सवाल हमेशा रूट होने के साथ क्या गलत है?


मुझे लगता है कि यह एक बेवकूफ सवाल है, लेकिन यह कुछ ऐसा है जो मैंने थोड़ी देर के लिए सोचा था।

मेरे पास एक वीपीएस है और यह मेरा पहला बड़ा लिनक्स उद्यम है। मैं अकेला व्यक्ति हूं जिसकी पहुंच है। मेरा सवाल यह है कि, खाता बनाने और उन्हें सूडो पहुंच देने के विरोध में रूट के रूप में लॉग इन करने में क्या गलत है? यदि एक सूडर सबकुछ रूट कर सकता है, तो क्या अंतर है? यदि कोई हैकर मेरे मानक, गैर-रूट खाते में अपना पासवर्ड क्रैक कर सकता है, तो वह सुडो कमांड निष्पादित भी कर सकता है, तो मेरे रूट खाते को क्रैक करने वाला हैकर कैसे कम या ज्यादा मायने रखता है?


81
2017-08-24 14:23


मूल


मैं यह भी टिप्पणी करता हूं कि यदि आप "यूनिक्स वे" से अपरिचित हैं, तो यह एक बेवकूफ सवाल नहीं है। नए लिनक्स व्यवस्थापक के रूप में पहली बार सवाल पूछने के लिए आपको बोनस प्राप्त करना चाहिए। - Bart Silverstrim
और मैं कुछ उत्तरों पर टिप्पणी करना चाहता हूं। विशेष रूप से वे लोग जो कहते हैं "आप चीजों को रूट कर सकते हैं"। मुझे नहीं लगता कि यह मुद्दा है ... "आरएम-आरएफ /" "सुडो आरएम-आरएफ /" जैसा ही है। मुद्दा यह है कि "सुडो आरएम" जैसी चीजें काम नहीं करती हैं, फिर भी "कम पोर्ट पर काम शुरू करें" काम करता है। - Zlatko
कभी नहीं होने के साथ क्या गलत है? - ostendali


जवाब:


यदि आप रूट के रूप में लॉग इन हैं, तो आप आसानी से निर्देशिकाओं को मिटा सकते हैं या कुछ ऐसा कर सकते हैं जो रीट्रोस्पेक्ट में वास्तव में एक उंगली के फ्लिप के साथ सिस्टम पर गूंगा है, जबकि एक उपयोगकर्ता के रूप में आपको सामान्य रूप से कुछ अतिरिक्त मानसिक चक्र रखना पड़ता है खतरनाक कुछ करने से पहले टाइप कर रहे हैं।

रूट रूट विशेषाधिकार के रूप में रूट के रूप में भी कोई प्रोग्राम चलाया जाता है, जिसका अर्थ है कि अगर कोई आपको या कुछ ऐसी वेबसाइट को चलाने / संकलित / ब्राउज़ करने के लिए प्रेरित करता है जो खतरनाक है और आपके सिस्टम को नुकसान पहुंचाता है, जैसे ट्रोजन या अन्य मैलवेयर, तो इसकी पूरी पहुंच है सिस्टम और जो कुछ भी चाहता है वह कर सकता है, जिसमें 1024 से नीचे टीसीपी पोर्ट तक पहुंच शामिल है (इसलिए यह आपके सिस्टम को आपके ज्ञान के बिना रीमेइलर में बदल सकता है, उदाहरण के लिए)।

असल में आप ऐसी परेशानी के लिए पूछ रहे हैं जो आपके अंदर लॉग इन कर सकता है। मैं कई लोगों को जानता हूं जो खुश होने के बाद समाप्त हो गए थे, उनके पास लापरवाही के एक पल में सुरक्षा नेट था।

संपादित करें: स्क्रिप्ट और हैक्स के लिए रूट का मुद्दा सबसे प्रसिद्ध है, इस प्रकार एक आसान लक्ष्य है। सिस्टम जो खाते को अक्षम करते हैं और इसके बजाय उपयोगकर्ताओं को सूडो का उपयोग करने के लिए मजबूर करते हैं, इसका मतलब है कि एसएसएच से रूट को तोड़ने का कोई प्रयास या खाते में स्थानीय शोषण दीवार के खिलाफ अपने सिर को टक्कर दे रहा है। उन्हें पासवर्ड अनुमान लगाना / क्रैक करना होगा तथा उपयोगकर्ता नाम। यह अस्पष्टता के माध्यम से एक डिग्री तक सुरक्षा है लेकिन यह तर्क देना मुश्किल है कि यह अधिकांश स्क्रिप्ट किड्डी हमलों को विफल नहीं करता है।


71
2017-08-24 14:30



+1 - "सुडो" का उपयोग करके निष्पादन कार्यक्रमों को एक अत्यधिक कार्य के रूप में निष्पादित करता है। यह "हैकर्स को रोकने" का मामला नहीं है, यह आपको एक गैर-विशेषाधिकार प्राप्त उपयोगकर्ता के रूप में काम करने की आदत और रूट विशेषाधिकारों का एक उद्देश्य, अत्यधिक कार्यवाही करने की आदत है। - Evan Anderson
मुझे आश्चर्य है कि इवान वास्तव में एक एआई है। - Bart Silverstrim
सुडो भी एक लेखा परीक्षा निशान जोड़ता है। सुडो के रूप में चलाने पर कौन, क्या, और कब लॉग होता है। कौन सी लॉग फ़ाइल डिस्ट्रो के साथ भिन्न हो सकती है लेकिन रेडहाट डिस्ट्रोज़ / var / log / safe का उपयोग करते हैं और उबंटू /var/log/auth.log.. का उपयोग करते हैं। मुझे यकीन नहीं है कि यह सभी डेबियन आधारित डिस्ट्रोज़ के लिए सही है या नहीं। - 3dinfluence
+1 - यह सामान बनाने या सामान करने के अधिकारों के बारे में नहीं है, यह नष्ट करने के अधिकारों के बारे में भी है। रूट के रूप में लॉग ऑन करना (या उस मामले के लिए किसी अन्य ओएस पर समकक्ष) सुरक्षा बंद के साथ बंदूक ले जाने के आसपास घूमना है। आप कभी भी उस ट्रिगर को जानबूझकर स्पर्श नहीं कर सकते हैं, लेकिन क्या आप खुद को ऐसा करने के लिए भरोसा करेंगे? - Maximus Minimus
mh: / मैं अपनी काउबॉय टोपी रखता है, अपने पिस्तौल पर सुरक्षा से निकलता है, एक बियर खोलता है, पैंटियों के बारे में कुछ कम गड़बड़ कर देता है, और फिर रूट के रूप में लॉग इन करता है। - Kyle Brandt♦


यदि आप किसी मूर्ख को रूट के रूप में अपने सर्वर में लॉग इन करने की अनुमति नहीं देंगे, तो हमेशा रूट के रूप में हमेशा नहीं चलें। जब तक आप दिल पर हाथ नहीं डाल सकते, तब तक आप कहते हैं कभी नहीँ बेवकूफ हो गया सच में नहीं? पक्की बात? :)

लाभ: आपको रूट होने की संभावना कम कर देता है तथा एक बेवकूफ एक साथ।


29
2017-08-24 14:41



+1 - "लाभ: आपको रूट होने और एक बेवकूफ होने की संभावना कम कर देता है।" मैं बिल्कुल इसे प्यार करता हूँ। - Evan Anderson
स्कॉट एडम्स के दर्शन के लिए +1 कि हर कोई मूर्ख है। :) हाँ, इसका मतलब है आप और मैं भी। - Ernie
बिल्कुल - नौकरी साक्षात्कार में यह मेरे मुख्य प्रश्नों में से एक है - आपने आखिरी बार कब खींचा? हर किसी के पास, आपको केवल "सबसे मनोरंजक sysadmin fubar" या जो कुछ भी के बारे में धागे को पढ़ने की जरूरत है। अगर कोई व्यक्ति अपने जीवन में कम से कम एक बार एक वास्तविक गूंगा त्रुटि करने के लिए स्वीकार नहीं करेगा, तो संभवतः कुछ कारण हैं जिनके साथ आप काम नहीं करना चाहते हैं। - Tom Newton


मुख्य कारण गलतियों है। यदि आप हमेशा रूट होते हैं, तो साधारण टाइपो वास्तव में सिस्टम को खराब कर सकता है। यदि आप केवल रूट के रूप में लॉग इन करते हैं या उन चीजों को करने के लिए सूडो का उपयोग करते हैं जिनकी आवश्यकता होती है तो आप खतरनाक गलती करने के जोखिम को कम करते हैं।


9
2017-08-24 14:31





जब आप रूट होते हैं तो आप अनुमतियों के बारे में आलसी हो जाते हैं, क्योंकि आपके पास हर समय सबकुछ तक पहुंच है, जब आप 777 या 644 या जो भी हो, तो आपको परवाह नहीं है। तो यदि आप कभी भी किसी और को अपने सिस्टम पर जाने देते हैं कि आप सबकुछ तक पहुंच नहीं लेना चाहते हैं, तो यह अचानक अन्य लोगों द्वारा मशीन को सुरक्षित रखने के लिए एक वास्तविक कठिनाई बन जाती है।


9
2017-08-24 14:38



इसे "जड़ सड़ांध" कहा जाता है। - kmarsh
मुझे वह शब्द पसंद है, "जड़ सड़ांध"। दरअसल, रूट के रूप में चलने से हर समय * निक्स मशीनों को अजीब विंडोज 95 जैसी मशीनों में बदल दिया जा सकता है, जिनमें बहु-उपयोगकर्ता सुरक्षा की कोई समानता नहीं होती है। (मुझे साल पहले एक एससीओ मशीन याद है, जहां साझा लेखांकन ऐप पर हर उपयोगकर्ता रूट के रूप में चल रहा था क्योंकि "यह अनुमति मुद्दों को दूर कर देता है"।> Sigh <) - Evan Anderson
मुझे याद है कि इस तरह की स्पष्टीकरण प्राप्त हो रही है - उनके पास मेलमेललिस्ट उपकरण रूट के रूप में चल रहा था, प्रेषण के साथ। मेरा जवाब था "हैकर्स के लिए भी अनुमति मुद्दे चले गए।" - duffbeer703


रूट के रूप में लॉग इन न करने के पीछे कुछ महत्वपूर्ण priciples हैं: 1) लॉग इन समय पर नेटवर्क पर रूट पासवर्ड कभी नहीं भेजा जाता है 2) यह बताने का कोई तरीका नहीं है कि एकाधिक उपयोगकर्ता एक ही खाते (रूट या अन्य) के रूप में लॉगिन करते हैं तो कुछ किसने किया। 3) आकस्मिक रूप से कुछ 'मूर्ख'


7
2017-08-24 14:31





यह आपके खिलाफ सुरक्षा के लिए और अधिक है ताकि आपके पास चलाने के लिए प्रयास किए जा रहे उच्च विशेषाधिकार आदेशों की समीक्षा करने का दूसरा मौका हो, जो विंडोज़ में यूएसी के समान है। गलती से कुछ ऐसा करना बहुत आसान है rm -rf / रूट के रूप में लॉग इन करते समय।

इसके अलावा, आपके पास पता लगाने योग्यता है। यह आपकी परिस्थिति में एक बड़ी समस्या नहीं है, जहां आप एकमात्र (सैद्धांतिक रूप से) जारी करने वाले आदेश हैं, लेकिन किसी व्यक्ति को लॉग और ट्रेस करने की क्षमता विश्लेषण के कई रूपों का एक महत्वपूर्ण घटक है।


3
2017-08-24 14:30



ट्रेसिबिलिटी उन प्रणालियों में महत्वपूर्ण है जहां एक से अधिक व्यक्ति सिसडमिन के रूप में काम करते हैं। यह केवल वांछनीय नहीं है यह नियामक शासन द्वारा अनिवार्य है। - APC
मैंने शुक्रवार को ऐसा किया। "/ डंप / फ़ोल्डर /" को हटाने के बजाय मैंने फ़ोल्डर हटा दिया /। एक बदबूदार बैकस्लैश ने मुझे याद दिलाया कि हम रूट के रूप में क्यों लॉगिन नहीं करते हैं। - oneodd1


अंतर मुख्य रूप से है:
कि आप दुर्घटना से कुछ भी बुरा नहीं कर सकते हैं।
कि "बुराई" कोड सिस्टम पर नहीं ले सकता है।
नोटिस: बुरा कोड का अर्थ यह नहीं है कि किसी ने पहले से ही सिस्टम तक पहुंच प्राप्त कर ली है।


2
2017-08-24 14:30



मैंने देखा है कि इन दिनों, बुरा कोड आमतौर पर स्पैम बॉट का मतलब है, जो किसी भी उपयोगकर्ता के रूप में चलाया जा सकता है। - Ernie
यदि आप वायरस (कुछ नष्ट करने की कोशिश कर रहे हैं) या रूटकिट के बारे में सोचते हैं, तो मैलवेयर के लिए यह बहुत जटिल है यदि आप रूट नहीं हैं। - StampedeXV


आपको हमेशा निम्नतम स्तर के विशेषाधिकार वाले खातों का उपयोग करना चाहिए। हर समय रूट के रूप में चलने से बुरी आदतों और आलस्य को प्रोत्साहित किया जाता है जो कई उपयोगकर्ताओं के साथ काम कर रहे हैं या सार्वजनिक / अर्ध-सार्वजनिक नेटवर्क में कुछ बेनकाब करते समय जीवन को अप्रिय बनाते हैं।

यह भी ध्यान रखें कि पासवर्ड क्रैकिंग केवल एक समझौता परिदृश्य है - और यह सबसे आम परिदृश्य नहीं है। आप ब्राउज़र भेद्यता, या आपके सिस्टम पर चल रहे कुछ डेमॉन में भेद्यता के शिकार होने की अधिक संभावना है।

कोड के बारे में सोचें जो आप सोचने के बिना उपयोग करते हैं। उदाहरण के लिए, एडोब फ्लैश का लिनक्स पोर्ट, जो कि पोप का एक स्टीमिंग ढेर है जो अपेक्षाकृत हाल के अतीत में केवल प्रयोग योग्य बन गया है। आपको लगता है कि कोड कितना सुरक्षित है? क्या आप चाहते हैं कि यह आपके सिस्टम पर पूर्ण नियंत्रण डालने में सक्षम हो?


2
2017-08-24 14:37