Aşırı abartılı olarak giriş yapma konusunda endişeleriniz mi var?


16

Kişisel dizüstü bilgisayarlarımdaki kişisel linux için, ortamımı genellikle X veya daha düşük çalışma düzeylerinde bile kök olarak otomatik oturum açacak şekilde ayarladım . Benim iş akışı yazmak için herhangi bir hantal gerek kalmadan, çok hoş ve hızlı buldum suya sudoya anahtarlık veya auth falan tarafından isteniyor.

Şimdiye kadar hiç sorun yaşamadım, neden çoğu insan bu konuda korkuyor? Endişe abartılı mı? Elbette bu, kullanıcının ne yaptığını bildiğini ve sistem güvenilirliği ve güvenlik sorunlarını umursamadığını varsayar.


4
neden kök olarak işletilmeli? gerçekten yazmak istemiyorsanız , nopasswd (hepsi değil) olarak bazı komutları sudodüzenlemenizi /etc/sudoersve eklemenizi öneririm (sonra ~/.bashrcdiğer adınızdaki dosyaya) aliases ekleyin sudo command. Bu muhtemelen iyi bir fikir değildir, ancak yapabileceğiniz veya size verdiğiniz zararı sınırlayacaktır.
xenoterracide

11
Bu konudaki düşmanlık seviyesi biraz endişe vericidir; bu meşru bir soru. Evet, her zaman kök olarak çalışmak kötü bir fikirdir, ancak bunun dışına çıkmaya gerek yoktur
Michael Mrozek

5
@Mrozek: Kabul etti. Şimdi, OP kök parolasını asla kontrol ettiğim herhangi bir sisteme vermem, ancak yanlış bir şey yazarak birisinin sistemini çöpe atmak çok eğitici olabilir. Belki de OP, "Şimdiye kadar onunla hiç bir sorun yaşamadım" yazısı, bir şeylerin ilk kez olabileceği gibi yararlı bir şey öğrenecek.
David Thornley

2
Bence bu neden olmasın özetliyor: unix.stackexchange.com/questions/502/…
Alex B

3
Bir araba benzetmesi getirmek için: Emniyet kemeri olmadan sürmek gibi. Mümkün ama potansiyel olarak ölümcül.
tersine çevir

Yanıtlar:


33

Aynı nedenlerden ötürü her bir arka plan programının asgari haklara sahip olması gerekir. Apache root olarak çalışabilir. Bir görevi yerine getirmek için tasarlanmıştır ve kesinlikle kötü bir şey olamaz mı?

Ancak apache'nin hatasız olmadığını varsayın. Hatalar zaman zaman keşfedilir. Bazen rastgele kod yürütme veya benzeri bile olabilir. Artık root olarak çalışan apache ile her şeye erişebilir - örneğin bir rootkit'i çekirdeğe yükleyebilir ve kendini gizleyebilir.

Öte yandan, kullanıcı düzeyinde bir rootkit yazmak çok zordur. Kullanılan ekstra disk alanı nedeniyle şüpheyi artırabilecek farklı programları (gibi ps) geçersiz kılmalıdır /home. Bu, tamamen aynı yapılandırmayı biliyorum ve örneğin eklemeyi unutmayın olmayabilir gnome-system-monitorbu nedenle kendisini açığa. Bu kapağa sahiptir bash, tcshve herhangi sen (kendisi başlatmak için) kullanmak olur kabuk. Bir grup geri çağrıyı geçersiz kılmak yerine 'basitçe' yerine farklı yapılandırmalarla çalışması gerekir.

Çok uzun zaman önce, Adobe Reader'da keşfedilen rastgele kod yürütme olduğunu düşünün.

Diğer neden kullanıcı hatalarıdır. Tüm diski tek bir komutla silmeden önce uyarılması daha iyidir.

Üçüncü sebep farklı mermiler. /Sistemin kurtarılması gerektiğinde kök kabuk takılmalıdır . Kullanıcıların kabukları takılabilir /usr(örneğin, kullanıcı zsh kullanabilir).

Bunun nedeni, farklı programların kök olarak çalışmamasıdır. Özellikle gerekmediklerini biliyorlar, bu yüzden sistemi yamalamanız gerekecek.

Beşinci neden ise, /rootayrı bir bölümde /homeolmamalı (ve olmalıdır). /homeAyrı olmak çeşitli nedenlerle yardımcı olur.

AYRICA : NEDEN NORMAL KULLANICI OLARAK KULLANILAMAZ. Kök haklarına sahip olmaktan daha sık ihtiyacınız yoktur. Güvenlik için çok düşük bir maliyettir.


3
Kök olarak, ddsistemdeki herhangi bir blok cihaza herhangi bir şey yapabilmesi, kökün / dev ve / proc içindeki çekirdek ve sistem öğeleri ile çok fazla karışık, kasıtlı ve kasıtsız yapmasının mümkün olması gerçeğiyle birlikte kimseyi gerekmedikçe kök olarak çalıştırmamaya ikna etmek için yeterli.
LawrenceC

29

Çıplak bir motosiklet de sürebilirsiniz ve hiçbir şey olmayabilir. Ama bahse girerim motosikleti çarptığınızda daha iyi hissedersiniz ...


7
belki, ama zamanın geri kalanında hissedeceğinizi düşünün!
Sirex

12

Bariz güvenlik noktasının yanı sıra, kabuğu veya bir lapsustaki bir komutu yanlış yazarak sisteminize asla ev sahipliği yapmadığınız açıktır. Böyle bir durumda, insanların neden bu konuda korktuklarını anlayacaksınız. Ve sonra dehşet içinde ağlayacaksınız ve bunun son derece eğitici bir deneyim olduğunu anlayacaksınız, ancak sisteminizi yine de geri getirmiyorsunuz.

Bir düşünce: Sisteminizin normal kullanımı sırasında kök parola istenirse (yani, paketleri veya başka bir sistem yönetimi görevini yüklemiyorsanız), yanlış yapıyorsunuz demektir .


Birkaç eski tecrübeyi hatırlattığım için +1. Yoksa onları geri getirmek için -1 olmalı mı?
David Thornley

5
İnsanların sudo kullanmanın neden yanlış yazılan komutları önlediğine inandıklarını hiç anlamadım. Birkaç yıl geri hosed son sistem bir sudo rm -rf / dir / iş oldu.
Sirex

4

Hayır, abartılı değil. Uygulamada en çok takdir edilmez. :-)

İşyerindeki küçük ekibim, örneğin, geliştirme çalışmaları için bir RHEL makinesini paylaşıyor: malzeme oluşturma, test etme vb. Herkes bireysel kullanıcı hesaplarını kullanıyor, ancak insanlar hızlı sysadmin görevleri için zaman zaman buna ihtiyaç duyduklarından kök parolayı da paylaşıyoruz. Bu aynı zamanda işletim sistemini kısa ömrü boyunca birkaç kez hortumlamayı yönetmemize neden oldu. Birisi libc'nin belirli bir versiyonunu inşa eden bir kişi sistem libc'sini aptalca kaldırdırmçağırma. Bir başka meraklı olayda, bölüm tablosu eksikti. (Tamam, bunun ayrıcalıklarla ilgisi yoktu.) Takımın geri kalanı, kırılma giderilene kadar engellendi. Çözümlerden biri, sistem yöneticisi görevlerini üstlenecek birisinin gönüllü olmasını sağlamaktır. Bu noktaya kadar, insanların derslerini öğrenmelerine izin vermek dışında çok fazla umursamadık: hepimizin arka uçlarımızda bazı diş izlerine ihtiyacımız var ve bunlar nispeten ucuz diş izleridir.

Gerçekten meraklı olmak , en az ayrıcalık ilkesini takip etmek ve Ken Thompson'ın "Güvene Güvenin Üzerine Düşünceler" adlı makalesini okumak isteyebilir . ("Ahlak açıktır. Kendinizi tamamen yaratmadığınız koda güvenemezsiniz.")


3

Bir yorumunuzu başka bir yanıta almak

ancak linux, kendi verilerinizi, gizliliğinizi ve güvenliğinizi yok etme özgürlüğü de dahil olmak üzere özgürlükle ilgilidir

İnsanları zorla bile sudoLinux bu özgürlüğü sunuyor. Shun etmek istediğiniz güvenlik argümanı, sizi olmayan şeylerden korumak için oradadır (okuyunuz: kötü amaçlı programlar veya kötü niyetli insanlar tarafından kontrol edilen programlar).

Emniyet kemeri olarak düşünün. Kullanması bir saniye sürer. Hayatınızı dışarıdaki diğer salaklardan kurtarabilir (hem kendiniz hem de kendiniz).

Parolanızı her zaman yazmak istemezseniz, sudoedit /etc/sudoersancak root olarak çalışmaya devam ederseniz, bir gün muhtemelen sisteminizi ve tüm verilerinizi çeken bir şey çalıştırırsınız.

Flash kadar boktan bir şeyin bile bilgisayarınızı yeniden biçimlendirebileceğini bilmekten memnunsanız, burada kimse ne yaptığınızı umursamıyor. Kök olarak çalıştır.


2
Sadece kötü amaçlı programlar değil, buggy olanlar da (örn. Çekirdek derlemenizi kök olarak yaptıysanız sisteminizi tutan bir noktada çekirdek oluşturma sisteminde bir hata vardı)
Spudd86

2

Neden Damn Vulnerable Linux'u ana sisteminiz olarak çalıştırmıyorsunuz ? Sistem güvenliğini göz ardı edecekseniz, hepsini göz ardı edebilirsiniz ...


Ana kullanıcı olarak kök ile teknik olarak bilgisayar teorik olarak güvence altına alınabilir ...
Maciej Piechotka

3
@Maciej tek güvenli bilgisayarın fişini çekti, bir gölün dibindeki betonla kaplı.
xenoterracide

Mitnick'in birisinin gölün dışına çıkarabileceğini, betonu kırıp takabileceğini belirtti (oh. Sadece birisinin sosyoteknik kullanarak fişsiz bilgisayar takabileceğini söyledi, ancak prensip aynı). 'Teknik' ve 'teorik olarak' kullanmaya dikkat etmeye çalıştım - ayrıca kötü kilit kilitten daha iyidir. Örneğin, SELinux eksikliğine rağmen mevcut sistemimi yeterince güvenli görüyorum;)
Maciej Piechotka

@Marciej iyi güvenlik tamamen maliyet / risk analizi ile ilgilidir. bir şeyin etrafına asla bir şeyin değerinden daha fazla güvenlik koymayın.
xenoterracide

1
@Marciej ve hiçbir şeye değmezse, üzerine güvenlik koymanın bir anlamı yoktur, bu noktada güvenlik açığı önemli değildir.
xenoterracide

1

Sayısız insanın ortak çabası olan bir işletim sisteminden bahsediyorsunuz. Kararlı bir yazılımdan başka bir şey çalıştırmazsanız, bir süre güvende olabilirsiniz.

Daha önce de belirtildiği gibi, bir şeyin tüm HD'nizi ne kadar küçük bir yere atabileceğine şaşıracaksınız. İlk yılımda, köklü bir şekilde çalışmayı denedim çünkü Fedora-core 3 günlerinde, sisteminizi kullanıcıdan yönetmek için pek çok süslü yol yoktu.

O zaman, yedekleme yapmadan küçük bir xorg düzenlemesi yaptım, çünkü zarar vereceğini düşünmemiştim. Masaüstü gitti. Sonra elle düzeltmeye çalıştım, ama ne yaptığımı tam olarak anlayamadım. Daha sonra, belki sürücülerimi ve masaüstümü yeniden yükleyebileceğimi düşündüm, ama aynı zamanda nvidia olduğu için yanlışlıkla ethernet'imin bağlantısını kestim.

Arch'ı ilk kez çalıştırırken, bir kullanıcı oluşturmak için uyarıları göz ardı ettim ve bir süre yönetici olarak çalıştım. AUR'dan ihtiyacım olan bir paket kurdum ve yeniden başlattıktan sonra tüm kurulumum bozuldu.

Kökümdeyken, bu sorunları çözmek, olması gerekenden çok daha kötü hale geldi.

Sadece beceriksiz olduğum sonucuna varabilirsin. Ama diğerlerinin de belirttiği gibi ... "sudo" yazmak, biraz huzur vermek için küçük bir bedeldir.

DÜZENLEME: Oh ... ve WINE gibi bazı programların açıkça bir kök ortamında çalışması beklenmiyor. http://wiki.winehq.org/FAQ#head-96bebfa287b4288974de0df23351f278b0d41014


1

Güvenlik nedenleri - Linux'u hedefleyen bir arka plan programı veya komut dosyası güvenlik açığı, sisteminizde Sysadmin gücüne sahip olacaktır.

Basit bir kullanıcı olarak çalışan VE sudo kullanmak güvenlik açısından çok farklı. Firefox'um kullanıcı olarak çalışıyor, bu nedenle herhangi bir Firefox güvenlik açığı yalnızca hesabıma çarpacak. Başka hiçbir şey.


0

Güvenlik ve belirli güçler üzerinde kontrol sahibi olma endişesi konusunda Maciej ile hemfikirim. Ayrıca, sisteminizin sahibi olarak, isterseniz bu işlevi devre dışı bırakabilirsiniz;) seçim sizin.


-4

Aptalca bir şey yapmadığınız sürece normal bir oturum için root olarak giriş yaptığım büyük bir problem göremiyorum.

Ben şahsen yapmıyorum, çünkü bazen aptalca bir şey yapıyorum. Ben potansiyel büyük bir sorun olmuştur yaptık aptal o şey fark asla, ama ben istiyorum düşünmek değil kibirli yeterince değilim asla bir şey yapmak gerçekten aptal.


8
web tarayıcısı kullanmak aptalca bir şey yapıyor mu?
xenoterracide

4
@xenoterracide: Eğer root olarak giriş yaparsanız aptalca bir şey yapmayı söyleyebilirim.
David Thornley

2
@David bunu biliyorum;) bu nokta
xenoterracide
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.