju funkcije "izlaska iz ljuske" koje vam omogućavaju da pokrenete ljusku ili pokrenete proizvoljne naredbe iz njih. Ako dozvolite korisnicima da pokreću ove editore pomoću sudo naredbe, možete im slučajno dati mogućnost pokretanja bilo koji naredbu kao root.

To možete ublažiti korištenjem oznake NOEXEC u sudoersima:

fulano ALL = (ALL) ALL, NOEXEC: /bin/vi, /usr/bin/vim, /bin/more, /usr/bin/less

Sa NOEXEC-om, ovi programi i dalje rade sa povišenim dozvolama za svoj glavni zadatak (uređivanje ili pregled datoteka), ali pokušaji pokretanja drugog programa iz njih neće uspjeti.

Također možete eksplicitno zabraniti određene naredbe, a istovremeno dozvoliti širok pristup. Na primjer:

Cmnd_Alias PROHIBIDOS = !/bin/su, !/bin/bash, !/usr/sbin/usermod, !/usr/sbin/userdel, !/usr/bin/passwd root
fulano ALL = (ALL) ALL, PROHIBIDOS

Ova postavka omogućava fulanu korištenje većine naredbi, ali ne može pokrenuti su, bash, usermod, userdel ili promijeniti root lozinku. To značajno smanjuje mogućnost slučajnog dobijanja punih, neograničenih korijenovih ljuski.

Preusmjeravanje, ljuske i zašto "sudo echo" nije dovoljan

Još jedna suptilna zamka je preusmjeravanje ljuske: sudo echo "text" > /etc/file često ne radi ono što misliš. Sudo se primjenjuje samo na naredbu echo, ali samo preusmjeravanje (> /etc/file) obavlja vaša ljuska pokrenuta kao neprivilegovani korisnik. Kao rezultat toga, vjerovatno ćete dobiti grešku „Permission denied“ iako je naredba echo pokrenuta sa sudo naredbom.

Ispravan obrazac je da se cijelo preusmjeravanje izvršava u ljusci u vlasništvu roota, na primjer:

sudo bash -c "echo 'Hola' > /etc/prueba.txt"

Ako ste eksplicitno zabranili /bin/bash ili slične ljuske u sudoerima, ova vrsta trika će biti blokirana. Upravo je to poenta kod ojačanih postavki: ne želite da korisnici mogu zaobići precizna ograničenja komandi prebacivanjem u root shell.

Okruženje, PUTANJA i sigurna putanja

Čest izvor problema je netačan PATH prilikom pokretanja naredbi sa sudo naredbom. Ako PATH korisnika root ne uključuje sistemske sbin direktorije, stvari poput ldconfig or start-stop-daemon možda neće biti pronađen, što uzrokuje greške pri instalaciji paketa.

Moderne sudoers datoteke obično definiraju podrazumijevanu vrijednost secure_path, na primjer:

Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

Ovo osigurava da, kada pokrenete sudo, PATH bude postavljen na razumnu listu sistemskih direktorija, bez obzira na vlastiti PATH vašeg korisnika. Ako je vaša sudoers datoteka izmijenjena prije uvođenja ove linije, a zatim sačuvana tokom nadogradnje, možda ćete morati spojiti svoje lokalne promjene u novu verziju ili ih premjestiti u /etc/sudoers.d da biste imali koristi od secure_path.

Provjera privilegija i rješavanje problema sa sudo

Kada se sudo ne ponaša kako se očekuje, postoji nekoliko ugrađenih alata i uobičajenih problema koje treba provjeriti.

Da biste vidjeli koje naredbe smijete (ili smijete) izvršavati, koristite:

sudo -l

Ovo prikazuje odgovarajuće zadane postavke za vašeg korisnika i navodi sve naredbe koje možete pokrenuti (i eksplicitno odbijene naredbe) na trenutnom hostu. Kao root, možete provjeriti dozvole drugog korisnika pomoću:

sudo -l -U username

Ako želite istražiti sve dostupne zadane opcije koje sudo razumije, pokrenite: sudo -LUpozorenje: izlaz je dugačak. Dokumentuje stvari poput rukovanja okruženjem, evidentiranja, zahtjeva terminala i još mnogo toga.

Vrlo česta poruka o grešci je „Žao nam je, korisniku jdoe nije dozvoljeno izvršavanje ... kao root na ...“. Ovo se često dešava kada je korisnik tek dodan u sudo grupu, ali još uvijek koristi staru sesiju. Sistem čita članstva u grupi samo kada se prijavite, tako da se obično morate odjaviti i ponovo prijaviti (ili koristiti su - $USER or newgrp sudo) da ih osvježite.

Ako ikada vidite da je /etc/sudoers "zaštićen od pisanja, čak i za root", to je namjerno. Dozvole za datoteke su postavljene tako da prisile administratore da koriste visudo, koji vrši provjere sintakse i sprječava spremanje neispravne konfiguracije koja bi mogla onesposobiti sudo.

Korištenje aliasa u vašoj ljusci za pojednostavljenje korištenja sudo naredbe

Kucanje sudo naredbe ispred svake administratorske naredbe može postati zamorno, pa mnogi administratori koriste shell aliase kako bi pojednostavili česte zadatke. U Bashu, ovo obično definirate u ~/.bashrc (na mnogim distribucijama) ili u ~/.aliases (na nekim openSUSE/SLE konfiguracijama).

Na primjer, korisnik CentOS/Fedora/RHEL sistema može dodati:

alias systemctl="sudo /usr/bin/systemctl"
alias yum="sudo /usr/bin/yum"
alias chown="sudo /usr/bin/chown"

Od tada, jednostavno kucanje systemctl restart sshd or yum update implicitno će izvršavati te naredbe putem sudo-a. Sudo će i dalje tražiti vašu lozinku kada je to potrebno; alias samo sprema pritiske tipki.

Na openSUSE-u ili SLE-u, uobičajeno je dodavanje sličnih aliasa u ~/.aliases:

alias zypper="sudo /usr/bin/zypper"
alias yast="sudo /sbin/yast2"
alias vi="sudo /usr/bin/vim"

Nakon uređivanja vaše alias datoteke, obično se trebate odjaviti i ponovo prijaviti (ili pronaći izvorni kod datoteke) kako bi se novi aliasi učitali u vašu shell sesiju.

Razlike između sudo i su

I sudo i su vam u konačnici omogućavaju izvršavanje naredbi kao root, ali slijede vrlo različite modele i imaju različite kompromise.

su (promjena korisnika) mijenja vaš identitet u drugog korisnika, obično root, za vrijeme trajanja shell sesije. Vi kucate su -, unesite root lozinku i sada ste root dok ne izađete. Ovaj pristup je jednostavan, ali ima nedostatke: svi dijele istu root lozinku, manje je kontrole ko je šta pokrenuo i mogli biste zaboraviti da ste root i učiniti nešto katastrofalno.

sudo traži vašu vlastitu lozinku (podrazumevano), zadržava vas u vašoj korisničkoj sesiji i povećava privilegije samo za pojedinačne naredbe. Zapisuje koji je korisnik izvršio koju komandu kao root i može se fino podesiti putem sudoera. Možete odobriti ili opozvati nečiji sudo pristup bez ikakvog dodirivanja root lozinke.

Iz sigurnosnih i revizorskih razloga, oslanjanje na sudo za većinu administrativnih zadataka sada se široko smatra najboljom praksom. Uranjanje u korijen sa sudo -i or sudo su je i dalje moguće kada je potrebno, ali ne bi trebalo da bude vaš zadani način rada.

Kada se pravilno koristi, sudo vam pruža moćan, ali kontrolisan način administriranja Linux sistema: ostajete kao običan korisnik po defaultu, povećavate privilegije samo kada je potrebno, čuvate jasan trag revizije privilegovanih radnji i možete precizno kontrolisati koji korisnici i grupe mogu dodirivati ​​koje dijelove sistema. Ako pažljivo konfigurirate sudo naredbe, pazite na izlaze iz ljuske, izbjegavate preširoka NOPASSWD pravila i redovno provjeravate ko ima pristup, sudo postaje jedan od vaših najjačih saveznika u održavanju fleksibilnosti i sigurnosti Linuxa.