उबंटू का निष्क्रिय रूट खाता क्यों है?

उबंटू "सुरक्षा कारणों" के लिए रूट लॉगिन को निष्क्रिय करता है। हालांकि यह मुझे लगता है कि यह सुरक्षा के साथ बिल्कुल भी मदद नहीं करता है।

यदि कोई घुसपैठिया आपके लॉगिन पासवर्ड को उबंटू के लिए प्राप्त करता है, तो उसके पास सुपर-उपयोगकर्ता पासवर्ड भी है, क्योंकि यह लॉगिन पासवर्ड के समान है।

हालाँकि, अगर रूट पासवर्ड की आवश्यकता है, तो बस लॉगिन होने से घुसपैठिये को बहुत मदद नहीं मिलेगी - यह सही नहीं है?

तो मूल रूप से, जो मैं जानना चाहता हूं वह यह है: उबंटू ने रूट पासवर्ड को अक्षम करने का विकल्प क्यों चुना? सुरक्षा कारण क्या हैं?

कृपया इसका जवाब न दें कि आप "क्या सोचते हैं" इसका कारण था - मैं आधिकारिक स्रोतों से उत्तर की तलाश कर रहा हूं, या उनसे जुड़ा हुआ हूं।

मिच ने टिप्पणी में एक अच्छा लिंक पोस्ट किया: रूट के रूप में लॉगिन करना क्यों बुरा है? और डेबियन साइट उनके विकी में सूचीबद्ध मुख्य लाभ हैं :

क्यों sudo?

का उपयोग sudoकर रहा है बेहतर (सुरक्षित) कारणों, सहित की एक संख्या के रूट के रूप में एक सत्र खोलने से:

• रूट पासवर्ड ( sudoवर्तमान उपयोगकर्ता के पासवर्ड के लिए संकेत) को जानने की जरूरत नहीं है । अतिरिक्त उपयोगकर्ताओं को अस्थायी रूप से व्यक्तिगत उपयोगकर्ताओं को दिया जा सकता है, और फिर पासवर्ड परिवर्तन की आवश्यकता के बिना दूर ले जाया जा सकता है।

• केवल उन कमांड को चलाना आसान है जिनके लिए विशेष विशेषाधिकार की आवश्यकता होती है sudo; बाकी समय, आप एक अनपेक्षित उपयोगकर्ता के रूप में काम करते हैं, जो उस नुकसान को कम करता है जो गलतियों का कारण बन सकता है।

• ऑडिटिंग / लॉगिंग: जब किसी sudoकमांड को निष्पादित किया जाता है, तो मूल उपयोगकर्ता नाम और कमांड लॉग होता है।

ऊपर दिए गए कारणों के लिए, मूल sudo -i(या sudo su) का उपयोग करके रूट पर स्विच किया जाता है क्योंकि यह उपरोक्त सुविधाओं को रद्द करता है।

उबंटू के बारे में हमारे विकी पर लाभ और नुकसान सूचीबद्ध हैं :

सुडो का उपयोग करने के लाभ

डिफ़ॉल्ट रूप से अक्षम किए गए रूट लॉग को छोड़ कर उबंटू को कई लाभ हैं:

• इंस्टॉलर के पास पूछने के लिए कम प्रश्न हैं। उपयोगकर्ताओं को कभी-कभार उपयोग (यानी रूट पासवर्ड) के लिए एक अतिरिक्त पासवर्ड याद नहीं रखना पड़ता है। यदि वे करते हैं, तो वे इसे भूल सकते हैं (या इसे बिना रिकॉर्ड किए, किसी को भी आसानी से अपने सिस्टम में क्रैक करने की अनुमति दे सकते हैं)।

• यह डिफ़ॉल्ट रूप से "मैं कुछ भी कर सकता हूं" इंटरैक्टिव लॉगिन से बचा जाता है। बड़े बदलाव होने से पहले आपको एक पासवर्ड के लिए संकेत दिया जाएगा, जिससे आपको यह सोचना चाहिए कि आप क्या कर रहे हैं।

• sudo कमांड (लॉग) रन (इन /var/log/auth.log) की लॉग एंट्री जोड़ता है । यदि आप गड़बड़ करते हैं, तो आप वापस जा सकते हैं और देख सकते हैं कि क्या कमांड चलाए गए थे।

• एक सर्वर पर, हर पटाखा अपनी तरह से बल देने की कोशिश कर रहा है, उसे पता होगा कि उसका रूट नाम का एक खाता है और वह पहले प्रयास करेगा। वे नहीं जानते कि आपके अन्य उपयोगकर्ताओं के उपयोगकर्ता नाम क्या हैं। चूंकि रूट अकाउंट पासवर्ड लॉक है, इसलिए यह अटैक अनिवार्य रूप से अर्थहीन हो जाता है, क्योंकि पहली बार में क्रैक करने या अनुमान लगाने का कोई पासवर्ड नहीं है।

• समूहों से उपयोगकर्ताओं को जोड़कर और हटाकर व्यवस्थापक अधिकारों के लिए आसान हस्तांतरण की अनुमति देता है। जब आप एकल रूट पासवर्ड का उपयोग करते हैं, तो उपयोगकर्ताओं को डी-ऑथोराइज़ करने का एकमात्र तरीका रूट पासवर्ड को बदलना है।

• सुडो को बहुत अधिक बारीक सुरक्षा नीति के साथ सेटअप किया जा सकता है। रूट अकाउंट पासवर्ड को उन सभी के साथ साझा करने की आवश्यकता नहीं है, जिन्हें सिस्टम पर कुछ प्रकार के प्रशासनिक कार्य करने की आवश्यकता है (पिछली बुलेट देखें)।

• प्रमाणीकरण स्वचालित रूप से थोड़े समय के बाद समाप्त हो जाता है (जिसे वांछित या 0 के रूप में कम सेट किया जा सकता है); इसलिए यदि आप sudo का उपयोग करके रूट के रूप में कमांड चलाने के बाद टर्मिनल से चले जाते हैं, तो आप एक रूट टर्मिनल को अनिश्चित काल तक खुला नहीं छोड़ेंगे।

सूडो का उपयोग करने के डाउनसाइड्स

यद्यपि डेस्कटॉप के लिए सुडो का उपयोग करने के लाभ बहुत अच्छे हैं, ऐसे संभावित मुद्दे हैं जिन पर ध्यान देने की आवश्यकता है:

• सुडो के साथ चलने वाले कमांड के आउटपुट को रीडायरेक्ट करने के लिए एक अलग दृष्टिकोण की आवश्यकता होती है। उदाहरण के लिए विचार sudo ls > /root/somefile से काम नहीं चलेगा क्योंकि यह वह शेल है जो उस फाइल पर लिखने की कोशिश करता है। आप सामग्री को अधिलेखित करने ls | sudo tee -a /root/somefile, या जोड़ने के लिए उपयोग कर सकते ls | sudo tee /root/somefileहैं। आप पूरी कमांड को sudo के तहत चलाए जा रहे शेल प्रोसेस में फाइल को रूट परमिशन के साथ लिख सकते हैं, जैसे कि sudo sh -c "ls > /root/somefile"।

• बहुत सारे कार्यालय वातावरण में केवल एक सिस्टम पर स्थानीय उपयोगकर्ता रूट होता है। अन्य सभी उपयोगकर्ता NSS-ldap जैसी NSS तकनीकों का उपयोग करके आयात किए जाते हैं। वर्कस्टेशन सेटअप करने के लिए, या इसे ठीक करने के लिए, नेटवर्क विफलता की स्थिति में जहां nss-ldap टूटा हुआ है, रूट की आवश्यकता है। यह प्रणाली को तब तक अनुपयोगी छोड़ देता है जब तक कि दरार न हो। यहां एक अतिरिक्त स्थानीय उपयोगकर्ता, या एक सक्षम रूट पासवर्ड की आवश्यकता है। स्थानीय उपयोगकर्ता खाते में स्थानीय डिस्क पर अपना $ HOME होना चाहिए, न किएनएफएस (या किसी अन्य नेटवर्क फाइल सिस्टम) पर, और एक .profile / .bashrc जो एनएफएस काउंट पर किसी भी फाइल का संदर्भ नहीं देता है। यह आमतौर पर जड़ के लिए मामला है, लेकिन यदि गैर-रूट बचाव खाता जोड़ते हैं, तो आपको इन सावधानियों को मैन्युअल रूप से लेना होगा। हालांकि सुडो के साथ एक स्थानीय उपयोगकर्ता का उपयोग करने का लाभ यह है कि कमांड को आसानी से ट्रैक किया जा सकता है, जैसा कि ऊपर दिए गए लाभों में बताया गया है।

और हमारे पास हमेशा (बहुत पहले रिलीज से) है।

सबसे पुराना संदर्भ जो मैंने पाया 4.10 के बारे में बोलता है जिसमें "सुडो" है

SHUTTLEWORTH ने DEUNAN-BASED UBUNTU LINUX का निर्माण किया

... डेबियन आधारित उबंटू लिनक्स में गनोम 2.8, कर्नेल 2.6.8.1, OpenOffice.org 1.1.2 शामिल है और यह टेक्स्ट-आधारित, लेकिन आसान, इंस्टॉलेशन प्रक्रिया के साथ आता है। उबंटू ने मैक ओएसएक्स की तरह सुडो का उपयोग करने के लिए रूट उपयोगकर्ता को अक्षम कर दिया है ...

मेरा मानना ​​है कि सहायता पृष्ठ पर जो लिखा गया है वह पर्याप्त और पर्याप्त उद्देश्य स्पष्ट है।

उबंटू "हर किसी के लिए" है और यद्यपि यदि आप पर्याप्त रूप से अच्छे हैं, तो आपको अपने कंप्यूटर को नुकसान पहुंचाने के लिए रूट एक्सेस की आवश्यकता नहीं है, उसी समय आपको इसकी आवश्यकता लगभग नहीं है (और आप जानते हैं कि आसानी से इसे कैसे सक्षम किया जाए)।
तो समस्या उन लोगों के साथ नहीं है जो "काफी अच्छे" हैं, लेकिन हर किसी के लिए, जो कंप्यूटिंग की दूसरी दुनिया से लिनक्स में आ सकता है और पहला प्रभाव उबंटू के साथ है (और हम कई हैं)।

यदि आप एक विशेषज्ञ नहीं हैं और यह नहीं जानते हैं कि वास्तव में क्या rootहै और इसे ठीक से कैसे संभालना है, तो आप इसे सक्षम नहीं करना चाहते हैं (और जोखिम, उदाहरण के लिए, इसके साथ एक ग्राफिक लॉगिन करने के लिए)।
यह सीखने के लिए बेहतर है कि चीजों को सुरक्षित पक्ष पर कैसे किया जाए और फिर कठिन और अधिक खतरनाक रास्ते पर जाएं, सीधे कठिन रास्ते से शुरू करें और फिर अपने इंस्टॉलेशन / वर्कस्टेशन को नुकसान पहुंचाएं, निराश हो जाएं और पूरी तरह से काम करने में असमर्थ हों प्रणाली।
सामान्य तौर पर, रोकने के लिए इलाज की तुलना में बहुत बेहतर है।