Linux 的新 run0 命令会在外运行 sudo 吗？

发表 admin at 2025年2月28日

类别

未分类

标签

要点

run0 是一个新的 systemd 命令，旨在取代 sudo，为命令提供提升的权限。
run0 使用 systemd-run 作为后端，将进程作为瞬态、短期服务启动。
run0 的安全优势非常引人注目，但在很长一段时间内它不会完全取代 sudo。

2024 年 4 月 24 日，Lennart Poettering 发布了一个名为 run0 的新 systemd 命令的描述。它是 sudo 的替代品。以下是您需要了解的有关最新 systemd 争议的信息。

须藤出了什么问题？

sudo 命令似乎一直存在。它实际上可以追溯到 20 世纪 80 年代。它允许您运行命令或程序，就像您是命令的所有者或命令组的成员一样。重要的是，如果命令的实际所有者具有提升的权限和能力，则该命令将以这些提升的权限运行。就好像他们的崇高特权是暂时授予你的。

默认情况下，您模拟的用户是超级用户 root。最初，sudo 代表“超级用户，执行”。当后来的开发允许您使用 sudo 来模拟任何用户时，情况发生了变化。它的名字现在的意思是“替换用户，做”，但它几乎总是用来模拟root。

为了使命令或应用程序能够由普通用户以提升的权限运行，需要在命令上设置 SUID 或 GUID 位或两者。当然，必须允许相关用户使用 sudo 命令。

提升或特权代码在调用用户的执行上下文中运行，因此它在旨在运行非特权代码的环境中运行。这本身就是一个安全问题。此外，如果编写的命令没有正确尊重其提升的权限，或者它没有彻底、正确地自行清理，则可能会出现其他漏洞。一种众所周知的攻击媒介利用编写不当或配置不当的 SUID 二进制文件来获取 root shell。

run0 有什么不同之处

run0 命令本身并不是一个新命令，它是调用现有命令的新方法。它是一个指向长期存在的 systemd 组件（称为 systemd-run）的符号链接。顾名思义，它运行或启动其他进程。 run0 是该命令的前端。

run0 启动的进程作为暂时的、短期的服务运行。当您的命令返回到终端时，您就回到了普通用户的身份。没有像 sudo 那样的身份验证“宽限期”。如果您使用 sudo 并输入密码，则后续在同一终端中且在 sudo 超时时间内使用 sudo 不需要身份验证。超时时间因发行版而异，但常见值为 5 到 15 分钟。使用 run0，您每次都进行身份验证。

另一个区别是身份验证由 polkit（systemd 应用程序级策略工具包）处理。如果可能，此身份验证与运行目标命令的会话无关。提升的命令在分叉的伪终端中运行，因此它是封装和隔离的。除了 $TERM 环境变量之外，实际上用户的执行上下文中的任何内容都不可用于启动的命令。同样，身份验证凭据不会传递到已启动命令的执行上下文中。

以这种方式提升和执行的命令不需要设置其 SUID 或 GUID 位，也不需要对其内部清理进行合规和彻底的处理。这一切都由 run0 处理。

使用 sudo，您可以将普通用户变成不受限制的超级用户，也可以通过指定他们可以使用 sudo 的命令来授予他们有限的超级用户权限。您也可以使用 polkit 实现这种类型的粒度。