我在一家 IT 要求相当严格的大型公司从事软件开发工作。我对安全实践一无所知。Windows 计算机上的开发人员拥有本地管理员权限,可以安装应用程序等,但受到组策略的限制,例如无法卸载 AV。
我一直在 Linux 上要求获得类似的权利——安装/更新应用程序和驱动程序的能力,但 IT 说的是“在 Windows 上,您拥有本地管理员权限,因此您只能弄乱自己的机器。在 Linux 上,sudo 赋予您域权限,因此您可以弄乱自己的机器,您可以成为任何机器上的任何用户”。
这个回答准确吗?我很难相信 Linux 在这方面会比 Windows 更不安全/有用。如果能提供有用的比较结果,我将不胜感激-
谢谢
答案1
“在 Linux 上,sudo 赋予你域权限,这样你就可以搞乱你自己的机器,你可以成为任何机器上的任何用户”是无稽之谈。
SUDO 只为您自己的系统提供有限的权限,仅此而已。如果您决定为所有机器设置相同的 sudo 权限和用户,这在概念上与在 Windows 上这样做没有什么不同。这甚至不是一个合理的默认设置,并且 sudo 的控制可以非常细粒度 - 如果配置了,则仅允许有限的用户执行有限的命令。
答案2
在 Linux 上,sudo 赋予您域权限,因此您可以搞乱自己的机器,您可以成为任何机器上的任何用户。
听起来完全是胡说八道,直到你从视窗这种想法几乎肯定是源于以下心态:
sudo 授予您域权限......
这个人把“提升的权限”和“域权限”(不管它们是什么)混为一谈,除非他们以一种非常非常奇怪的方式设置了他们的“域”——将 root 设置为域用户将是巨大的安全风险。
是的,sudo 允许您做一些通常不允许做的事情,但它与“域”完全无关。
...您可以成为任何机器上的任何用户...
是的,你可以“成为”(通过“sudo -i”)任何机器上的任何用户...在该机器上使用 sudo已配置允许您这样做,或者在哪个 sudo 上已配置让你“成为”root(根据设计,它可以任何事物,因此所有赌注都无效)。
所有这些配置都取决于你的系统管理员以及他们如何设置sudo。听起来,这是幼稚的、懒惰的和/或糟糕的。YMMV。
我猜你有自己的 Windows台式电脑,但[共享] Linux服务器。
您的台式机上的提升权限允许您拍摄你自己弄坏自己的机器,从而导致受伤。我猜想你的组织(“IT 要求相当严格的大型公司”)有标准的桌面“构建”映像,他们可以将这些映像“粘贴”到你损坏的机器上,让你恢复工作状态。
须藤允许您以另一个用户身份运行命令,最常见的是根,可以让你拍摄所有人弄坏共享服务器会给你带来麻烦,然后需要系统管理员花时间和精力来收拾残局。这没有和你交朋友。