ओवररेटेड रूट के रूप में लॉगिंग के बारे में चिंता?

16

अपनी व्यक्तिगत पुस्तिकाओं पर व्यक्तिगत लिनक्स के लिए, मैंने आमतौर पर अपने पर्यावरण को एक्स या लोअर रनवे के तहत भी रूट के रूप में ऑटोलॉगिन पर सेट किया है । मैंने पाया मेरी कार्यप्रवाह बहुत ही सुखद और तेजी से है, टाइप करने के लिए किसी भी बोझिल आवश्यकता के बिना suया sudoया कीरिंग या प्राधिकार या कुछ और के द्वारा कहा जा रहा है।

अभी तक मुझे इससे कोई समस्या नहीं है, इसलिए ज्यादातर लोग इसके बारे में गुस्सा क्यों कर रहे हैं? क्या चिंता खत्म हो गई है? बेशक यह मानता है कि उपयोगकर्ता जानता है कि वे क्या कर रहे हैं और वास्तव में सिस्टम की विश्वसनीयता और सुरक्षा मुद्दों की परवाह नहीं करते हैं।

security  users  login  administration  root 
Uray
स्रोत
4
क्यों जड़ के रूप में चला? आप वास्तव में सिर्फ टाइप करने के लिए नहीं चाहते हैं तो sudoमैं संपादन सुझाव देंगे /etc/sudoersऔर nopasswd के रूप में कुछ आदेश जोड़ने (उनमें से सभी नहीं) फिर अपने में ~/.bashrc(या अन्य नाम फ़ाइल) जोड़ने aliasके लिए तों sudo command। यह अभी भी एक अच्छा विचार नहीं है, लेकिन यह आपके द्वारा किए जाने वाले नुकसान को सीमित कर देगा, या आपके लिए कर सकता है।
xenoterracide
11
इस धागे में शत्रुता का स्तर थोड़ा चिंताजनक है; यह एक वैध प्रश्न है। हाँ, रूट के रूप में हर समय चल रहा है एक बुरा विचार है, लेकिन इसके बारे में बाहर फ्लिप करने की आवश्यकता नहीं है
माइकल Mrozek
5
@ मर्जेक: सहमत। अब, मैं ओपी रूट पासवर्ड को कभी भी मेरे द्वारा नियंत्रित किए गए किसी भी सिस्टम को नहीं दूँगा, लेकिन गलत चीज़ टाइप करके किसी के सिस्टम को ट्रैश करना बहुत शैक्षिक हो सकता है। शायद ओपी ने लिखा "अब तक मुझे इससे कोई समस्या नहीं हुई" कुछ उपयोगी सीखेंगे, जैसे कि पहली बार चीजें हो सकती हैं।
डेविड थॉर्नले
2
मुझे लगता है कि यह ऊपर क्यों नहीं है: unix.stackexchange.com/questions/502/…
एलेक्स बी
3
एक कार सादृश्य में लाने के लिए: यह एक सीट बेल्ट के बिना ड्राइविंग की तरह है। संभव है, लेकिन संभवतः घातक है।
पलटना

जवाबों:

33

समान कारणों से प्रत्येक डेमॉन को न्यूनतम अधिकार क्यों होना चाहिए। अपाचे जड़ के रूप में चला सकते हैं। यह एक कार्य करने के लिए डिज़ाइन किया गया है और निश्चित रूप से कुछ भी बुरा नहीं हो सकता है?

लेकिन मान लें कि अपाचे बग-रहित नहीं है। कीड़े समय-समय पर खोजे जाते हैं। कभी-कभी यह मनमाने ढंग से कोड निष्पादन या समान भी हो सकता है। अब अपाचे रूट के रूप में चल रहा है, यह कुछ भी एक्सेस कर सकता है - उदाहरण के लिए यह रूटकिट को कर्नेल में लोड कर सकता है और खुद को छिपा सकता है।

दूसरी ओर, उपयोगकर्ता-स्तरीय रूटकिट लिखना बहुत कठिन है। इसके psअंदर विभिन्न कार्यक्रमों (जैसे ) को ओवरराइड करना पड़ता है /home, जो उपयोग किए गए अतिरिक्त डिस्क स्थान के कारण संदेह को बढ़ा सकता है। यह सटीक कॉन्फ़िगरेशन को नहीं जान सकता है और उदाहरण के लिए शामिल करना भूल जाता है gnome-system-monitorइसलिए खुद को उजागर करना। इसे कवर करना होगा bash, tcshऔर आपके द्वारा उपयोग किए जाने वाले किसी भी शेल (स्वयं को शुरू करने के लिए) होगा। कॉलबैक के एक समूह को 'बस' के बजाय इसे अलग-अलग कॉन्फ़िगरेशन के साथ काम करना होगा।

इस बात पर विचार करें कि बहुत समय पहले नहीं हुआ था कि मनमाने ढंग से कोड निष्पादन हुआ ... एडोब रीडर।

अन्य कारण उपयोगकर्ता की गलतियाँ हैं। एक कमांड द्वारा पूरी डिस्क को मिटाने से पहले चेतावनी दी जानी बेहतर है।

तीसरा कारण अलग-अलग गोले हैं। /मामले में रूट शेल स्थापित किया जाना चाहिए कि सिस्टम का बचाव किया जाना चाहिए। उपयोगकर्ता के गोले स्थापित किए जा सकते हैं /usr(उदाहरण के लिए उपयोगकर्ता zsh का उपयोग कर सकते हैं)।

इसका कारण यह है कि विभिन्न कार्यक्रम मूल के रूप में काम नहीं करते हैं। वे विशेष रूप से जानते हैं कि वे करने वाले नहीं हैं, इसलिए आपको सिस्टम को पैच करना होगा।

पांचवां कारण यह है कि /rootअलग विभाजन पर नहीं होना चाहिए जबकि /home(और होना चाहिए)। /homeअलग होने से विभिन्न कारणों से मदद मिलती है।

यह भी : आप सामान्य उपयोगकर्ता के रूप में उपयोग क्यों नहीं करते हैं। आपको अधिक बार रूट अधिकारों की आवश्यकता नहीं है। यह सुरक्षा के लिए बहुत कम लागत है।

मैकीज पीचोटका
स्रोत
3
तथ्य यह है कि, जड़ के रूप ddमें, सिस्टम में किसी भी ब्लॉक डिवाइस के लिए कुछ भी कर सकता है, इस तथ्य के साथ संयुक्त है कि रूट के लिए बहुत अधिक ध्यान, जानबूझकर और अनजाने में कर्नेल और सिस्टम सामान के साथ / dev और / proc होना चाहिए। जरूरत पड़ने पर किसी को जड़ के रूप में नहीं चलाने के लिए मनाने के लिए पर्याप्त है।
लॉरेंस
29

आप नग्न अवस्था में भी मोटर साइकिल की सवारी कर सकते हैं और कुछ भी नहीं हो सकता है। लेकिन मुझे यकीन है कि यदि आप बाइक को दुर्घटनाग्रस्त करते हैं तो आप बेहतर महसूस करेंगे ...

nzwulfin
स्रोत
7
शायद, लेकिन इस एहसास के बारे में सोचें कि आपको बाकी समय मिलेगा!
सेरेक्स
12

सुरक्षा के स्पष्ट बिंदु के अलावा, यह स्पष्ट है कि आपने शेल या लैपस में एक कमांड को गलत तरीके से डालकर अपना सिस्टम ठीक नहीं किया है। यदि ऐसा होता है, तो आप समझ जाएंगे कि लोग इसके बारे में क्यों सोचते हैं। और फिर आप डरावनी आवाज़ में रोएंगे, और यह भी महसूस करेंगे कि यह एक अत्यधिक शैक्षिक अनुभव था, लेकिन आप अपने सिस्टम को वैसे भी वापस नहीं पा रहे हैं।

एक विचार: यदि आपसे आपके सिस्टम के सामान्य उपयोग के दौरान रूट पासवर्ड मांगा जा रहा है (यानी पैकेज या कुछ अन्य सिस्टम प्रशासन कार्य स्थापित नहीं कर रहे हैं ), तो आप इसे गलत कर रहे हैं

axel_c
स्रोत
कुछ पुराने अनुभवों की याद दिलाने के लिए +1। या कि उन्हें वापस लाने के लिए -1 होना चाहिए?
डेविड थॉर्नले
5
मुझे समझ में नहीं आया है कि लोग क्यों मानते हैं कि सूडो का उपयोग करने से आज्ञाओं को गलत होने से रोकता है। पिछले सिस्टम मैं कुछ साल पहले एक sudo rm -rf / dir / job था।
सेरेक्स
4

नहीं, यह ओवररेटेड नहीं है। व्यवहार में यह सबसे अधिक सराहनीय है। :-)

काम पर मेरी छोटी टीम, उदाहरण के लिए, विकास कार्यों के लिए एक आरएचईएल मशीन साझा कर रही है: सामान, परीक्षण आदि का निर्माण करना। हर कोई व्यक्तिगत उपयोगकर्ता खातों का उपयोग करता है, लेकिन हम रूट पासवर्ड भी साझा करते हैं क्योंकि लोगों को त्वरित sysadmin कार्यों के लिए समय-समय पर इसकी आवश्यकता होती है। इससे हमें अपने छोटे जीवन काल में कुछ समय के लिए ओएस को प्रबंधित करने में भी मदद मिली है। किसी व्यक्ति ने libc के एक निश्चित संस्करण का निर्माण करते हुए सिस्टम को एक मूर्खतापूर्ण तरीके से हटा दियाrmमंगलाचरण। एक अन्य उत्सुक घटना में, विभाजन तालिका गायब थी। (ठीक है, यह विशेषाधिकारों से कोई लेना-देना नहीं था।) शेष टीम को तब तक अवरुद्ध किया जाता है जब तक कि टूटना तय नहीं हो जाता। एक समाधान यह है कि किसी के पास स्वयंसेवकों के कार्यों को करने के लिए स्वयंसेवक हो। इस बिंदु पर हमने बहुत अधिक परवाह नहीं की है, सिवाय इसके कि लोगों को अपने सबक सीखने की अनुमति दी जाए: हम सभी को अपने पीछे के छोर पर कुछ दांतों के निशान की आवश्यकता होती है, और ये अपेक्षाकृत सस्ते दांतों के निशान हैं।

वास्तव में जिज्ञासु कम से कम विशेषाधिकार के सिद्धांत का पालन ​​करना चाहते हैं , और केन थॉम्पसन के पेपर, "रिफ्लेक्शंस ऑन ट्रस्ट ट्रस्ट" पढ़ सकते हैं। ("नैतिक स्पष्ट है। आप कोड पर भरोसा नहीं कर सकते हैं कि आपने पूरी तरह से खुद को नहीं बनाया है।")

Sajith
स्रोत
3

एक और जवाब के लिए तुम्हारा एक टिप्पणी पर उठा

लेकिन लिनक्स स्वतंत्रता के बारे में है, जिसमें आपके स्वयं के डेटा, गोपनीयता और सुरक्षा को नष्ट करने की स्वतंत्रता भी शामिल है

यहां तक ​​कि लोगों को मजबूर करने के बावजूद sudo, लिनक्स यह स्वतंत्रता प्रदान करता है। संपूर्ण सुरक्षा तर्क जिसे आप दूर करना चाहते हैं, वह यह है कि आप जिन चीजों से हैं, उन्हें बचाने के लिए आप नहीं हैं (पढ़ें: दुर्भावनापूर्ण प्रोग्राम या दुर्भावनापूर्ण लोगों द्वारा नियंत्रित कार्यक्रम)।

इसे सीटबेल्ट की तरह समझें। एक दूसरे का उपयोग करने के लिए ले जाता है। अपने जीवन को अन्य बेवकूफों (वहाँ और साथ ही) से बचा सकते हैं।

यदि आप अपना पासवर्ड हर समय टाइप नहीं करना चाहते हैं, sudoedit /etc/sudoersलेकिन यदि आप रूट के रूप में चलते रहते हैं, तो एक दिन आप शायद कुछ ऐसा चलाने जा रहे हैं जो आपके सिस्टम और आपके सभी डेटा को नुक्सान पहुंचाएगा।

यदि आप यह जानकर खुश हैं कि फ्लैश जैसा भद्दा कुछ भी आपके कंप्यूटर को सुधार सकता है, तो यहां कोई भी आपकी परवाह नहीं करता है। रूट के रूप में चलाएं।

ओली
स्रोत
2
सिर्फ दुर्भावनापूर्ण प्रोग्राम ही नहीं, बग्गी वाले भी (जैसे कि कर्नेल बिल्ड सिस्टम में एक बग था जो आपके सिस्टम को बंद कर देता है अगर आपने अपनी कर्नेल को रूट के रूप में संकलित किया है)
Spudd86
2

जब आप इस पर हों तो लानत-रहित लिनक्स को अपनी मुख्य प्रणाली के रूप में क्यों न चलाएं । यदि आप सिस्टम सुरक्षा को अनदेखा करने जा रहे हैं तो आप इसे अनदेखा कर सकते हैं ...

xenoterracide
स्रोत
मुख्य उपयोगकर्ता के रूप में रूट के साथ तकनीकी रूप से कंप्यूटर को सुरक्षित रूप से सुरक्षित किया जा सकता है ...
Maciej Piechotka
3
@ मैकीज एकमात्र सुरक्षित कंप्यूटर है जो अनप्लग है, एक झील के तल पर कंक्रीट में घिरा हुआ है।
xenoterracide 15
जैसा कि मितनिक ने बताया कि कोई व्यक्ति इसे झील के बाहर प्राप्त कर सकता है, कंक्रीट को तोड़ सकता है और (ओह। वह केवल यह कह सकता है कि कोई व्यक्ति सोशियोटेकनीक का उपयोग करके अनप्लग्ड कंप्यूटर में प्लग कर सकता है लेकिन सिद्धांत समान है)। मैंने 'तकनीकी रूप से' और 'सैद्धांतिक रूप से' का उपयोग करने के लिए सावधान रहने की कोशिश की - खराब लॉक भी बेहतर है फिर कोई लॉक नहीं। उदाहरण के लिए, मैं उस पर SELinux की कमी के बावजूद अपने वर्तमान सिस्टम को पर्याप्त सुरक्षित मानता हूं;)
Maciej Piechotka
@Marciej अच्छी तरह से सुरक्षा लागत / जोखिम विश्लेषण के बारे में है। आप कभी भी किसी चीज के चारों ओर अधिक सुरक्षा नहीं डालते हैं, जिसके लिए कुछ लायक है।
xenoterracide
1
@Marciej और अगर यह कुछ भी नहीं लायक है तो उस पर कोई सुरक्षा लगाने का कोई मतलब नहीं है, उस बिंदु पर कोई भेद्यता नहीं है।
xenoterracide
1

आप एक ओएस के बारे में बात कर रहे हैं जो अनगिनत लोगों का सहयोगी प्रयास है। यदि आप कुछ भी नहीं बल्कि स्थिर सॉफ्टवेयर चलाते हैं तो आप एक समय के लिए सुरक्षित हो सकते हैं।

जैसा कि पहले उल्लेख किया गया है, आपको आश्चर्य होगा कि कोई छोटी सी चीज आपके पूरे एचडी को कैसे मिटा सकती है। अपने पहले वर्ष में, मैंने रूट अलॉट में चलने की कोशिश की क्योंकि, ठीक है, फेडोरा-कोर 3 के दिनों में, उपयोगकर्ता से आपके सिस्टम को प्रशासित करने के लिए कई फैंसी तरीके नहीं थे।

उस समय, मैंने एक छोटा सा एक्सगॉर एडिट किया था, बिना बैक अप के, क्योंकि मुझे नहीं लगता था कि इससे कोई नुकसान होगा। डेस्कटॉप चला गया। फिर मैंने इसे मैन्युअल रूप से ठीक करने की कोशिश की, लेकिन यह पता नहीं लगा सका कि मैंने क्या किया है, बिल्कुल। बाद में, मैंने सोचा कि शायद मैं अपने ड्राइवरों और डेस्कटॉप को पुनर्स्थापित कर सकता हूं, लेकिन अनजाने में मेरे ईथरनेट को डिस्कनेक्ट कर दिया गया, क्योंकि यह एनवीडिया भी था।

पहली बार आर्क चलाने के दौरान, मैंने उपयोगकर्ता बनाने के लिए चेतावनी को नजरअंदाज कर दिया और कुछ समय के लिए व्यवस्थापक के रूप में चला। मैंने AUR से एक पैकेज स्थापित किया जिसकी मुझे आवश्यकता थी और मैंने रिबूट होने के बाद, मेरी पूरी स्थापना का भंडाफोड़ कर दिया।

चूंकि मैं जड़ में था, इसलिए इन समस्याओं को ठीक करना, उनकी जरूरत से कहीं ज्यादा खराब हो गया।

आप निष्कर्ष निकाल सकते हैं कि मैं सिर्फ अक्षम था। लेकिन जैसा कि दूसरों ने उल्लेख किया है ... मन की शांति के लिए भुगतान करने के लिए "सुडो" टाइप करना एक छोटी सी कीमत है।

संपादित करें: ओह ... और वाइन जैसे कुछ कार्यक्रम स्पष्ट रूप से मूल वातावरण में नहीं चलने वाले हैं। http://wiki.winehq.org/FAQ#head-96bebfa287b4288974de0df23351f278b0d41014

गैरेट
स्रोत
1

सुरक्षा कारणों - लिनक्स को लक्षित करने वाली एक डेमॉन या स्क्रिप्ट भेद्यता आपके सिस्टम पर Sysadmin शक्ति होगी।

एक साधारण उपयोगकर्ता के रूप में दौड़ना और sudo का उपयोग करना सुरक्षा की दृष्टि से बहुत अलग है। मेरा फ़ायरफ़ॉक्स मेरे उपयोगकर्ता के रूप में चल रहा है, इसलिए किसी भी फ़ायरफ़ॉक्स भेद्यता केवल मेरे खाते को मारा जाएगा। और कुछ नहीं।

lucabotti
स्रोत
0

मैं सुरक्षा और कुछ शक्तियों पर नियंत्रण रखने की चिंता के लिए मैकीज से सहमत हूं। इसके अलावा, जैसा कि आप अपने सिस्टम के मालिक हैं यदि आप चाहें तो इस कार्यक्षमता को अक्षम कर सकते हैं;) यह आपकी पसंद है।

अभिषेक
स्रोत
-4

मैं एक सामान्य सत्र के लिए रूट के रूप में लॉगिंग करने में कोई बड़ी समस्या नहीं देख सकता, जब तक कि आप कुछ भी बेवकूफ नहीं करते हैं।

मैं इसे व्यक्तिगत रूप से नहीं करता, क्योंकि, कभी-कभी मैं मूर्खतापूर्ण कुछ करता हूं। मुझे लगता है कि कुछ भी बेवकूफ मेरे द्वारा की गई संभावित एक बड़ी समस्या रही है देखा कभी नहीं किया है, लेकिन मुझे लगता है कि मैं चाहता हूँ नहीं अभिमानी पर्याप्त हूँ कभी नहीं कुछ भी वास्तव में बेवकूफ।

नील
स्रोत
8
एक वेब ब्राउज़र का उपयोग करता है कुछ बेवकूफ बनाने के रूप में?
xenoterracide
4
@xenoterracide: यदि आप रूट के रूप में लॉग इन हैं, तो मैं कुछ बेवकूफ बनाना चाहता हूं, मैं कहूंगा।
डेविड थॉर्नले
2
@ मुझे पता है कि;) यह
थोथा
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.