سؤال ما هو الخطأ في كونك جذرًا دائمًا؟


لدي شعور بأن هذا سؤال غبي ، لكن هذا أمر تساءلت عنه منذ فترة.

لدي VPS وهذا هو أول مشروع لينكس كبير. أنا الشخص الوحيد الذي يمكنه الوصول إليها. سؤالي هو ، ما هو الخطأ في تسجيل الدخول كجذر بدلاً من إنشاء حساب وإعطائهم حق الوصول؟ إذا كان بإمكان sudoer القيام بكل شيء يمكن الجذر ، فما الفرق؟ إذا تمكن أحد المتسللين من اختراق كلمة المرور الخاصة بي إلى حسابي القياسي غير الجذر ، فيمكنه أيضًا تنفيذ أوامر sudo ، فكيف يخترق الهاكر أي حساب أكثر أو أقل؟


81
2017-08-24 14:23


الأصل


أود أيضًا أن أعلق أنه إذا كنت غير معتاد على "طريقة يونكس" ، فهذا ليس سؤالًا غبيًا. يجب أن تحصل على مكافأة للتفكير في طرح السؤال في المقام الأول كمشرف جديد في نظام التشغيل Linux. - Bart Silverstrim
وأود أن أعلق على بعض الإجابات. بشكل خاص تلك التي تقول "يمكنك أن تفسد الأشياء التي تكون جذورها". لا أعتقد أن هذه هي النقطة ... "rm -rf /" يفعل نفس "sudo rm -rf /". تكمن النقطة في أن أشياء مثل "sudo rm" لا تعمل ، ولكن "sudo startMyApp on low port" works. - Zlatko
ما هو الخطأ في عدم الوجود؟ - ostendali


الأجوبة:


إذا كنت قد قمت بتسجيل الدخول كجذر ، فيمكنك بسهولة مسح الأدلة أو القيام بشيء ما ، في وقت لاحق ، يكون غبيًا على النظام باستخدام الوجه ، في حين أنه كمستخدم ، عادة ما يتعين عليك وضع عدد قليل من الدورات العقلية الإضافية في الكتابة قبل القيام بشيء خطير.

أيضًا أي برنامج تقوم بتشغيله كجذر كامتيازات الجذر ، مما يعني أنه إذا قام شخص ما أو شيء ما بتشغيل / تصنيف / تصفح موقع ويب خطير ويريد أن يتلف نظامك ، مثل حصان طروادة أو برامج ضارة أخرى ، فإنه يتمتع بوصول كامل إلى جهازك. النظام ويمكن أن يفعل ما يريد ، بما في ذلك الوصول إلى منافذ TCP أقل من 1024 (حتى يتمكن من تحويل النظام الخاص بك إلى إعادة توجيه دون علمك ، على سبيل المثال).

في الأساس أنت تطالب بمشكلة قد يمنعها تسجيل الدخول بنفسك. لقد عرفت العديد من الناس الذين انتهى بهم الأمر لأنهم سعداء بأن لديهم شبكة الأمان هذه في لحظة من الإهمال.

تحرير: هناك أيضا قضية الجذر هو الأكثر شهرة ، وبالتالي هدف سهل ، للنصوص والاختراق. الأنظمة التي تعطل الحساب وتضطر بدلاً من ذلك المستخدمين إلى استخدام sudo تعني أن أي محاولة لكسر الجذر من ssh أو استغلال محلي للحساب تضرب رؤوسهم بالحائط. سيكون عليهم تخمين / كسر كلمة مرور و اسم المستخدم. انها الأمن من خلال الغموض إلى درجة ولكن من الصعب القول أنه لا احباط معظم هجمات كيدي النصي.


71
2017-08-24 14:30



+1 - استخدام "sudo" يجعل برامج التنفيذ بمثابة عمل صريح. انها ليست مسألة "وقف المتسللين" ، انها مسألة الحصول على عادة في العمل كمستخدم غير محظوظ وجعل الاحتجاج من امتيازات الجذر عملا ، والعمل الصريح. - Evan Anderson
أنا بدأت أتساءل عما إذا كان إيفان هو حقا منظمة العفو الدولية. - Bart Silverstrim
كما يضيف سودو درب التدقيق. كمن ، وماذا ، ومتى يتم تسجيله عند تشغيله كـ sudo. أي ملف سجل يمكن أن يتغير مع توزيعة ، لكن توزيعات RedHat تميل إلى استخدام / var / log / secure ويستخدم Ubuntu /var/log/auth.log... لست متأكدا إذا كان هذا صحيحًا لجميع توزيعات ديبيان المستندة. - 3dinfluence
+1 - لا يتعلق الأمر فقط بحقوق إنشاء أشياء أو فعل أشياء ، بل يتعلق أيضًا بحقوق التدمير. تسجيل الدخول كجذر (أو ما يعادله في أي نظام تشغيل آخر لهذه المسألة) هو مثل المشي حول حمل بندقية مع السلامة خارج. قد لا تلمس هذا الزناد عن عمد ، ولكن هل تثق بنفسك للقيام بذلك بنفس الطريقة؟ - Maximus Minimus
mh: / me يضع قبعة الكاوبوي ، ينفض عن السلامة على مسدسه ، ويفتح بيرة ، يقرع في شيء قليل التذمر حول زهور الثالوث ، ثم يسجل في الجذر. - Kyle Brandt♦


إذا كنت لا تسمح لأبله بتسجيل الدخول إلى خادمك كجذر ، فلا تعمل دائمًا كجذر لنفسك. ما لم يكن بإمكانك أن تقول أنك قلبي أبدا كان احمق. لا حقا؟ أنت متأكد؟ :)

الفائدة: يقلل من إمكانية كونك جذرًا و احمق في وقت واحد.


29
2017-08-24 14:41



+1 - "فائدة: يقلل من إمكانية أن تكون جذر وأحمق في وقت واحد." أنا أحب هذا تماما. - Evan Anderson
+1 لفلسفة سكوت آدمز أن الجميع أحمق. :) نعم ، هذا يعني أنت وأنا أيضا. - Ernie
على الإطلاق - هذا هو أحد أسئلتي الرئيسية في مقابلات العمل - متى آخر مرّة؟ كل شخص ، ما عليك سوى قراءة المواضيع هنا عن "مسؤول التسلية الأكثر fubar مسلية" أو أيا كان. إذا لم يعترف شخص ما بأنه ارتكب خطأ غبيًا حقيقيًا مرة واحدة على الأقل في حياته ، فقد يكون هناك على الأرجح عدد قليل من الأسباب التي لا تريد العمل معها. - Tom Newton


السبب الرئيسي هو الاخطاء. إذا كنت دائمًا جذرًا ، فقد يؤدي الخطأ المطبعي البسيط إلى إفساد النظام. إذا قمت بتسجيل الدخول فقط كجذر أو استخدام sudo للقيام بأشياء تتطلب منك تقليل مخاطر ارتكاب خطأ خطير.


9
2017-08-24 14:31





عندما تكون جذرًا ، فأنت تحصل على أذونات كسولة ، لأنك تستطيع الوصول إلى كل شيء في كل وقت ، لا يهمك عندما تكون الأشياء 777 أو 644 أو أيًا كان. لذا إذا سمحت لأي شخص آخر على النظام الخاص بك بعدم الرغبة في الوصول إلى كل شيء ، فإنه يصبح فجأة مصاعب حقيقية لجعل الآلة آمنة للاستخدام من قبل أشخاص آخرين.


9
2017-08-24 14:38



وهذا ما يسمى "تعفن الجذور". - kmarsh
أنا أحب هذا المصطلح ، "تعفن الجذور". في الواقع ، يمكن تشغيل الجذور في كل وقت تحويل أجهزة nix إلى أجهزة فظيعة تشبه Windows 95 بدون أي تشابه للأمان بين المستخدمين المتعددين. (أتذكر آلة SCO ، منذ سنوات ، حيث كان كل مستخدم في التطبيق المحاسبي المشترك يعمل كجذر لأنه "جعل مشاكل الإذن تختفي".> تنهد <) - Evan Anderson
أتذكر الحصول على تفسير من هذا القبيل - كان لديهم أداة mailinglist يعمل كجذر ، جنبا إلى جنب مع sendmail. كان ردي هو "تم إزالة مشكلات الأذونات للمتسللين أيضًا." - duffbeer703


هناك عدد قليل من النقاط الأساسية وراء عدم تسجيل الدخول كجذر: 1) لا يتم إرسال كلمة مرور الجذر عبر الشبكة في وقت تسجيل الدخول 2) لا توجد طريقة لمعرفة من فعل شيء ما إذا كان دخول مستخدمين متعددين هو نفس الحساب (الجذر أو غيره). 3) القيام بغير قصد شيء "غبي"


7
2017-08-24 14:31





إنها أكثر حماية ضد نفسك بحيث تكون لديك فرصة ثانية لمراجعة أوامر الامتياز الأعلى التي تحاول تشغيلها ، والتي تشبه UAC في Windows. من السهل جدًا إجراء شيء ما عن طريق الخطأ rm -rf / أثناء تسجيل الدخول كجذر.

بالإضافة إلى ذلك ، لديك إمكانية التتبع. هذه ليست مشكلة كبيرة في موقفك حيث أنت الوحيد إصدار (من الناحية النظرية) الأوامر ولكن القدرة على تسجيل وتتبع إلى الفرد هو عنصر أساسي لكثير من أشكال التحليل.


3
2017-08-24 14:30



تعد إمكانية التتبع أمرًا بالغ الأهمية في الأنظمة التي يعمل فيها أكثر من شخص واحد كمسؤول النظام sysadmin. ليس من المرغوب فيه فقط أنها مفوضة من قبل الأنظمة التنظيمية. - APC
فعلت هذا يوم الجمعة. بدلاً من حذف "/ dump / folder /" قمت بحذف المجلد /. ذكرني أحد الخط المائل العكسي النتانة لماذا لا نسجل الدخول كجذر. - oneodd1


الفرق هو أساسا:
لا يمكنك فعل أي شيء سيء عن طريق الصدفة.
أن الكود "الشرير" لا يستطيع السيطرة على النظام.
إشعار: لا يعني رمز الشر بالضرورة أن أي شخص لديه بالفعل إمكانية الوصول إلى النظام.


2
2017-08-24 14:30



لقد لاحظت أنه في هذه الأيام ، عادةً ما تعني الشفرات الشريرة برامج التتبع غير المرغوب فيها ، والتي يمكن أن تعمل كمستخدم. - Ernie
إذا كنت تفكر في فيروس (تحاول تدمير شيء ما) أو جذرًا ، فستكون أكثر تعقيدًا للبرامج الضارة إذا لم تكن جذورًا. - StampedeXV


يجب عليك دائمًا استخدام الحسابات التي تتمتع بأدنى مستوى ممكن من الامتيازات. الجري كجذر طوال الوقت يشجع على العادات السيئة والكسل التي ستجعل الحياة مزعجة عندما تعمل مع مستخدمين متعددين أو تعرض شيئًا لشبكة عامة / شبه عامة.

ضع في اعتبارك أيضًا أن اختراق كلمة المرور ليس سوى سيناريو توفيقي واحد - وليس السيناريو الأكثر شيوعًا أيضًا. من المرجح أن تقع ضحية لثغرة المتصفح أو وجود ثغرة أمنية في بعض البرامج الخفية التي تعمل على نظامك.

فكر في الكود الذي تستخدمه دون تفكير. على سبيل المثال ، ميناء لينكس من أدوبي فلاش ، وهو كومة من أنبوب البخار التي أصبحت قابلة للاستخدام فقط في الماضي القريب نسبيا. ما مدى أمان هذا الرمز في رأيك؟ هل تريد أن تكون قادرة على ممارسة السيطرة الكاملة على النظام الخاص بك؟


2
2017-08-24 14:37