it-swarm-tr.com

Neden root olarak giriş yapmak kötü?

Sık sık forumlarda ya da başka web sitelerinde yayınlanmış kişilerle karşılaşırsınız; insanlar sanki kötüymüş gibi çalışan bir kullanıcı olarak kök salıyor/giriş yapıyordur herkes bunu bilmesi gerekir. Bununla birlikte, konuyla ilgili bir araştırmanın ortaya çıkardığı pek bir şey yoktur.

Linux uzmanları tarafından yaygın olarak bilinebilir, ancak nedenini gerçekten bilmiyorum. Yıllar önce Linux'u ilk kez denediğimde (Redhat ve Mandrake) her zaman root olarak çalıştığımı hatırlıyorum ve bundan dolayı herhangi bir sorunla karşılaştığımı hatırlamıyorum.

Aslında kök kullanıcı için duvar kağıdı olarak her yerinde uyarı işaretleri olan parlak kırmızı bir arka plana sahip bazı dağıtımlar var (SuSe?). Windows kurulumumda düzenli kullanım için hala "Yönetici" hesabını kullanıyorum ve oradaki herhangi bir sorunla da karşılaşmadım.

192
Mussnoon

Yıllardır var olan güvenlik modelini yendi. Başvurular idari olmayan güvenlikle (ya da sadece ölümlüler olarak) yapılmalıdır, bu nedenle temel sistemi değiştirmek için ayrıcalıklarını yükseltmelisiniz. Örneğin, son Rhythmbox kazasının bir hata nedeniyle tüm /usr dizininizi silmek istemesini istemezsiniz. Veya bir saldırganın KÖK Kabuğu kazanmasını sağlamak için ProFTPD'de henüz yayınlanan bu güvenlik açığı.

Uygulamalarınızı kullanıcı düzeyinde çalıştırmak ve yönetim görevlerini kök kullanıcıya bırakmak ve yalnızca ihtiyaca göre çalışmak iyi bir uygulamadır.

153
lazyPower

Sadece bir kelime: güvenlik.

  1. Kök olarak giriş yaptınız = tüm uygulamalar kök ayrıcalıklarıyla çalışıyor - Firefox, Flash, OpenOffice vb. Her güvenlik açığı sisteminizi tahrip edebilir, çünkü olası virüsler artık her yere erişebilir. Evet, Ubuntu/Linux için sadece birkaç virüs var, fakat aynı zamanda iyi güvenlik ve varsayılan ayrıcalıklı kullanıcı nedeniyle.
  2. Sadece virüslerle ilgili değil - bir uygulamadaki küçük hata bazı sistem dosyalarını silebilir veya ...
  3. Kök olarak oturum açtığınızda, her şeyi yapabilirsiniz - sistem sormaz! Bu diski formatlamak istiyor musunuz? Tamam, sadece bir tık ve bitti çünkü kökünüz ve ne yaptığınızı biliyorsunuz ...
79
Vojtech Trefny

Kök olarak çalıştırmak kötü çünkü:

  1. Aptallık: Hiçbir şey aptalca bir şey yapmanıza engel olamaz. Sistemi, zararlı olabilecek herhangi bir şekilde değiştirmeye çalışırsanız, olası bir büyük/maliyetli değişiklik yapmak üzere olduğunuzu fark etmeniz için parolanızı girerken bir duraklamayı garanti eden Sudo yapmanız gerekir.
  2. Security: Bu soruda epeyce bir kaç kez bahsedildi, ancak temelde aynı şey, yönetici kullanıcısının giriş hesabını bilmiyorsanız kesmek daha zor. root, çalışan yönetici kimlik bilgilerinin yarısına zaten sahip olduğunuz anlamına gelir.
  3. Gerçekten ihtiyacınız yok: Kök olarak birkaç komut çalıştırmanız gerekiyorsa ve Sudo'nun süresi dolduğunda şifrenizi birkaç kez girmek zorunda kalmaktan rahatsızsanız, yapmanız gereken tek şey Sudo -i ve şimdi kökünüz. Borular kullanarak bazı komutları çalıştırmak ister misiniz? Ardından Sudo sh -c "comand1 | command2" kullanın.
  4. Kurtarma konsolunda her zaman kullanabilirsiniz: Kurtarma konsolu aptalca bir şey yapmanıza veya bir uygulamanın neden olduğu bir sorunu gidermeye çalışmanıza (hala Sudo :) olarak çalıştırmak zorunda kalmanıza) Ubuntu bu durumda root hesabı için bir parolaya sahip değildir, ancak bunu değiştirmek için çevrimiçi olarak arama yapabilirsiniz, bu, zarar vermek için kutunuza fiziksel erişimi olan herkes için zorlaşacaktır.

Neden bu kadar kötü olduğu konusunda bilgi bulamamış olmanızın sebebi, internette çok fazla veri bulunması :) ve uzun zamandır Linux'u kullanan birçok insanın sizin gibi olduğunu düşünmesidir. Kök hesap hakkındaki bu düşünce şekli oldukça yenidir (belki de on yıl?) Ve bir çok insan Sudo kullanmak zorunda kaldıklarında hala sinirleniyorlar. Özellikle de bir sunucu üzerinde çalışıyorlarsa, sistem değişikliği yapma niyetiyle girmişlerdir. Muhtemelen önceki kötü deneyimlerden ve güvenlik standartlarından kaynaklanmıştır, çoğu sistem yöneticisi daha iyi bilir, ancak yine de bundan hoşlanmazlar :).

47
Marlon

Bu iyi bir soru. Sanırım, sunucudan mı yoksa masaüstü kurulumundan mı bahsediyorsunuz cevabınıza göre biraz farklı.

Masaüstünde root hesabını kullanmak nadirdir. Aslında, Ubuntu root erişimi devre dışı bırakılmış olarak gönderilir. Süper kullanıcı ayrıcalıkları gerektiren tüm değişiklikler Sudo ve onun grafiksel koordinatları gksudo ve kdesudo ile yapılır. Ancak, bir root şifresi ayarlamanın kolay olduğu göz önüne alındığında, neden insanlar bunu yapmıyor?

Bunun bir nedeni, size ek bir güvenlik katmanı sağlamasıdır. Bir programı root olarak çalıştırırsanız ve bir güvenlik hatası kullanılırsa, saldırgan tüm verilere erişebilir ve donanımı doğrudan kontrol edebilir. Örneğin, çekirdeğinize bir trojan veya key-logger yükleyebilir. Uygulamada, bir saldırı, süper kullanıcı ayrıcalıklarına sahip olmasa bile, büyük miktarda zarar verebilir. Sonuçta, tüm kullanıcı verilerine - belgeler ve saklanmış şifreler dahil - root erişimi olmadan erişilebilir.

Tek kullanıcılı bir sistemde daha geçerli bir nokta, kullanıcının yanlışlıkla sistemi kullanılamaz hale getirmesinin engellenmesidir. Kullanıcı istemeden tüm dosyaları silen bir komut verirse, veriler kaybedilse bile sistemi önyükleyebilir.

Ek olarak, günümüzde çoğu kullanıcının karşılaştığı uygulama (X11) uygulaması, normal bir kullanıcı hesabı olarak ve yönetici hakları olmadan çalıştırıldıkları varsayımına dayanmaktadır. Bu nedenle, bazı programlar root olarak çalıştırıldığında hatalı davranabilir.

Yalnızca grafik dışı Shell erişimi olan çok kullanıcılı bir sistemde, bu nedenlerin çoğu geçerli değildir. Bununla birlikte, Ubuntu hala erişilemeyen bir root hesabına makul ölçüde varsayılandır. Birincisi, bir güvenlik hesabından bir kullanıcı hesabına erişim sağlama (Sudo haklarıyla) arasında bir güvenlik boşluğu aracılığıyla gerçek bir fark var ve diğer kullanıcıların rahatsız edilmesini gerektiren ilk durumda olduğu gibi root için erişim sağlanması arasında gerçek bir fark var. Sudo ve ek bir güvenlik adımı olarak hesap şifresini hala isteyecektir. Bir diğeri için, bir kullanıcı hesabından birçok idari görevi gerçekleştirmek ve yalnızca süper kullanıcı ayrıcalıkları gerekli olduğunda Sudo öğesini çağırmak yararlıdır. Bu nedenle, kaynaktan bir program kurarken, kaynağın - çalışan configure ve make - kullanıcı dizininde ve sadece son adımda Sudo make install kullanarak oluşturulması önerilir. Yine, bu kendini (ve çok kullanıcılı sistemin diğer kullanıcılarını) ayağından vurmayı zorlaştırır ve sisteme zarar veren yapı komut dosyaları olasılığını azaltır. Bu yüzden bir sunucuda bile Ubuntu'nun Sudo tabanlı yönetim 'e bağlı kalmak iyi bir tavsiyedir.

36
loevborg

Kök olarak çalışmamasının bir nedeni (bugüne kadar) diğer cevaplarla tespit edilememiştir. Muhtemelen daha önce tek kullanıcılı makineler (masaüstünüz veya dizüstü bilgisayarınız) olan makinelerde daha az önemlidir, ancak eğer biri root olarak giriş yapmışsa, sunucu makinelerinde, gerçekleştirilen eylemler için kimi suçlayacağınızı bilmiyorsunuz. Bu nedenle, birden fazla sisteme ve root ayrıcalıklarına ihtiyaç duyan birden fazla yöneticiye sahip profesyonel kuruluşların çoğu, insanların kendi kullanıcı kimliklerini (ve şifrelerini) kullanarak giriş yapmalarını ve ardından gerektiğinde Sudo ayrıcalıklarıyla çalışmak için root veya benzer programları kullanmalarını gerektirir.

Aksi takdirde, root olarak çalışmamanın başlıca nedenleri şunlardır:

  • Kazalardan kaynaklanan hasar riskini en aza indirin. Kök olarak rm -fr / home/me/my-subdir komutunu çalıştırırsanız, o zaman (ilk) eğik çizgiden sonra o alandan dolayı makinenizdeki önemli olan her şeyi büyük ölçüde ortadan kaldırmış olursunuz - çünkü ilk önce gelenler önce eklenmiş şeyler - küçük çekirdek gibi şeyler, /bin ve /etc dizini. Bunları kaybederseniz Unix sinirlenir.

  • Kötü amaçlı sitelerin zarar görmesi riskini en aza indirin. root olarak göz atarsanız, kötü niyetli malzemelerin indirilmesine karşı neredeyse savunmasızsınız.

MacOS X’i Ubuntu’dan daha fazla kullanıyorum, ancak orada, root varsayılan olarak devre dışı bırakıldı ve hala makinemde. Çekirdeği ve benzeri işlemleri rutin olarak yükseltirim - Sudo (sahnelerin ardında) kullanarak. Genellikle benzer teknikler Linux için de geçerlidir.

Temel olarak, hata riskini önlemek için kısaltılmış çalışma süreleri için sadece root'nin tüm güçlü ayrıcalıklarını kullanmalısınız.

34

Kök hesap varsayılan olarak devre dışı bırakılmıştır - var olduğu anlamına gelir, ancak kullanılamaz (kurtarma modu hariç). Bu, bir saldırganın kök hesabınızın farkında olduğu ancak kök şifresi olsa bile kullanamadığı anlamına gelir. Bu nedenle, saldırganın hem yönetici ayrıcalıklarına sahip bir kullanıcı adı hem de bu kullanıcının şifresini (yalnızca kök şifrenin çalışmasına çalışmaktan çok daha zor olan) tahmin etmesi gerekir. In XP Kurtarma Konsolu yüklendiğinde, kutunuza fiziksel erişimi olan herkes önyükleme yapabilir (RC) - şifre gerekmez. Ubuntu'daki Kurtarma Modu ile aynı.

Ubuntu'da, kökün devre dışı olduğunu söylediklerinde - gerçekte kastedilen, hesabın kilitli olmasıdır. Şifreyi, olası şifrelenmiş bir değerle eşleşmeyen bir değere değiştirerek kilitlenir. Bu, herhangi birinin kök olarak giriş yapmasını etkili bir şekilde önler - çünkü şifreyi girmelerinin mümkün bir yolu yoktur. Kök erişiminin gerekli olduğu zamanlar olduğu için - Ubuntu çekirdeği, yalnızca tek kullanıcılı modda kök yerel girişine izin verecek şekilde değiştirildi.

Ayrıca şunu görün sayfa

13
karthick87

AK47 ile küçük bir çocuğu silahlandırmak gibi bir şey, mutlu bir şekilde paintball silahıyla oynayabilir. ;)

Bunun yanlış olduğunu söylüyorum çünkü siz ve uygulamalarınız ihtiyaç duyduklarında daha fazla ayrıcalığa sahip olacaklar ve o zaman yapabilecekleri ve bazen yanlış gider :(

12
omeid

Çok Güzel Bir Soru ... Pratik açıdan cevap vereyim:

10 yıldan daha uzun bir zaman önce olan Linux'u kullanmaya başladığımda, ana dağıtımlar bugünkü kadar root olmayan hesaplar kullanarak reklam vermedi. Windows'a alışkın olduğumdan, kısıtlı bir kullanıcı hesabı kullanmanın bir noktasını da görmedim. Özellikle de sık sık “su” ya girmek zorunda kaldığım için - Sudo o zamanlar o kadar popüler değildi. ;-) Böylece her zaman root olarak giriş yaptım çünkü sistemimin iyi yapılandırılmasını sağlamak için çok fazla bakım yaptım. Fakat tahmin et ne oldu, yeni kurulan sistemler çabucak çok dengesiz hale geldi.

Mesela somut bir problem: Linux için ayrılan o kadar hard disk alanı yoktu, bu yüzden birkaç kez başıma ayrılan 0 bayt kalmıştı. Belki de tam olarak kesin değilim çünkü tam mekanizmayı bilmiyorum, fakat bir diski root olmayan bir hesapla doldurduğunuzda her zaman birkaç kilobayt kalıyor. Fakat eğer gerçekten 0 bayt kaldıysa, sisteminiz çok garip hatalar yapar ve arka planda çalışan çok sayıda sistem yazılımı olduğundan sisteminizdeki hasarı düzeltmek zor olabilir.

Başka bir şey: Kök ve kök olmayan arasındaki bölünme sisteminizi iyi organize eder. Kök kullanıcı olarak sizi kirli, bakımı kolay bir sisteme bırakan yeni uygulamalarınızı temiz bir şekilde kurmamaya özendirin.

Fakat iyi olan: Modern dağıtımlar yönetim görevlerinin çoğunu sizin için yapar, bu yüzden nadiren Linux sisteminizin bağırsaklarına bir kök hesabı ile girmeniz gerekir. Zaman zaman bir şifre girmeniz yeterlidir, gerisi distribütörün komut dosyaları tarafından yapılır.

Ancak, 95 oder 98 kullanıyorsanız, Windows sisteminizde herhangi bir sorun yaşamadığınızdan şüpheliyim. (En azından bununla ilgili problemlerim vardı ...) Yönetici ile normal kullanıcı arasında net bir ayrım yapılmaması nedeniyle "geleneksel" "Windows uygulamaları her şeyi yapabileceklerini varsayar. Spyware'i, size söylemeden bile istemezlerse kurun. Microsoft, Vista'yı yayımlarken bu konuyla ilgilendi. (Etkili bir Sudo mekanizması uygulamak.) Böylece insanlar “Bunu yapamazsınız” diyen çok sinir bozucu diyaloglar kurdular. Vista uyumlu olmayan bazı yazılımlar için, Yönetici olarak bile yüklemek için bazı kirli bilgisayar korsanlarına ihtiyaç duydunuz ...

11
Philip

Bu yaklaşımın arkasında birçok yön var. Onlardan bazıları:

  • Kök tamamen güçlüdür.
  • Kök kullanıcı tüm işlemlerini gizleyebilir.
  • Kök şifresi, bir sistemdeki herhangi bir komuta erişmenizi sağlar.
  • i̇şte güzel bir makale: http://cf.stanford.edu/policy/root

    10
    aneeshep
    rm /*
    

    Bir idari alanı temizlediğinizi varsayalım. Parola yoruldunuz, yani Sudo su. Sadece bir saniye için dikkatin dağıldı ve cd ile / arasındakileri unuttun. Öyleyse rm *. Yaptım. Hepsini geri alabilirsiniz, ama bu bir PITA. Oh, ve o da /media içine de inmiş!

    8
    bambuntu

    Neden root giriş yapmadınız?

    Siz süper kullanıcı hesabınız için root olarak oturum açmanıza izin veren bir şifre oluşturabilir olsa da, bunun "Ubuntu" yöntemi olmadığını belirtmeye değer. bir şeyler yapmak. Ubuntu, bir nedenden dolayı varsayılan olarak root girişi ve şifresi vermeyi özellikle ( değil seçmiştir. Bunun yerine, varsayılan bir Ubuntu kurulumu Sudo kullanacaktır.

    Sudo, insanlara süper kullanıcı görevlerini yerine getirebilmeleri için root şifresi vermenin alternatifidir. Varsayılan bir Ubuntu'da, işletim sistemini kuran kişiye varsayılan olarak "Sudo" izni verilir.

    "Sudo" izni olan herkes, komutlarına Sudo bekletmeden "süper kullanıcı olarak" bir şey yapabilir. Örneğin, bir süper kullanıcı olarak apt-get dist-upgrade komutunu çalıştırmak için şunları kullanabilirsiniz:

    Sudo apt-get dist-upgrade
    

    Sudo yaklaşımının faydaları

    • Sudo ile, hangi kullanıcıların Sudo erişimine sahip olduğunu önceden seçersiniz. Kendi şifresini kullandıkları için bir root şifresini hatırlamalarına gerek yoktur.

    • Birden fazla kullanıcınız varsa, root şifresini değiştirmek ve herkese yeni bir şifreyi bildirmek zorunda kalmadan, sadece Sudo izinlerini kaldırarak birinin süper kullanıcı erişimini iptal edebilirsiniz.

    • Bir kullanıcının Sudo kullanarak gerçekleştirebileceği komutları ve bu kullanıcı için hangi komutların yasak olduğunu bile seçebilirsiniz.

    • Ve son olarak, bir güvenlik ihlali varsa, bazı durumlarda hangi kullanıcı hesabının tehlikeye girdiğini gösteren daha iyi bir denetim izi bırakabilir.

    Sudo, süper kullanıcı ayrıcalıklarına sahip tek bir komut gerçekleştirmeyi kolaylaştırır. Kök girişinde, kalıcı olarak exit veya logout kullanılarak çıkılması gereken bir süper kullanıcı Kabuğunda kalırsınız. Bu, kullanıcıların Süper Kullanıcı Kabuğunda gerekenden daha uzun süre kalmasına neden olabilir, çünkü oturumu kapatıp tekrar açmaktan daha uygundur.

    Sudo ile, şu komutla kalıcı (etkileşimli) bir süper kullanıcı Shell'i açma seçeneğine sahipsiniz:

    Sudo su
    

    ... ve bu hala herhangi bir root şifresi olmadan yapılabilir, çünkü Sudo, su komutuna süper kullanıcı hakları verir.

    Ve benzer şekilde, bir giriş Kabuğu için su - yerine Sudo su - veya hatta Sudo -i kullanabilirsiniz.

    Ancak bunu yaparken, sadece her komut için bir süper kullanıcı olarak davrandığınızı bilmeniz gerekir. Kazara yanlışlıkla sisteme bir miktar zarar vermeme ihtimalini azaltmak için (gereğinden fazla, sadece kullanıcınızın sahip olduğu dosyalara zarar verebilirsiniz), süper kullanıcı olarak kalmaktan kaçınmak iyi bir güvenlik ilkesidir.

    Sadece açıklığa kavuşturmak için, seçimini yaparsanız, kök kullanıcıya, özellikle bunun yerine bu şekilde yapmak istiyorsanız, giriş yapan kullanıcılara root olarak bir şifre verebilirsiniz. . Sizlere sadece Ubuntu'nun Sudo tercihini yerine getirme konvansiyonu hakkında bilgi vermek ve Ubuntu’nun varsayılan olarak bu yaklaşımı tercih etmesinin nedenlerini açıklamaya çalışın.

    Neden SSH üzerinden root girişine izin vermiyorsunuz?

    Root kullanıcınız root olarak giriş yapmanıza izin veren bir parolasanız bile, doğrudan root oturum açmayı dışarıdan devre dışı bırakmak hala iyi bir güvenlik uygulamasıdır, SSH'deki gibi. Kullanıcıların ilk oturum açtıktan sonra su - veya Sudo yapmaları gerekir.

    Bunun olası yararları çoğunlukla güvenlikle ilgilidir:

    • Kök şifresini uzaktan zorlama olasılığını ortadan kaldırarak saldırı vektörünü azaltır. Kök şifresini SSH aracılığıyla zorla girme girişimleriyle internetteki bir sunucunun sürekli olarak engellenmesi normaldir.

    • Daha iyi bir denetim izi oluşturur, böylece saldırganın daha sonra süper kullanıcı ayrıcalıklarına sahip olduğu bir ihlal durumunda bile, kimin kullanıcı hesabının kullanıldığını görebilirsiniz erişim kazanmak için.

    7
    thomasrutter

    Kök olarak oturum açtığınızda, uygulamaların, komut dosyalarının veya komut satırı komutlarının, yazılımın sisteme zarar verebilecek hassas bölümlerine erişmesini sağlar. Bu, kullanıcının veya programcının bölümündeki deneyimsizliğin bir sonucu olabilir veya gizli saklı kodlardan kaynaklanabilir.

    6
    Gersitar

    Kök olarak çalışırken çok kolay bir iş. Tüm sistemi tek bir komutla kapatabilirsiniz ...

    5
    Abel

    Windows'ta Yönetici ile Unix'te root arasında bir fark olduğunu ekleyebilirim. Yönetici, kökün herhangi bir kısıtlamanın olmadığı sistemlerde hala bazı kısıtlamalara sahiptir. Windows'taki doğru kök analogu Sistem kullanıcısıdır.

    PC'yi root/System altında kullanmanın kötü tarafı, işletim sisteminden herhangi bir uyarı almadan yanlışlıkla bir şeyleri yok edebilmenizdir.

    5
    Aleksei

    Kök kullanmaya karşı nedenler:

    • Yanlışlıkla sistem dosyalarını imha edebilir
    • Bir enfeksiyon alabilir
    • İşlemleri günlüğe kaydetmez

    Kök kullanma nedenleri:

    • Her şeye erişin, şifre yazmanıza gerek yok
    • GUI, sistem dosyalarını/dizinlerini yönetmek için terminal kullanmadan

    Bana göre root dışı bir hesap hala root kullanmama nedenlerinden dolayı mağdur olabilir. Ne yaptığınızı bildiğiniz sürece, root kullanarak tamamen güvende olduğunuza inanıyorum. Orada söyledim.

    3
    Que

    Uygulamalar root olarak çalıştırılırsa, hiçbirinin çalıştırmayacağının garantisi yoktur.

    rm -rf /
    

    (Bu, değil çalıştırılması gereken bir komut örneğidir.)

    3
    segfault

    Bilgili ve dikkatli bir kullanıcı göz önüne alındığında, doğru bir cevap olduğundan emin değilim. Bu cevabı görmemiştim, içeri gireceğimi düşündüm.

    Sevmediğim şey, istemeden çok kullanıcılı sistemlerdeki izinler 'in daha sonra chmod yapmam gereken değişiklikleri. Gerçekte chmod ile tamir etmek, Sudo'ya ihtiyaç duymaktan çok daha rahatsız edicidir, ancak planladığım şeye bağlı.

    3
    Clayton

    Dikkatli kullanıldığında kök olarak kaydedilmesi tehlikesi yoktur.

    Her ne kadar saldırganın zorla kullanabileceğini düşünmeme rağmen, saldırgan bunu zorlayamadı çünkü.

    Çözümlerden biri, Sudo grubunda belirsiz bir adla gamer gibi kullanıcı oluşturmak ve yönetim görevlerini gerçekleştirmek için Sudo kullanmaktır.

    Bu nedenle saldırgan sadece o yönetici kullanıcının şifresini değil, aynı zamanda giriş adını da tahmin etmelidir. Bu, Sudo kullanan bir kullanıcının kitty veya gamer gibi bir kullanıcı adı veya buna benzer bir özelliği varsa açık değildir.

    3
    Bulat M.

    Yazılım paylaşılan kütüphanelere, bağımlılıklara, konfigürasyon dosyalarına vs. dayanmaktadır.
    Çoğu zaman, bir uygulamadaki tek bir tıklama, yalnızca muhtemelen düşündüğünüz yerde değil, birden fazla değişikliğin bir "zincir reaksiyonu" na neden olur.
    Bu değişiklikler sistemin kritik ayarlarını etkilemek üzereyken, bir kullanıcı olarak - bilmek sizin için iyi bir şeydir.
    Bu nedenle kök erişimi iyi bir güvenlik modelidir:
    Sisteminize çok önemli bir şey olmak üzere ise, ayrıcalık yükselmesi istendiğinde size bilgi verilir.

    2
    Pavlos G.

    Birden fazla cevabı olan, iki yüzlü bir problem.

    Bazı gerçekliği kontrol etmek için aynı-ama-oh-çok-korkunç cevaplar bu:

    desktop installations:

    • gerekirse kendi kullanıcı ve Sudo'yu kullanın, aksi halde başarılı bir şekilde kullanılan bir saldırı vektörü çünkü ne yaptığınızı gerçekten bilmiyorsunuz ve sisteminiz tehlikeye giriyor
    • daha büyük şirketlerde ise, mevcut teneke folyo şapkaların miktarına bağlı olarak, yönetici olsanız bile, kendi iş istasyonunuzda kök ayrıcalıklarınız bile olmayabilir.

    server installations:

    • kısa çalışma oturumlarınızı root olarak okunaklı yapmak (şifresiz girişler, tüm sunucular için uygun ssh anahtar yönetimi ve tüm şifre girişleri için yapılandırılmış fail2ban) ve her servise/servise sahip olmak arasında çok büyük bir fark var. kendi kullanıcısı ile koşmak (bu bir zorunluluktur) - çoğu insan farkı fark etmiyor gibi görünüyor
    • eğlence için: sürüm kontrollü konfigürasyon yönetimi araçlarını (ansible/kukla/salt/git sunucusundan gelen dosyalar ile) yalnızca root erişimi olmadan kullanmayı deneyin. (bu özel sistemler için olduğu kadar, izleme ve yedekleme sistemleriniz için de bazı AAA'larınız var, değil mi?)
    • ayrıca: varsayılan rm -rf / çoğu genel dağıtımda IIRC'de çalışmaz
    • herhangi bir ciddi işyerinde, zaten yaptığınız her şeyi kaydeden ve muhtemelen 2FA tarafından daha fazla korunan, sunucu filosuna erişmek için bir atlama sunucusu/bastion-Host bulunur
    • eğer Sudo ve jumphost'unuz yoksa, ana bilgisayar günlüklerini sona erdirmek için düzeltebilirsiniz, ancak gerçek zamanlı olarak yansıtılmazlarsa, yine de onları istersiniz.
    • ayrıca ssh günlükleri 'temizlendiğinde', başka bir ağ izleme sistemi mevcut değilse, Host cihazında olduğunuzu bile kanıtlayamazsınız.

    Bu iki uç arasında herhangi bir şirket büyüklüğü (okuma: büyük olasılıkla statik IP içeren SOHO) için, uygun izleme/yedekleme/otomasyon/kayıt önlemleri içermeyen bu iki uç nokta arasında, sunucularda Sudo kullanımını zorlamak yararlı olabilir. (Bağlantı kurduktan sonra Sudo su - ASAP yapan insanlar tarafından engellenir, tüm günlüğe kaydetme niyetlerinizin izin verilmesine izin vermeyin, birden fazla root kullanıcısı oturum açmaz girmez kötü niyetli amaçlar olmadan bile israf olur ve insanları kurallara uymamaları için draconian önlemleriyle tedavi etmek. Hayat her zaman bir yolunu bulur.)

    Ancak, şifrenizdeki girişleri (eğer internete bakan sistemlerde mevcutsa) şifrelemek için en azından fail2banız yoksa, uygun şifre işlemesi (şifre yönetimi araçları, saklama politikaları, ana şifre yok, bunları çalışanın üzerinde ele alma) dalgalanmalar ...) ve yerinde yer alan sunucu filosu için uygun bir güncelleme yönetimi biçimine sahip olduğundan tümü sunucular düzenli olarak eklenir, muhtemelen bir gün içinde veya içinden olabilir dışarıda.

    Ve her zaman Sudo'ı dinsel olarak kullanmış ve tüm insanlar arasında kullanımını zorunlu kılmış olmak, bu durumda çok fazla sahip olma olasılığınızı değiştirmeyecektir.

    1
    sjas

    Sonuçta root olarak çalışmanın zararı yoktur. Bir işletim sisteminin yeniden kurulmasının imkansız olduğunu düşünen bir grup paranoyak insan var. "Birisi bir programı tehlikeye atabilir .." argümanı, peki ne? Bunu yaparlarsa, şifrenizi zaten sildirebilirler veya yine de sadece bir root şifresi isteği görüntüleyebilirler ve şifreyi verdiniz mi? Sistemindeki her şeyi silip aldın mı? oh iyi, yükleyiciyi çıkarın ve yeniden yükleyin. 20 dakikadan az sürer, bir kahve alın ve soğutun. Kök iyidir, hatırlayabildiğim ve ne yaptığını bildiğinizden beri kök salıyorum. Paketlerin kurulmasını daha az baş ağrısı yapar. Normalde olduğu gibi her 5 dakikada bir root şifresi girmek zorunda değilsin. Yalnızca root izinleri olduğundan sistem yapılandırma dosyalarını kaydetmeye/düzenlemeye çalışırken sorun yaşamazsınız. Kök olarak çalıştırmak çok daha kolay ve daha iyidir.

    0
    Corky