Soru Her zaman kök olmanın nesi yanlış?


Bunun aptalca bir soru olduğunu hissediyorum, ama bu bir süredir merak ettiğim bir şey.

VPS'm var ve bu benim ilk büyük linux girişimim. Ona erişimi olan tek kişi benim. Benim sorum şu, sadece bir hesap yapmak ve onlara sudo erişimi vermek yerine root olarak giriş yapmak neyin yanlış olduğu? Bir sudoer her şeyi yapabilirse, o zaman ne fark eder? Bir bilgisayar korsanı şifremi standart olmayan, kök dışı hesabım için bozabilirse, o zaman sudo komutlarını da çalıştırabilir, bu yüzden benim root hesabımı kırdığım bir hacker daha mı az mı olur?


81
2017-08-24 14:23


Menşei


Ayrıca, "Unix Way" e aşina değilseniz, bu aptalca bir soru değil. Soruyu ilk önce yeni bir Linux yöneticisi olarak sormayı düşünmeniz için bir bonus almalısınız. - Bart Silverstrim
Ve bazı cevaplara yorum yapmak istiyorum. Özellikle de "şeyleri kökten kurtarabilirsin" diyenler. Bence bu nokta ... "rm -rf /" "sudo rm -rf /" ile aynı şeyi yapmaz. Buradaki nokta, "sudo rm" gibi şeylerin çalışmadığı, ancak "düşük bağlantı noktasında sudo startMyApp" ın çalıştığıdır. - Zlatko
asla olmamanın nesi yanlış? - ostendali


Cevaplar:


Kök olarak oturum açmışsanız, dizinleri kolayca silebilir veya geriye dönük olarak sistemde bir parmağınızın ucuyla gerçekten aptalca olan bir şey yapabilirsiniz. Bir kullanıcı olarak normalde size birkaç ekstra zihinsel döngü koymak zorunda kalırsınız. Tehlikeli bir şey yapmadan önce yazarak.

Ayrıca, root ayrıcalıkları olarak root olarak çalıştırdığınız herhangi bir program, yani birisi ya da bir şey sizi tehlikeli bir siteye yönlendirmek / derlemek / bir web sitesine göz atmak veya bir trojan ya da diğer kötü amaçlı yazılım gibi sisteminize zarar vermek istemeniz anlamına gelir. 1024'ün altındaki TCP portlarına erişim de dahil olmak üzere, istediği şeyi yapabilir ve sisteminizi (örneğin, bilginiz olmadan sisteminizi bir geri kalanı haline getirebilir).

Temel olarak, kendinizin önleyebileceği gibi giriş yapmakta zorlanıyorsunuz. Bir çok insanı, dikkatsizce bir anda bu güvenlik ağına sahip olduklarına sevindiklerini bildim.

DÜZENLEME: Ayrıca, en çok bilinen kök olmakla birlikte, betikler ve kesiciler için kolay bir hedef vardır. Hesabı devre dışı bırakan ve bunun yerine kullanıcıları sudo kullanmaya zorlayan sistemler, ssh veya hesabın yerel bir istismardan kökünü kırmaya yönelik herhangi bir girişimin kafalarını bir duvara çarptıracağı anlamına gelir. Bir şifreyi tahmin etmek / kırmak zorundalar ve Kullanıcı adı. Bir dereceye kadar gizlilikle güvenlik var, ama çoğu senaryodaki kiddie saldırılarını engellemediğini söylemek zor.


71
2017-08-24 14:30



+1 - "Sudo" kullanımı, programları bir kök eylem olarak çalıştırmayı sağlar. Bu, "bilgisayar korsanlarını durdurma" meselesi değil, ayrıcalıklı olmayan bir kullanıcı olarak çalışma alışkanlığınıza girmeniz ve kök ayrıcalıklarının amaçlanan, açık bir eylemi gerçekleştirmesini sağlamak meselesi. - Evan Anderson
Evan gerçekten bir AI ise merak etmeye başlıyorum. - Bart Silverstrim
Sudo ayrıca bir denetim izi de ekliyor. Sudo olarak çalıştırıldığında kimin, ne, ne zaman ve ne zaman kaydedildiği gibi. Hangi günlük dosyası dağıtım ile farklılık gösterebilir, fakat RedHat dağıtımları / var / log / secure kullanma eğilimindedir ve Ubuntu /var/log/auth.log kullanır. Bu, tüm Debian tabanlı dağıtımlar için geçerli olup olmadığından emin değilim. - 3dinfluence
+1 - sadece bir şeyler yaratma ya da bir şeyler yapma hakları değil, aynı zamanda yok etme hakları da var. Kök olarak (veya bu konudaki herhangi bir işletim sistemindeki eşdeğerde) oturum açmak, güvenlik açıkken silah taşımak gibi bir şeydir. Bu tetikleyiciye asla kasıtlı olarak dokunamazsınız, ama aynı şeyi yapmaya kendinize güvenir misiniz? - Maximus Minimus
mh: / ben onun kovboy şapkasını koyar, tabancanın güvenliğini fırlatır, bir bira açar, hanımefendiler hakkında alçakgönüllü bir şeyle uğraşır ve sonra kök olarak giriş yapar. - Kyle Brandt♦


Bir aptalın sunucunuza root olarak giriş yapmasına izin vermezseniz, o zaman her zaman root olarak çalışmayın. Kalbinizi teslim edemezseniz, asla aptaldı. Hayır, gerçekten mi? Emin misin? :)

Faydası: root olmanız olasılığını azaltır ve eş zamanlı olarak bir aptal.


29
2017-08-24 14:41



+1 - "Faydası: aynı anda hem root hem de aptal olma olasılığını azaltır." Bunu kesinlikle çok seviyorum. - Evan Anderson
Scott Adams'ın felsefesi için herkesin bir aptal olduğu +1. :) Evet, bu sen ve ben de. - Ernie
Kesinlikle - bu iş görüşmelerinde benim temel sorularımdan biri - en son ne zaman berbat ettin? Herkesin, sadece burada bulunan konuları "en eğlenceli sysadmin fubar" ya da her neyse okuyabiliyorsunuz. Birisi yaşamlarında en az bir kez gerçek bir aptallık hatası yaptığını kabul etmezse, muhtemelen onlarla çalışmak istemediğiniz birkaç sebep vardır. - Tom Newton


Ana sebep hatalar. Eğer her zaman kökenseniz, basit yazım hatası sistemi gerçekten mahvedebilir. Sadece root olarak oturum açarsanız veya sudo gerektiren bir şey yapmak için tehlikeli bir hata yapma riskini en aza indirirsiniz.


9
2017-08-24 14:31





Kök olduğunuzda, izinler hakkında tembelleşirsiniz, her zaman her şeye erişebildiğiniz için, işler 777 veya 644 ya da her neyse ne olduğuyla ilgilenmezsiniz. Bu nedenle, sisteminize başka herhangi bir şekilde, her şeye erişmeyi istemediğinizi bildirirseniz, makinenin diğer insanlar tarafından kullanılmasını güvenli hale getirmek için ani bir zorlama haline gelir.


9
2017-08-24 14:38



Buna "kök çürüğü" denir. - kmarsh
Bu terimi beğendim, "kök çürümesi". Gerçekten de, her zaman kök olarak çalışan * nix makinelerini, çok kullanıcılı bir güvenlik deneyimi olmayan, Windows 95 benzeri makinelere dönüştürebilir. (Bir SCO makinesini yıllar önce, paylaşılan hesap uygulamasındaki her kullanıcının "izin sorunları ortadan kaldırdığı için" root olarak çalıştığını hatırlıyorum.>> İç çekiş <) - Evan Anderson
Böyle bir açıklama almayı hatırlıyorum - sendmail ile birlikte root olarak çalışan bir mail listesi aracı vardı. Cevabım "izin sorunları da bilgisayar korsanları için gitti." - duffbeer703


Kök olarak giriş yapmamanın arkasında birkaç anahtar avantaj vardır: 1) Giriş zamanında ağ üzerinden şifre şifresi gönderilmez. 2) Birden fazla kullanıcı aynı hesap (root veya diğer) olarak giriş yaptığında kimin bir şey yaptığını söylemenin yolu yoktur. 3) Yanlışlıkla 'aptal' bir şey yapıyor


7
2017-08-24 14:31





Kendinize karşı koruma için daha fazladır, böylece Windows'da UAC'ye benzer şekilde çalıştırmaya çalıştığınız daha yüksek ayrıcalık komutlarını gözden geçirmek için ikinci bir şansınız olur. Yanlışlıkla böyle bir şey yapmak çok kolay rm -rf / root olarak giriş yaptım.

Ayrıca, izlenebilirlik var. Bu sizin durumunuzda (teorik olarak) tek bir komutun olduğu, ancak bir bireye giriş ve izlenme yeteneğinin birçok analiz biçiminin kilit bileşeni olduğu durumunuzda büyük bir sorun değildir.


3
2017-08-24 14:30



Birden fazla kişinin sysadmin olarak çalıştığı sistemlerde izlenebilirlik çok önemlidir. Düzenleyici rejimler tarafından zorunlu kılmak sadece arzu edilen bir şey değildir. - APC
Bunu cuma günü yaptım. "/ dump / folder /" klasörünü silmek yerine "klasörü sildim /. Bir pislik ters eğik çizgi bana neden root olarak giriş yapmadığımızı hatırlattı. - oneodd1


Fark esas olarak:
Kazara kötü bir şey yapamazsın.
Bu "kötü" kod sistemi ele geçiremez.
Dikkat: Kötü kod, mutlaka herkesin sisteme erişmiş olduğu anlamına gelmez.


2
2017-08-24 14:30



Bu günlerde, kötü kodun genellikle herhangi bir kullanıcı olarak çalışabilecek spam botları olduğunu fark ettim. - Ernie
Bir virüs (bir şeyi yok etmeye çalışırken) veya bir rootkit'i düşünüyorsanız, eğer root değilseniz, kötü amaçlı yazılım için çok daha karmaşıktır. - StampedeXV