क्या सामान्य उपयोगकर्ता के रूप में रूट उपयोगकर्ता का उपयोग करना 'ठीक' है?

मैंने अपने मैक पर रूट उपयोगकर्ता को सक्षम कर दिया है ताकि मैं इसमें लॉग इन कर सकूं और फाइंडर आदि चला सकूं। आलसी व्यक्ति होने के नाते मैं बस अपने घर की निर्देशिका से सब कुछ स्थानांतरित कर देता हूं /var/root। मैं ऐसा करने के लिए सुनिश्चित नहीं हूं, इसलिए मैं सब कुछ वापस ले सकता हूं। क्या सामान्य उपयोगकर्ता की तरह इसका उपयोग करना तकनीकी रूप से 'ठीक' है? (मैं केवल एक ही हूं जो मेरे कंप्यूटर तक पहुंच सकता है।)

आपके कंप्यूटर को हर समय रूट के रूप में लॉग इन करने का उपयोग हमेशा की तरह आपके सभी कुंजी, आपके पासपोर्ट, $ 5,000 नकद में किया जाता है, उस पर लिखे आपके सभी पासवर्ड के साथ कागज का एक टुकड़ा और एकमात्र फोटो जो आपके पास फ्लॉपी, आराध्य खरगोश है मौत ने आपका सात साल पुराना दिल तोड़ दिया। ओह, और एक चेनसॉ।

जो कहना है, यह समय-समय पर शक्तिशाली है, क्योंकि इसका मतलब है कि आप जो कुछ भी चाहते हैं, वह कर सकते हैं, जब भी आप घर जाने के लिए सामान लेने या अपने बैंक प्रबंधक से बात करने की आवश्यकता के बिना कर सकते हैं। लेकिन यह आपको सामान खोने का बहुत जोखिम भी देता है, चोरी होने से (यह मत सोचिए कि चेनसॉ आपकी मदद करेगा: आप अपने बटुए के चले जाने की सूचना देने से पहले सड़कों पर होंगे), उन चीजों को करना जो आपको वास्तव में पछतावा करते हैं (आवेग-खरीद प्लेन टिकट वेगास के नशे में), खतरनाक शॉर्टकट ले रहा है (शेर के बाड़े के माध्यम से जंजीर क्योंकि वह पंडों के लिए सबसे तेज़ तरीका है) और अति-प्रतिक्रिया (अपने पड़ोसी की कार को जकड़ना क्योंकि उसका कुत्ता बहुत भौंकता है)। और, जब आप इसके बारे में सोचते हैं, तो ज्यादातर, आप सिर्फ कार्यालय जा रहे हैं, किराने की खरीदारी कर रहे हैं, अपने दोस्तों के साथ घूम रहे हैं। आप पहनते हैं' टी जरूरत के सामान के लिए हर समय आपके साथ वह सब सामान चाहिए, क्या?, महीने में एक बार? सप्ताह मेँ एक बार?

तो, नहीं, हर समय रूट खाते का उपयोग करना ठीक नहीं है। यह आपको थोड़ी सी सुविधा देता है लेकिन आपको बहुत खतरे में डालता है। वहाँ भयावह गलतियों का खतरा होता है जो भयावह परिणाम ("अरे, rm -rf *दौड़ने में इतना लंबा समय क्यों ले रही है? **** मैं अंदर हूँ /!")। अपने आप को इस विचार में ढालने का खतरा है कि सभी फाइलें समान हैं और आप निर्देशिका ट्री में कहीं भी, जो कुछ भी चाहते हैं, उसके साथ गड़बड़ कर सकते हैं। यह खतरा है कि आपके खाते की कोई भी हैक तुरंत पूरे सिस्टम के लिए एक हैक है, इसलिए अब आपके मशीन का हर एक सॉफ्टवेयर सुरक्षा-महत्वपूर्ण है। और यहां तक ​​कि अगर आपको लगता है कि आप अपनी मशीन को हैक होने की परवाह नहीं करते हैं (आखिरकार, फ्लॉपी की वह तस्वीर चमकदार कागज का एक वास्तविक टुकड़ा है, कुछ अल्पकालिक जेपीईजी नहीं), मैं आपकी मशीन के हैक होने की परवाह है क्योंकि तब यह बोटनेट पर है जो कि डीडीओएस हमले के खिलाफ बढ़ रहा है जो भी इंटरनेट सेवा आज मैं उपयोग नहीं कर सकता हूं।

जड़ आपकी स्पाइडरमैन पोशाक है। यह आपको महान शक्ति प्रदान करता है लेकिन इसके लिए बड़ी जिम्मेदारी की आवश्यकता होती है। जब भी आपको आवश्यकता हो, तो यह अलमारी में है, इसलिए आपको इसे हर समय पहनने की ज़रूरत नहीं है।

आप कर सकते हैं, लेकिन यह एक बड़ी सुरक्षा और स्थिरता जोखिम है। ऐसा करने से किसी भी एप्लिकेशन को आपके कंप्यूटर पर पूर्ण एक्सेस की अनुमति मिलती है। आप नहीं जान सकते कि वे उस पहुंच के साथ क्या कर रहे हैं। यह अनावश्यक है, और बस वास्तव में असुरक्षित है।

इस पर बहुत अधिक पृष्ठभूमि जानकारी के लिए, देखें

• रूट के रूप में लॉगिन करना क्यों बुरा है
• हमेशा रूट के रूप में लॉग इन क्यों न करें
• लिनक्स में रूट लॉगिन का उपयोग करने की अनुशंसा क्यों नहीं की जाती है

ईमानदारी से, मैं मानता हूं कि rootउपयोगकर्ता को डिफ़ॉल्ट के रूप में उपयोग करने के साथ बहुत सारे जोखिम जुड़े हैं । लेकिन मुझे बस उनके माध्यम से चलने दो और कुछ तर्कों की थोड़ी आलोचना करो

• अनुप्रयोगों के खिलाफ बचाव : व्यावहारिक रूप से * निक्स की अनुमति प्रणाली मनमाने कार्यक्रमों को चलाने की अनुमति देने के लिए (अब तक) पर्याप्त मजबूत नहीं है । * निक्स पर एक दुर्भावनापूर्ण प्रोग्राम रूट अनुमतियों के बिना पर्याप्त बुराई सामान (जैसे आपके बैंक क्रेडेंशियल्स चोरी करना) करने में सक्षम है। यह rootएक rootआवेदन के लिए की तुलना में गैर- अनुप्रयोग के लिए कुछ हद तक कठिन होगा (जैसे कि सीधे रूट-प्रमाणपत्र स्थापित करने और बैंक से कनेक्शन को इंटरसेप्ट करने के बजाय आपको ब्राउज़र के साथ गड़बड़ करने की आवश्यकता होगी, लेकिन हे, यह वास्तव में काफी उल्लेखनीय है और आपको यह करने की संभावना है कि उपयोगकर्ता सुनिश्चित करने के लिए वैसे भी कुछ भी नोटिस नहीं करता है)
• उपयोगकर्ता की गलतियों के खिलाफ बचाव (जैसे कि एक गलत कमांड चलाना और सभी सिस्टम फ़ाइलों को हटाना) : बिल्कुल सच है, लेकिन फिर भी एक गैर- rootउपयोगकर्ता सिस्टम को बचाएगा, सभी महत्वपूर्ण फाइलें सामान्य रूप से पहले ही खो जाएंगी (जैसा कि उपयोगकर्ता के स्वामित्व वाली फाइलें कहीं अधिक हैं अद्वितीय होने की संभावना)।
• आपके द्वारा चलाए जा रहे अनुप्रयोगों में शोषक कीड़े के खिलाफ बचाव: अब यह अधिक पसंद है। उदाहरण के लिए, जब आप एक वेब सर्वर चलाते हैं, जहां बहुत सारे अनुप्रयोग बाहर की ओर खुले होते हैं और इस प्रकार कोई भी शोषक बग आसानी से पहुंच जाएगा। यदि आप राउटर और फ़ायरवॉल के पीछे बैठे हैं, तब भी यही बात लागू होती है, हालांकि खतरे की सीमा कहीं कम महत्वपूर्ण है। हालांकि एक बार फिर यह सवाल बन जाता है कि अनुमति प्रणाली निजी प्रणाली पर वास्तविक रूप से कितना बचाव करेगी। rootअनुमतियों के बिना सभी निजी फ़ाइलों को अभी भी एक्सेस किया जा सकता है और नेटवर्क डेटा को इंटरसेप्ट करना भी संभव है ... दो सबसे महत्वपूर्ण चीजें जिन्हें आप निजी सिस्टम के हमलावर के रूप में चाहते हैं।
  • (अब, मानक * nix फ़ाइल अनुमति प्रणाली के शीर्ष पर) Apple ने एक एप्लिकेशन सैंडबॉक्सिंग सिस्टम भी पेश किया है। जहां तक ​​मुझे पता है कि रूट के रूप में लॉग इन होने पर भी एक पूरी तरह कार्यात्मक है। कुल सौदा ब्रेकर।)

किसी भी तरह से, सभी ने माना कि मुझे नहीं लगता कि यह उतना ही भयानक है जितना कि कुछ लोग दावा करते हैं। ध्यान रहे, मैं यह नहीं कह रहा हूं कि यह एक अच्छा विचार है, लेकिन मुझे लगता है कि लोग आपकी रक्षा करने में * nix फाइल सिस्टम अनुमति मॉडल की उपयोगिता को नजरअंदाज करते हैं। हां, यह कुछ चीजों के लिए अविश्वसनीय रूप से उपयोगी है (उदाहरण के लिए मल्टी यूजर सिस्टम, जटिल मल्टी-एप्लिकेशन सर्वर, सिस्टम को चालू रखने से कोई फर्क नहीं पड़ता कि क्या हो रहा है (चल रहा है, लेकिन आवश्यक उपयोग करने योग्य नहीं), महत्वपूर्ण फ़ाइलों को लॉक करना (हालांकि आप उन लोगों को एन्क्रिप्ट करना बेहतर कर रहे हैं) ...), आदि), लेकिन यह कुछ जादुई सुरक्षा नहीं है जो खराब सामान को होने से रोकता है।

टिप्पणियों में मैं एक सादृश्य के साथ आया था जो स्थिति का वर्णन करने में काफी पर्याप्त लगता है। डच में हमारे पास छोटी कोठरी के लिए एक शब्द है जहां आप सभी मीटर और मुख्य पानी की आपूर्ति के लिए टॉगल पा सकते हैं, आदि चल रहा है क्योंकि rootउपयोगकर्ता खाता उस छोटी कोठरी को बंद करने जैसा है। विडंबना यह है कि ज्यादातर लोगों के पास पहली जगह पर ताले नहीं होते हैं। अब, बस के साथ की तरहrootउपयोगकर्ता जो यह कहना नहीं चाहता है कि कुछ मामलों में इसे बंद करना उपयोगी नहीं है, उदाहरण के लिए कार्यालयों या अन्य अर्ध-सार्वजनिक भवनों में इसे अक्सर बंद कर दिया जाता है, लेकिन सामान्य घरों में सामने के दरवाजे पर एक मजबूत ताला होना बहुत महत्वपूर्ण है ( यादृच्छिक चीजें, फ़ायरवॉल इत्यादि को स्थापित नहीं करना और अपने सभी महत्वपूर्ण सामानों को एक सुरक्षित स्थान पर रखना (बैकअप बनाना, सामान को एन्क्रिप्ट करना आदि)। क्या उस अलमारी पर एक अतिरिक्त ताला चोट पहुंचाएगा? नहीं, तो यह एक अच्छा विचार हो सकता है कि यह सिर्फ मामले में हो, लेकिन सभी संभावना में यह काफी बेकार होने वाला है।

rootउपयोगकर्ता के रूप में चलाना आपके घर के सभी तालों को लेने और सभी सामानों को तिजोरी में ले जाने के समान नहीं है , जैसा कि डेविड रिचेर्बी ने दावा किया है। आपका पासपोर्ट (पहचान) किसी भी तरह से * निक्स फाइल सिस्टम द्वारा संरक्षित नहीं है, आपका पैसा (बैंक खाता) * निक्स फाइल सिस्टम द्वारा संरक्षित नहीं है, आपके महत्वपूर्ण पासवर्ड संभवतः * निक्स फाइल सिस्टम द्वारा संरक्षित नहीं हैं (यदि आप सफारी का उपयोग कर रहे हैं, हालांकि वे वास्तव में आंशिक रूप से * निक्स फाइल सिस्टम अनुमति मॉडल द्वारा संरक्षित कर सकते हैं, लेकिन बिनाroot आप अभी भी सफारी में एक अदृश्य एक्सटेंशन जोड़ सकते हैं और अगली बार जब आप अगली बार पासवर्ड का उपयोग करते हैं तो इसे इंटरसेप्ट करें), आपकी तस्वीरें निश्चित रूप से * निक्स फाइल सिस्टम द्वारा संरक्षित नहीं हैं और यदि आप टर्मिनल का उपयोग कर रहे हैं तो आप पहले से ही एक चेनसा ले रहे हैं आपके साथ (प्रति बिंदु 2 ऊपर)।

1990 के आसपास मैं टॉम नाम के एक लड़के के साथ एक प्रोजेक्ट पर काम कर रहा था। हम एक SUN सर्वर का उपयोग कर रहे थे SunOS (एक यूनिक्स व्युत्पन्न, सोलारिस के पूर्ववर्ती)। सीडी ड्राइव और फ्लैश ड्राइव से पहले के दिनों में यह वापस आ गया था, इसलिए यदि आपने अपनी हार्ड ड्राइव पर ओएस को गड़बड़ कर दिया तो ठीक होने का कोई रास्ता नहीं था।

टॉम रूट के रूप में नियमित रूप से लॉग इन करते थे। मैंने उसे बताया कि यह एक बुरा विचार था, लेकिन उसने नहीं सुना। एक दिन मैंने उसे "उह-ओह" कहते हुए सुना। वह इस तरह से आने वाला था:

mv something* .

दुर्भाग्य से उन्होंने अंतिम बिंदु को छोड़ दिया, इसलिए शेल ने सभी फ़ाइल और निर्देशिका नामों का विस्तार किया जो इस पैटर्न से मेल खाते थे। तब एमवी कमांड ने गंतव्य सूची के रूप में सूची में अंतिम नाम के रूप में जो कुछ भी समाप्त किया था, उसका उपयोग किया और बाकी सभी चीजों को इसमें स्थानांतरित कर दिया। दुर्भाग्य से, वह वर्तमान में रूट डायरेक्टरी में था, इसलिए मूल रूप से पूरी फाइल सिस्टम उसके एक उपनिर्देशिका में चली गई।

मैंने पिछली कमांड को वापस लाने के लिए अप-एरो का उपयोग किया और देखा कि क्या हुआ था। पहली बात जो मैंने तब कही थी, "लॉग ऑफ न करें! या आप फिर कभी लॉग इन नहीं कर पाएंगे।"

कोई बात नहीं, है ना? हम सब कुछ वापस ले जा सकते थे। हम, सिवाय इसके कि mv कमांड शेल के अंतर्निहित कमांड में से एक नहीं था। इसके बजाय, यह एक निष्पादन योग्य कार्यक्रम था, जिसे एक फाइल में संग्रहीत किया गया था जिसे स्थानांतरित कर दिया गया था। सौभाग्य से, ls एक अंतर्निहित कमांड था, इसलिए ls का उपयोग करने के बाद यह पुष्टि करने के लिए कि कमांड कहाँ चले गए थे, मैं mv कमांड को खोजने में सक्षम था, इसे इसके पूर्ण पथ के नाम के साथ आमंत्रित किया, और चीजों को वापस रख दिया जहाँ वे होने वाले थे ।

और फिर मैंने उससे कहा, "टॉम, यही कारण है कि रूट के रूप में नियमित रूप से लॉग करने के लिए यह एक बुरा विचार है।"

आम तौर पर आप अपनी निजी फ़ाइलों के स्वामित्व को मूल उपयोगकर्ता से अलग रखना चाहते हैं। यही कारण है कि आप एक व्यवस्थापक के रूप में अपने लिए एक खाता बनाते हैं। रूट लेवल एक्सेस हासिल करने के लिए OS X के तहत स्वीकृत तरीका sudoटर्मिनल एप्लिकेशन से कमांड का उपयोग करना है । उदाहरण के लिए, यदि आप अपने आंतरिक ड्राइव के विभाजन को देखना चाहते हैं तो कमांड है

gpt -r show /dev/disk0

यदि दर्ज किया गया है तो निम्नलिखित त्रुटि संदेश आएगा।

gpt show: unable to open device '/dev/disk0': Permission denied

कमांड का उपयोग करने के लिए, आपको sudoनीचे दिखाए अनुसार उपयोग करने की आवश्यकता है ।

sudo gpt -r show /dev/disk0

यदि आप प्रवेश से बचने के लिए रूट उपयोगकर्ता बनना चाहते हैं sudo, तो आप बस प्रवेश कर सकते हैं sudo sh। exitआदेश जड़ उपयोगकर्ता किया जा रहा से बाहर निकलने के लिए इस्तेमाल किया जा सकता।

यदि आप किसी एप्लिकेशन को रूट उपयोगकर्ता के रूप में निष्पादित करना चाहते हैं, तो आप टर्मिनल एप्लिकेशन का उपयोग करके कर सकते हैं। उदाहरण के लिए, यदि आप खोजक को मूल उपयोगकर्ता के रूप में लॉन्च करना चाहते हैं, तो निम्न कमांड दर्ज करें।

sudo /System/Library/CoreServices/Finder.app/Contents/MacOS/Finder &

एक ही समय में दो खोजक अनुप्रयोगों को खोलने की उलझन से बचने के लिए, आमतौर पर अपने खोजक आवेदन को छोड़ना सबसे अच्छा है। यह निम्नलिखित टर्मिनल कमांड का उपयोग करके किया जा सकता है।

osascript -e 'tell application "Finder" to quit'

सतर्कता का एक शब्द: sudoरूट कमांड बनने से पहले की कमांड एक ही नहीं है। उदाहरण के लिए, आज्ञा

sudo echo $USER
sudo echo $SUDO_USER

नीचे दिखाए गए कमांड के समान आउटपुट में परिणाम।

echo $USER
echo $SUDO_USER

यदि आप रूट उपयोगकर्ता (सुपरयुसर) बन जाते हैं, तो समान कमांड का परिणाम अलग आउटपुट होता है। इसे नीचे दिखाए गए कमांड दर्ज करके सत्यापित किया जा सकता है।

sudo sh
echo $USER
echo $SUDO_USER
sudo echo $USER
sudo echo $SUDO_USER
exit

मामले में अन्य कारण काफी अच्छे नहीं थे ... यह मत भूलो कि आप Homebrew को रूट के रूप में उपयोग नहीं कर सकते हैं (जो वास्तव में एक बहुत बड़ा दर्द है)। अन्य कार्यक्रम भी आपको उन्हें रूट के रूप में उपयोग करने की अनुमति नहीं देते हैं या जब आप करते हैं, तो बिना किसी स्पष्ट कारण के कई बार अनुमतियों की समस्याओं में भाग लेते हैं, क्योंकि उनके प्रोग्रामर मान लेते हैं कि उन्हें रूट के रूप में नहीं चलाया जाएगा। मुझे लगता है कि स्टीम उनमें से एक है।

विभिन्न कारणों से सभी सिस्टम और उपयोगकर्ता सामग्री अलग-अलग होना अच्छा है।

मुझे नहीं पता कि यह सुरक्षा समस्या का बुरा है। मैं व्यक्तिगत रूप से कुछ और की तुलना में संगठन और अनुमति के साथ समस्याओं के बारे में अधिक चिंतित हूँ।

बस कुछ उदाहरण क्यों यह हमेशा के रूप में चलाने के लिए ठीक नहीं है root:

• रूट उपयोगकर्ता उन फ़ाइलों को आसानी से उन स्थानों पर रख सकता है जो नीचे ट्रैक करना अधिक कठिन हैं।
• रूट उपयोगकर्ता के पास इंटरफेस तक कच्ची पहुंच है और इसलिए इंटरफ़ेस को प्रोमिसस या मॉनिटर मोड में डाल सकते हैं और सभी नेटवर्क ट्रैफ़िक को लॉग इन कर सकते हैं।
• रूट उपयोगकर्ता के पास डिवाइस नोड्स तक कच्ची पहुंच होती है और यह एक डिस्क को थ्रैश कर सकता है जिससे उपयोगकर्ता स्तर पर एक सरल 'आरएम' की तुलना में फ़ाइलों को पुनर्प्राप्त करना अधिक कठिन हो जाता है। रूट उपयोगकर्ता किसी ड्राइव के बूट सेक्टरों को संभावित रूप से संशोधित कर सकता है, जिससे ऑपरेटिंग सिस्टम के पुनर्स्थापना के बाद भी मैलवेयर लगातार बना रहता है।

मैं जा सकता था। मुद्दा यह है कि रूट के रूप में नहीं चलने के अच्छे कारण हैं। मैं इस बात से असहमत नहीं हूं कि ज्यादातर लोग अपने निजी डेटा को किसी भी तरह से अपने होम डायरेक्टरी में रखते हैं, लेकिन रूट के रूप में चलने से उस डेटा और पूरी प्रणाली को अधिक जोखिम में डाल दिया जाता है। रूट के रूप में नहीं चलाने की सलाह गलत नहीं है। यदि कोई व्यक्ति जड़ के रूप में चलने के निहितार्थ को नहीं समझता है, तो उन्हें निश्चित रूप से ऐसा नहीं करना चाहिए। किसी और चीज का सुझाव देना गैर-जिम्मेदाराना है।

जब तक आप किसी विशिष्ट कार्य के लिए backtrack / काली का उपयोग नहीं कर रहे हैं: NO। सुपर उपयोगकर्ता के साथ एक भरी हुई बंदूक के रूप में व्यवहार करें: यदि आपके पास इसका उपयोग करने की तत्काल आवश्यकता और इरादा है: ठीक है। यदि आप अपनी समस्या को किसी अन्य तरीके से हल कर सकते हैं, हालाँकि (उदाहरण के लिए "sudo"), ऐसा करें।

नहीं! इससे आपका सिस्टम बहुत कम समय में टूट जाएगा। इसके बजाय, suया sudoआवश्यक के रूप में जड़ में। यदि आप पूरी तरह से, सकारात्मक रूप से root, के रूप में चलाना चाहिए , कम से कम किसी भी समय लॉग आउट जब आप कंप्यूटर का उपयोग नहीं कर रहे हैं। यदि आपका सिस्टम बहुउपयोगकर्ता चलाने में सक्षम है, लेकिन कोई भी उपयोगकर्ता कॉन्फ़िगर नहीं किया गया है, तो मेरा सुझाव है कि आप एक विशेषाधिकार प्राप्त उपयोगकर्ता बनाएं (यानी: जो आवश्यक हो sudo/ suरूट में हो सकता है।) ASAP !!!