Ubuntu neden devre dışı bırakılmış bir kök hesaba sahip?


57

Ubuntu, "güvenlik nedeniyle" kök girişini devre dışı bırakır. Bununla birlikte, bana güvenlik konusunda hiçbir faydası olmadığı anlaşılıyor.

Bir davetsiz misafir Ubuntu için giriş şifrenizi almayı başarırsa, giriş şifresiyle aynı olduğundan süper kullanıcı şifresi de vardır.

Ancak, root şifresi gerekiyorsa, sadece giriş yapmak, davetsiz misafirlere fazla yardımcı olmaz - doğru değil mi?

Temel olarak bilmek istediğim şey şudur: Ubuntu neden root şifresini devre dışı bırakmayı seçti? Güvenlik sebepleri nelerdir?

Lütfen “ne” olduğunu düşündüğünüze göre cevap vermeyin - resmi kaynaklardan bir cevap arıyorum veya bunlara bağlıyım.


6
Bakalım bu işe yarar mı ?
Mitch

5
Sudo kullanımının sebepleri, ilk etapta yaratılan sudo ile aynıdır.
Thorbjørn Ravn Andersen

2
Canonical, sistem yönetiminde geçmişi olmayan Windows ve OSX kullanıcıları için kullanılabilirlik ve güvenlik arasındaki en yakın denge olduğunu düşünüyor. Bir masaüstü dağıtımın sahip bütün mesele insanlara hitap etmektir istemiyoruz başına Linux, hakkında bilgi edinmek için, ancak, koşmak, onları tıklayın istediğiniz şeyleri bulmak mümkün olmak istiyorum, ve onları çalıştırmak zorunda. "Normal" bir kullanıcının web / mail / pr0n / oyunlardan daha fazlasını yapmaktan aniden merak ettiği an Ubuntu, duydukları tüm harika Unixy şeylerine bir geçit olabilir ("etkinleştirme" kökü dahil - her zaman oradaydı) , dene sudo su).
zxq9

1
Biri hesabınızı kapatırsa, hesabınızdan köke geçtiyseniz, yazarken kök parolayı yakalayabilir su. Ayrıcalıklı yükselişe ilişkin nokta, yalnızca ayrı bir konsolda root olarak giriş yaparsanız ve asla normal hesabınızın yazma erişimi olan herhangi bir dosyaya güvenen bir şey yapmazsanız geçerlidir. Mevcut cevapların söylediği gibi, ana sebeplerden biri, yeni başlayanların giriş yapmanız ve kullanmanız gereken bir hesap olarak kökü düşünmelerini engellemektir.
Peter Cordes

Yanıtlar:


81

Mitch, yorumda iyi bir bağlantı yayınladı: Neden root olarak giriş yapmak kötü? ve Debian sitesi listelenen ana faydası vardır onların wiki :

Neden sudo?

sudoBir oturumu root olarak bir dizi nedenden dolayı açmak olarak kullanmaktan daha iyidir (daha güvenlidir):

  • Kimsenin kök şifresini bilmesi gerekmez ( sudomevcut kullanıcının şifresini ister). Bireysel kullanıcılara geçici olarak ekstra ayrıcalıklar verilebilir ve daha sonra şifre değişikliğine gerek duyulmadan alınabilir.

  • Yalnızca özel ayrıcalıklar gerektiren komutları çalıştırmak kolaydır sudo; Zamanın geri kalanında, ayrıcalıklı olmayan bir kullanıcı olarak çalışırsınız ve bu da hataların neden olabileceği hasarı azaltır.

  • Denetim / kayıt: bir sudokomut yürütüldüğünde, orijinal kullanıcı adı ve komut günlüğe kaydedilir.

Yukarıdaki nedenlerden dolayı, sudo -i(veya sudo su) kullanarak köke geçmek genellikle yukarıdaki özellikleri iptal ettiği için kullanımdan kaldırılmıştır.

Ubuntu’ya gelince Yararları ve dezavantajları wikide listelenmiştir :

Sudo kullanmanın yararları

Aşağıdakiler de dahil olmak üzere Ubuntu’nun kök oturum açma işlemlerini varsayılan olarak devre dışı bırakmasının bir çok yararı vardır:

  • Yükleyicinin sorması gereken daha az soru var. Kullanıcıların ara sıra kullanım için fazladan bir şifre (örneğin, kök şifre) hatırlaması gerekmez. Bunu yaparlarsa, unutmaları muhtemeldir (veya güvenli bir şekilde kaydederek, herkesin kendi sistemiyle kolayca çatlamalarını sağlar).

  • Varsayılan olarak, "Herhangi bir şey yapabilirim" etkileşimli giriş bilgilerini önler. Büyük değişiklikler yapılmadan önce sizden bir şifre girmeniz istenecektir; bu da yaptığınız şeyin sonuçları hakkında sizi düşündürmelidir.

  • sudo run (in /var/log/auth.log) komutunun günlük girişini ekler . Eğer karışırsanız, geri dönüp hangi komutların çalıştırıldığını görebilirsiniz.

  • Bir sunucuda, zorla girmeye zorlayan her korsan, root adlı bir hesaba sahip olduğunu bilecek ve önce bunu deneyecektir. Bilmedikleri ise, diğer kullanıcılarınızın kullanıcı adlarının ne olduğudur. Kök hesap şifresi kilitlendiğinden, bu saldırı esasen anlamsız hale gelir, çünkü ilk etapta kırılacak veya tahmin edilecek bir şifre yoktur.

  • Kullanıcıları gruplara ekleyip kaldırarak yönetici hakları için kolay transfer sağlar. Tek bir kök şifre kullandığınızda, kullanıcıları yetkilendirmenin tek yolu kök şifresini değiştirmektir.
  • sudo çok daha iyi ayarlanmış bir güvenlik politikası ile kurulabilir. Kök hesap şifresinin sistemde bir tür idari görev (ler) yapması gereken herkesle paylaşılması gerekmez (önceki maddeye bakın).

  • Kimlik doğrulama, kısa bir süre sonra otomatik olarak sona erer (bu, istediğiniz kadar az veya 0 olarak ayarlanabilir); bu yüzden sudo kullanarak root olarak komutları çalıştırdıktan sonra terminalden uzaklaşırsanız, bir root terminalini süresiz olarak açık bırakmayacaksınız.

Sudo kullanmanın olumsuz yönleri

Masaüstleri için sudo kullanmanın yararları büyük olsa da, dikkat edilmesi gereken muhtemel sorunlar var:

  • Sudo ile çalışan komutların çıktısını yönlendirmek farklı bir yaklaşım gerektirir. Örneğin sudo ls > /root/somefile , bu dosyaya yazmaya çalışan kabuk olduğu için düşünmeyiniz . ls | sudo tee -a /root/somefileEklemek veya ls | sudo tee /root/somefileiçeriğin üzerine yazmak için kullanabilirsiniz . Komutun tamamını, sudo altında çalışan bir kabuk işlemine, örneğin dosyanın kök izinleriyle yazılması için de iletebilirsiniz sudo sh -c "ls > /root/somefile".

  • Birçok ofis ortamında, bir sistemde SADECE yerel kullanıcı root olur. Diğer tüm kullanıcılar nss-ldap gibi NSS teknikleri kullanılarak içe aktarılır. Bir iş istasyonunu kurmak veya düzeltmek için, nss-ldap işlevinin bozulduğu bir ağ arızası durumunda, root gereklidir. Bu, çatlak olmadıkça sistemi kullanılamaz kılma eğilimindedir. Burada ekstra bir yerel kullanıcı veya etkin bir kök şifresi gerekiyor. Yerel kullanıcı hesabında yerel bir diskte $ HOME olmalı, değilNFS'de (veya başka bir ağa bağlı dosya sisteminde) ve NFS yuvalarındaki hiçbir dosyaya başvuruda bulunmayan bir .profile / .bashrc dosyasında. Bu genellikle root için geçerlidir, fakat root olmayan bir kurtarma hesabı eklerseniz, bu önlemleri manuel olarak almanız gerekecektir. Bununla birlikte, yerel bir kullanıcıyı sudo ile kullanmanın avantajı, yukarıdaki avantajlarda belirtildiği gibi komutların kolayca izlenebilmesidir.

Ve biz her zaman sahip olduk (ilk sürümden itibaren).


Bulunan en eski referans "sudo" olan yaklaşık 4.10 konuşuyor

SHUTTLEWORTH, DEBIAN TABANLI UBUNTU LINUX'U BAŞLADI

... Debian tabanlı Ubuntu Linux, Gnome 2.8, çekirdek 2.6.8.1, OpenOffice.org 1.1.2'yi içeriyor ve metin tabanlı, ancak kolay kurulum prosedürü ile birlikte geliyor. Ubuntu, kök kullanıcının Mac OSX gibi sudo kullanmayı tercih etmesini engelledi ...


Yararlarından bir kaç güvenlik özelliği eksik : (i.) (GUI için) Hiç kimse etkileşimli yerel erişim olmadan 'yüksek ayrıcalık' alamaz (klavyede şifre girerek); (ii.) Verilen 'yükseltilmiş ayrıcalık' sadece sudo'd komutları içindir, kullanıcı (veya root) için herhangi bir görev / konu yoktur.
david6

Bu, asıl soruda ortaya çıkan noktaları görmezden geliyor ve bunun neden iyi olduğunu başka birçok bilgiyle gizliyor gibi görünüyor?
paul23,

6

Yardım sayfasına yazılanların yeterince açık ve yeterince objektif olduğuna inanıyorum .

Ubuntu "herkes için" dir ve yeterince iyi olsanız da bilgisayarınıza zarar vermek için root erişimine ihtiyacınız yoktur, aynı zamanda neredeyse hiç ihtiyacınız yoktur (ve kolayca nasıl etkinleştireceğinizi biliyorsunuzdur).
Bu yüzden sorun "yeterince iyi" insanlarla değil, herkes için, başka bir bilgisayar dünyasından Linux'a gelebilir ve ilk etki Ubuntu'dur (ve biz çoktur).

Eğer bir uzman değilseniz ve tam olarak ne rootolduğunu ve doğru şekilde nasıl idare edeceğinizi bilmiyorsanız, etkinleştirilmesini istemezsiniz (veya onunla bir grafik girişi yapma riski de yoktur).
Güvenli tarafta işlerin nasıl yapılacağını öğrenmek ve daha sonra daha zor ve daha tehlikeli bir yola devam etmek, doğrudan zor yoldan başlamak ve ardından tesisinize / iş istasyonunuza zarar vermek, hüsrana uğramak ve belki de tam olarak çalışamamak için çok daha iyidir. sistemi.
Genel olarak önlemek, tedavi etmekten çok daha iyidir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.