שאלה מה רע בלהיות שורש?


יש לי הרגשה שזו שאלה מטופשת, אבל זה משהו שתהיתי מזה זמן מה.

יש לי VPS וזה מיזם לינוקס הגדול הראשון שלי. אני האדם היחיד שיש לו גישה אליו. השאלה שלי היא, מה לא בסדר רק עם כניסה כמו שורש לעומת ביצוע חשבון ולתת להם גישה sudo? אם sudoer יכול לעשות הכל יכול שורש, אז מה ההבדל? אם האקר יכול לפצח את הסיסמה שלי לחשבון הרגיל שלי, לא root, אז הוא יכול גם לבצע פקודות sudo, אז איך האקר לפצח את חשבון השורש שלי משנה יותר או פחות?


81
2017-08-24 14:23




הייתי גם אומר שאם אתה לא מכיר את "יוניקס דרך", זו לא שאלה טיפשית. אתה צריך לקבל בונוס לחשוב לחשוב על השאלה מלכתחילה כמו מנהל לינוקס חדש. - Bart Silverstrim
ואני רוצה להעיר על חלק מהתשובות. במיוחד אלה שאומרים "אתה יכול לדפוק את החומר להיות שורש". אני לא חושב שזו הנקודה ... "rm -rf /" עושה את אותו הדבר כמו "sudo rm -rf /". הנקודה היא כי דברים כמו "sudo rm" לא עובד, עדיין "sudo startMyApp בנמל נמוך" עובד. - Zlatko
מה לא בסדר בלי להיות? - ostendali


תשובות:


אם אתה מחובר כמו שורש, אתה יכול בקלות למחוק ספריות או לעשות משהו כי בדיעבד הוא מטומטם באמת על המערכת עם היפוך של אצבע, בעוד כמשתמש אתה בדרך כלל צריך לשים כמה מחזורי מנטלית נוספת לתוך מה שאתה "להקליד מחדש לפני לעשות משהו מסוכן.

גם כל תוכנית אתה מפעיל כמו שורש כמו הרשאות השורש, כלומר אם מישהו או משהו גורם לך לרוץ / לקמפל / לגלוש באתר זה מסוכן ורוצה לפגוע במערכת שלך, כגון סוס טרויאני או תוכנות זדוניות אחרות, יש לו גישה מלאה שלך מערכת, והוא יכול לעשות מה שהוא רוצה, כולל גישה ליציאות TCP מתחת 1024 (כך שזה יכול להפוך את המערכת לתוך remailer ללא ידיעתך, למשל).

בעיקרון אתה סוג של צרות המבקשים להיכנס כמו עצמך עשוי למנוע. הכרתי אנשים רבים שבסופו של דבר שמחו שיש להם רשת ביטחון ברגע של חוסר זהירות.

עריכה: יש גם את הבעיה של שורש להיות הידוע ביותר, ולכן מטרה קלה, עבור סקריפטים פריצות. מערכות להשבית את החשבון במקום לכפות משתמשים להשתמש sudo כלומר כל ניסיון לפצח שורש מ ssh או מקומי לנצל לחשבון הם דופקים את הראש שלהם על הקיר. הם יצטרכו לנחש / לפצח סיסמה ו שם משתמש. זה אבטחה דרך ערפול במידה מסוימת, אבל קשה לטעון כי זה לא לסכל את רוב התסריט התקפות הילדים.


71
2017-08-24 14:30



+1 - באמצעות "sudo" עושה ביצוע תוכניות כמו שורש מעשה גלוי. זה לא עניין של "עצירת האקרים", זה עניין של מקבל לך את הרגל של עובד כמשתמש חסוי ולהפוך את הפנייה של הרשאות שורש מעשה מכוון, גלוי. - Evan Anderson
אני מתחיל לתהות אם אוואן הוא באמת AI. - Bart Silverstrim
סודו גם מוסיף שביל ביקורת. כמו מי, מה, ומתי נרשם כאשר לרוץ כמו sudo. איזה קובץ יומן יכול להשתנות עם distro אבל RedHat distros נוטים להשתמש / var / log / מאובטח ו Ubuntu משתמש /var/log/auth.log... אני לא בטוח אם זה נכון עבור כל distian מבוסס דביאן. - 3dinfluence
+1 - זה לא רק על זכויות ליצור דברים או לעשות דברים, זה גם על זכויות להרוס. כניסה כמו שורש (או שווה ערך על כל מערכת הפעלה אחרת לצורך העניין) הוא כמו להסתובב נושאת אקדח עם בטיחות. אתה לא יכול בכוונה לגעת ההדק, אבל היית בוטח בעצמך לעשות את זה בכל זאת? - Maximus Minimus
אני מכניס את כובע הבוקרים שלו, מעיף את הבטיחות על האקדח, פותח בירה, ממלמל בקול נמוך, רוטן משהו על פרחי אמנון, ואז מתחבר לשורש. - Kyle Brandt♦


אם לא תרשה אידיוט להיכנס לשרת שלך כמו שורש, אז לא תמיד לרוץ כמו שורש עצמך. אלא אם כן אתה יכול לשים לב על הלב אומר לך לעולם לא היה אידיוט. לא ממש? אתה בטוח? :)

תועלת: מפחית את האפשרות שאתה שורש ו אידיוט בעת ובעונה אחת.


29
2017-08-24 14:41



+1 - "תועלת: מקטין את האפשרות שאתה שורש אידיוט בו זמנית." אני ממש אוהב את זה. - Evan Anderson
+1 עבור הפילוסופיה של סקוט אדמס שכל אחד הוא אידיוט. :) כן, זה אומר שאתה ואני גם. - Ernie
בהחלט - זו אחת השאלות המפתח שלי בראיונות עבודה - מתי אתה האחרון בורג? לכל אחד יש, אתה רק צריך לקרוא את החוטים כאן על "הכי משעשע fisar sysadmin" או מה שלא יהיה. אם מישהו לא מודה שעשה טעות מטומטמת לפחות פעם אחת בחייהם, יש כנראה כמה סיבות שאתה לא רוצה לעבוד איתם. - Tom Newton


הסיבה העיקרית היא טעויות. אם אתה תמיד שורש, הקלדת פשוט יכול באמת לפשל את המערכת. אם אתה רק להיכנס כמו שורש או להשתמש sudo לעשות דברים שדורשים זה אתה למזער את הסיכון של ביצוע טעות מסוכנת.


9
2017-08-24 14:31





כאשר אתה שורש אתה מקבל עצלן על הרשאות, שכן יש לך גישה לכל דבר כל הזמן, לא אכפת לך כאשר הדברים הם 777 או 644 או מה שלא יהיה. אז אם אי פעם לתת לכל אחד אחר על המערכת שלך כי אתה לא רוצה לקבל גישה לכל דבר, זה פתאום הופך להיות קשה באמת כדי להפוך את המכונה בטוח לשימוש על ידי אנשים אחרים.


9
2017-08-24 14:38



זה נקרא "ריקבון שורש". - kmarsh
אני אוהב את המונח הזה, "ריקבון שורש". ואכן, הפעלת שורש כל הזמן יכול להפוך * מכונות nix לתוך freaky Windows 95 כמו מכונות ללא שום מראית עין של אבטחה מרובת משתמשים. (אני זוכר את מכונת SCO, לפני שנים, שבהן כל משתמש באפליקציה החשבונאית המשותפת היה פועל כשורש משום ש"זה גרם לבעיות ההרשאה להיעלם ".> נאנח <) - Evan Anderson
אני זוכר שקיבלתי הסבר כזה - היה להם כלי דואר אלקטרוני שפועל כשורש, יחד עם סנדמאיל. התשובה שלי היתה "בעיות הרשאה הלך גם עבור האקרים." - duffbeer703


ישנם מספר תחומים מרכזיים מאחורי לא להיכנס כמו שורש: ) 1 סיסמת הבסיס אינה נשלחת כלל ברשת בזמן הכניסה 2) אין דרך לדעת מי עשה משהו אם משתמשים מרובים להתחבר כמו אותו חשבון (שורש או אחר). 3) בטעות עושה משהו "טיפש"


7
2017-08-24 14:31





זה יותר להגנה מפני עצמך, כך שיש לך הזדמנות שנייה לסקור את פקודות הזכות גבוה שאתה מנסה לרוץ, מקביל UAC ב- Windows. זה די קל בטעות לעשות משהו כמו rm -rf / בעת כניסה כ שורש.

בנוסף, יש לך עקיבות. זו לא בעיה גדולה במצב שלך שבו אתה היחיד (תיאורטית) הנפקת פקודות אבל היכולת להיכנס ולעקוב אחורה לאדם הוא מרכיב מפתח צורות רבות של ניתוח.


3
2017-08-24 14:30



עקיבות היא קריטית במערכות שבהן יותר מאדם אחד עובד כמעבד. זה לא רק רצוי זה מנדט על ידי משטרים רגולטוריים. - APC
עשיתי את זה ביום שישי. במקום למחוק "/ dump / תיקייה /" מחקתי את התיקייה /. אחד מלקחיים מסריחים הזכיר לי למה אנחנו לא נכנסים לשורש. - oneodd1


ההבדל הוא בעיקר:
כי אתה לא יכול לעשות שום דבר רע במקרה.
כי "רשע" קוד לא יכול להשתלט על המערכת.
שים לב: קוד הרשע אינו בהכרח אומר כי כל אחד יש כבר גישה למערכת.


2
2017-08-24 14:30



שמתי לב כי בימים אלה, קוד הרשע בדרך כלל פירושו בוטים זבל, אשר יכול לפעול כמו כל משתמש. - Ernie
אם אתה חושב על וירוס (מנסה להרוס משהו) או rootkit, אז זה הרבה יותר מסובך עבור תוכנות זדוניות אם אתה לא שורש. - StampedeXV


אתה תמיד צריך להשתמש בחשבונות עם רמת הנמוכה ביותר של הרשאה אפשרית. ריצה כמו שורש כל הזמן מעודדת הרגלים רעים עצלות שיהפכו את החיים לא נעים כאשר אתה עובד עם מספר משתמשים או לחשוף משהו לרשת ציבורית / חצי ציבורית.

כמו כן יש לזכור כי סיסמת פיצוח הוא רק אחד פשרה תרחיש - והוא לא הנפוץ ביותר תרחיש גם. סביר להניח שתפלו קורבן לפגיעות בדפדפן, או פגיעות בדמונים מסוימים הפועלים במערכת שלך.

חשוב על קוד שבו אתה משתמש ללא מחשבה. לדוגמה, לינוקס לינוקס של Adobe Flash, המהווה ערימה מהבילה של חרא כי יש רק שמיש בעבר הקרוב יחסית. עד כמה אתה בטוח שקוד זה? האם אתה רוצה את זה כדי להיות מסוגל להפעיל שליטה מלאה של המערכת שלך?


2
2017-08-24 14:37





העצה שלי היא לנסות להשתמש שורש כל הזמן במשך זמן מה; אתה בקרוב לגלות למה אתה לא צריך :)


2
2017-08-24 15:36





זה יכול למנוע נגד התקפות SSH כוח הזרוע. לכל יוניקס יש חשבון 'שורש'. עם זאת, לא ברור מבחוץ מה שם המשתמש שלך 'sudo' יהיה. לפיכך, אם מישהו רוצה לנסות כוח פראי את דרכם פנימה, הם יודעים שיש חשבון שורש ומן הסתם לנסות את זה. עם זאת, הם לא יודעים איפה להתחיל אם אתה משתמש sudo.


2
2017-08-24 15:40





http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html 


1
2017-08-24 14:36