sudo cho phép người dùng thực thi một lệnh nào đó với quyền superuser hoặc quyền của một người khác như đã ấn định trong hồ sơ sudosers. Giá trị thật sự và xác thực uid (user id) và gid (group id) được gán với mục tiêu user như đã ấn định trong hồ sơ passwd và thành phần nhóm được ứng động dựa trên hồ sơ group (ngoại trừ chọn lựa -P được dùng). Nếu người thực thi (sudo) là root hoặc nếu chủ quyền thực thi của mục tiêu cũng là người thực thi thì sẽ không đòi hỏi mật khẩu. Ngoài ra, sudo đòi hỏi người dùng xác thực danh tánh của họ bằng mật khẩu theo mặc định (LƯU Ý: trong cấu hình mặc định, đây là mật khẩu của người dùng chớ không phải là mật khẩu của root). Sau khi người dùng đã được xác thực, giá trị dấu ấn thời gian được cập nhật và người dùng có thể sử dụng sudo mà không cần phải cung cấp mật khẩu trong một khoảng thời gian ngắn (5 phút theo mặc định ngoại trừ đã được chỉnh sửa trong sudoers). 

#!/bin/sh
su -
......
/usr/local/apache2/bin/apachectl -f /usr/local/apache2/conf/httpd.conf -k start 

Có lẽ điểm thứ 2 chính là điểm khó thực hiện và cần xem xét kỹ nhất. Phần lớn mọi người khi thêm 1 user vào /etc/sudoers đều thường làm giống như:

quanta ALL=(ALL) ALL


Đây chính là ví dụ minh họa cho 2 mặt của vấn đề "tiện dụng" và "bảo mật" trong "Đối thoại với Rookie" của anh 

sudo cho phép người dùng thực thi một lệnh nào đó với quyền superuser hoặc quyền của một người khác như đã ấn định trong hồ sơ sudosers. Giá trị thật sự và xác thực uid (user id) và gid (group id) được gán với mục tiêu user như đã ấn định trong hồ sơ passwd và thành phần nhóm được ứng động dựa trên hồ sơ group (ngoại trừ chọn lựa -P được dùng). Nếu người thực thi (sudo) là root hoặc nếu chủ quyền thực thi của mục tiêu cũng là người thực thi thì sẽ không đòi hỏi mật khẩu. Ngoài ra, sudo đòi hỏi người dùng xác thực danh tánh của họ bằng mật khẩu theo mặc định (LƯU Ý: trong cấu hình mặc định, đây là mật khẩu của người dùng chớ không phải là mật khẩu của root). Sau khi người dùng đã được xác thực, giá trị dấu ấn thời gian được cập nhật và người dùng có thể sử dụng sudo mà không cần phải cung cấp mật khẩu trong một khoảng thời gian ngắn (5 phút theo mặc định ngoại trừ đã được chỉnh sửa trong sudoers). 

Muốn thay đổi cái mặc định này thì làm thế nào hả chú?

#!/bin/sh
su -
......
/usr/local/apache2/bin/apachectl -f /usr/local/apache2/conf/httpd.conf -k start 

Sao khi thực hiện dòng này nó không đòi pass của root?

Có lẽ điểm thứ 2 chính là điểm khó thực hiện và cần xem xét kỹ nhất. Phần lớn mọi người khi thêm 1 user vào /etc/sudoers đều thường làm giống như:

quanta ALL=(ALL) ALL


Đây chính là ví dụ minh họa cho 2 mặt của vấn đề "tiện dụng" và "bảo mật" trong "Đối thoại với Rookie" của anh 

@quanta: Em muốn hỏi ngoài những phần lớn là thực hiện theo cách này(tiện dụng) thì thực hiện để "bảo mật" thì phải làm thế nào ạ?

 

su - có liên quan gì đến sudo? 

su - run a shell with substitute user and group IDs
sudo - execute a command as another user

su - có liên quan gì đến sudo? 

Code:

su - run a shell with substitute user and group IDs
sudo - execute a command as another user

theo cháu thì su "lớn hơn" sudo.
mối liên hệ thì hình như ko liên quan gì với nhau, vì mỗi lệnh thực hiện 1 công việc khác nhau.
sudo chỉ làm thực hiện 1 lệnh với quyền của người khác(nhưng vẫn còn là mình), còn su thì chạy 1 shell (nhiều lệnh hơn) nhưng trở thành một người khác, exit để quay lại chính mình.
khi nãy cháu đọc nhầm, chú chạy shell này với sudo, đây giống như tự mình bốc đầu mình lên ấy nhỉ?
sudo thực hiện lệnh với quyền của root, mà trong script đó lại su - (1 shell đăng nhập vào root) nên sẽ ko cần pass của root. làm công việc này chỉ cần pass của user bình thường.
mà muốn khi sudo phải dùng pass của root thì làm thế nào hả chú?(cháu chưa search :p )
 

mà muốn khi sudo phải dùng pass của root thì làm thế nào hả chú?(cháu chưa search :p )
 

Nhưng trong hoàn cảnh như chú: Nghĩa là khi sudo chỉ cần pass của user bình thường thì ko cần phải dựa vào những sơ hở trong những script như thế.
 

$ ls -l /usr/bin/sudo
---s--x--x 2 root root 148836 2008-03-31 21:13 /usr/bin/sudo
 

Hello mr_hoang09,

Có vẻ bạn chưa hiểu về 'sudo'?

mr_hoang09 wrote:

mà muốn khi sudo phải dùng pass của root thì làm thế nào hả chú?(cháu chưa search :p )
 

mr_hoang09 wrote:

Nhưng trong hoàn cảnh như chú: Nghĩa là khi sudo chỉ cần pass của user bình thường thì ko cần phải dựa vào những sơ hở trong những script như thế.
 

Bạn tìm hiểu về chữ s trong kết quả của lệnh sau:

$ ls -l /usr/bin/sudo
---s--x--x 2 root root 148836 2008-03-31 21:13 /usr/bin/sudo
 

 

Hello mr_hoang09,

Có vẻ bạn chưa hiểu về 'sudo'?

mr_hoang09 wrote:

mà muốn khi sudo phải dùng pass của root thì làm thế nào hả chú?(cháu chưa search :p )
 

mr_hoang09 wrote:

Nhưng trong hoàn cảnh như chú: Nghĩa là khi sudo chỉ cần pass của user bình thường thì ko cần phải dựa vào những sơ hở trong những script như thế.
 

Bạn tìm hiểu về chữ s trong kết quả của lệnh sau:

$ ls -l /usr/bin/sudo
---s--x--x 2 root root 148836 2008-03-31 21:13 /usr/bin/sudo
 

 

Chữ s là viết tắt của chữ setuid.
 

theo em biết thì có thêm s này là khi chạy phải cần xác thực mật khẩu của root.
 

$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 22532 2008-04-08 20:48 /usr/bin/passwd
 

The passwd program is a typical example of such a program. Regular users can use this program to modify the
password they use for logging in. By default on Red Hat Linux 9, passwords are encrypted and stored in the
file /etc/shadow that can be modified only by the root user. From what we have seen so far, when a user
executes the passwd program, the program would assume just the privileges assigned to that user. So how
does the password program modify this file to update it with the new password? The trick lies in setting the
setuid bit:
$ ls −al /usr/bin/passwd
−r−s−−x−−x 1 root root 15368 May 28 2002 /usr/bin/passwd
The s indicates the setuid bit for this program. Thus when the passwd program executes, it assumes the
privileges of the root user. Since it is restricted to just updating the /etc/shadow file, there is not much of a risk
involved. In simple terms, assigning the setuid bit by a privileged user to a program owned by them indicates
that other users may execute the program with the same privileges as the owner. Along the lines of the setuid
bit is the setgid bit. When set, the program executes with the privileges of the group it belongs to.