(rootではなく)管理者アカウントを日常的に使用する場合のセキュリティリスクは?


8

私の管理者アカウントを通常のアカウントと区別する唯一のことは、私の管理者アカウントがsudoグループのメンバーであり、実行できることsudoです。私の管理者アカウントを日常業務に使用することは、それほど安全ではありませんか?はいの場合、なぜですか?

もちろん、パスワードをどこに入力するか非常に注意深く、コマンドを実行する前にコマンドが何をするかを知っていると仮定します。

私が日常のアカウントに通常の非管理者アカウントを使用した場合、何かをrootとして実行する必要があるときにsu、自分の管理者アカウント(rootではなく、パスワードがなく無効になっているため)に入れ、そこでsudoコマンドを実行します管理シェル; または、ユーザーをグラフィカルに切り替えます。したがって、実行されるコマンドの量は同じです。通常のアカウントを使用すると、何かをrootとして実行するときに管理者パスワードを2回入力する必要があるだけです。

では、上級ユーザーは管理者アカウントではなく通常のアカウントで日常の作業を行う必要がありますか?そして、なぜ、なぜそうでないのですか?

「管理者アカウント」とsudoは、ルートアカウント自体ではなく、ルートとしてコマンドを実行するために使用する権限を持つアカウントを意味することに注意してください。rootとしてログインすることはありません。

回答:


5

ルートではないがリスクなし

管理者またはsudoユーザーについての私の理解から、私たちが言わない限りsudo、それは通常のデスクトップユーザー同じように機能しています。そのため、追加のリスクはないはずです。

誤ってrootになるリスク

また、管理者権限を持つ可能性のあるユーザーは、どこで、いつ、誰がパスワードを渡したかを少し注意深く監視する必要があることも事実です。

(私は一度も会ったことはありませんが)何をしているのかわからずにパスワードを要求する悪質なアプリケーションやスクリプトを想像できます。それ以外の場合はパスワードを必要としないため、ルート権限で何かを実行する可能性があります。このアプリケーションの機能がわからない場合は、単純にルートパスワードを与えません。

また、終了後、root権限を再度却下する責任があります。Nautilusなどのグラフィカルアプリケーションで作業している間は、常にrootになることはお勧めできません。

ルートアクセスを失うリスク

もう一つの「リスク」での伐採から防止できますことを、あなたのアカウントで何か悪いを行うこともありますので、私はいつもに少なくとも2人の管理者ユーザーを作成するいずれかの私はUbuntuのインストールボックス。これは、何かが私のメインアカウントを破った場合のためのものです。


質問に実際に取り組む最初の答え。ありがとう!言ったように、私は(少なくとも私は想定している)パスワードの入力場所と実行するコマンドに注意を払っています。しかし、回復モードのルートシェルがまだあるときに2つの管理者アカウントが必要な理由がわかりませんか?
バイトコマンダー

@ByteCommanderこれは、コンピュータに物理的にアクセスできる場合にのみ機能します。
Jon Bentley、

@JonBentley私が持っています。この場合、それは私の自宅のコンピュータに関するものです。つまり、私は物理的にのみアクセスできます。
バイトコマンダー

エラー、NO。私は自分でsudo権限を使用するアカウントから実行する攻撃を受けています。
ジョシュア

10

アカウントその缶sudoはrootアカウント(デフォルト仮定としてできるよう技術的にあるsudoers設定の動作)が、間にかなり大きな差依然として存在しているルートできるアカウントはsudo

  • 誤って1文字を省略してもUbuntuは破壊されません。多分。削除しようと考えてみ~/binたが、実際に実行しているrm反対/bin。rootでなければ、リスクは低くなります。

  • sudoパスワードを要求し、ミスを解決するためにそれらのミリ秒を与えます。また、他のアプリケーションには、あなたに代わって根気のあることを実行する機能がないことも意味します。

このため、日常業務にはrootアカウントを使用しないことをお勧めします。


別の中間「admin」アカウントで自分自身を隔離する(そしてsudoアクセス権のないユーザーとして実行する)は、もう1つのレイヤーです。また、おそらく別のパスワードにする必要があります。

それは余計な手間ですが、(質問条件ごとに)何かが最初のパスワードを盗聴できる場合、おそらく簡単に2番目のパスワードを取得できます。間違いを犯したことがなく、これらの強力なパスワードを他の場所で使用したことがない場合(推測もクラッキングも不可能)、このソリューションはおそらく安全ではありません。rootが必要な場合は、リカバリ、chroot、またはレンチを使用して起動します。


また、[エンタープライズ以外のデスクトップユーザーの場合] 大切なものユーザーから保護されていないと指摘する学派もあります。すべてのドキュメント、写真、ウェブ閲覧履歴などは、あなたまたはあなたとして実行しているものが所有し、アクセスできます。すべてキーストロークをログに記録したり、Webカメラを表示したり、マイクで聞いたりすることができるのと同じように。

簡単に言えば、マルウェアは誰かの人生を台無しにしたり、あなたをスパイしたりするための根を必要としません。


1
申し訳ありませんが、私の質問は完全に正しくはありません。rootとしてログインすることは考えていません。私のオプションは、単に管理者(としてログインしているsudo-または- -などのグループメンバー) -ロギングを通常/制限を介してユーザは通常とグラフィカルまたは端末のようにsu管理者への切り替え(管理者パスワードを入力)してから使用してsudo、そこから(入り管理者パスワードをもう一度)。
バイトコマンダー

簡単に2番目のパスワードを取得することについてのあなたの点では、そうである必要はありません。デスクトップマシンはAnsibleで管理しています。Ansibleは、ssh経由で管理者アカウントに接続します。ユーザーアカウントにはsudo権限がなく、デスクトップで管理者アカウントを物理的に使用する必要はありません(実際には、自分のマシンが個別に操作されて、残り)。
Jon Bentley、

答えの@ByteCommander後半は、あなたが何を望むかに基づいていますが、理由のために、それは通常のルート-VS-adminの引数からの推定です。同じことの別のレイヤーです。
オリ

2

はい、リスクがあります。それらのリスクがあなたが気にするのに十分な大きさであるかどうかは、好みやセキュリティポリシーの問題です。

コンピュータを使用するときはいつでも、攻撃者から常に危険にさらされています。非常に安全なセットアップを実行しても、まだ未知の脆弱性から保護することはできません。

sudo権限のないアカウントを使用していて、その使用のためにそのアカウントが危険にさらされている場合(たとえば、キーロガーがパスワードを取得するなど)は、実行できる損傷に制限が追加されます。攻撃者がsudo権限を持つアカウントを侵害すると、攻撃者もそれらの権限を取得します。

ほとんどのシステムでは、sudoを使用すると、デフォルトでパスワードが15分間記憶されます。これは、その設定を変更しない限り、もう1つのリスク要因です。


昇格権のキャッシュが潜在的なリスクとして言及されていました:不明なスクリプトには、挑戦されないsudoコマンドが含まれている可能性がありますが、ライターが最近sudoコマンドを発行したことが適度に確信できない限り、通常の状況では、奇妙なことが起こっていることを警告するパスワードを要求します。
TripeHound、2015年

@TripeHoundまたは、sudoコマンドを承認したばかりで、バスルーム休憩のためにコンピューターから離れ、他の誰かが介入します。潜在的なリスクとそうでないリスクの違いはわかりません-リスクという言葉は、いくつかの望ましくない結果の非ゼロの確率。はい、通常の状況では、パスワードの要求に気づくでしょう。1000台のコンピューターにそのスクリプトを作成し、特定のターゲットを想定していない攻撃者は気にしていますか?
Jon Bentley

0

私の意見に基づく答え。すべては数学的に証明されなければならないので、そこからはわかりません。;)

1つのグループadmと2つのアカウントを持つ2 sudoつのアカウントは、1つのアカウントがコマンドを実行する権限を持つことを意味しますsudo。この特権のないもの。

  • 非特権アカウントのパスワードをクラックした場合でも、ここで特権アカウントのパスワードをクラックする必要があります。-> 1つのアカウントのみと比較した場合の利点
  • 特権アカウントをクラックした場合。-> アカウントが1つだけの場合と比べて利点ありません

攻撃者の知性を尊重しない場合、確率は50%です。

私の観点からは、これは理論上のセキュリティ上の利点はほとんどなく、確率論の領域に属しています。しかし、利便性の喪失は不釣り合いに増加します。それは攻撃者がどれだけ賢いかに依存します。この知性を過小評価しないでください。それは誤った安心感です。

言い換えれば、いいえ、それはあなたに測定可能な利益をもたらしませんが、あなたは多くの利便性を失います。最後に、誰もが自分で決める必要があります。


0

私はそのように実行します 。1人のユーザーが自分のユーザー用のものを実行し、もう1人のユーザーが管理者用のものだけを実行し、ユーザーのものはありません。コマンドプロンプトも異なります。ユーザーには緑のプロンプトがあり、管理者には赤のプロンプトがあります。

どうして?

ユーザーは、管理ユーザーとは別に、私が使用するすべてのアプリケーションに対して独自の設定を持っていました。これにより、次のことが可能になります。

  1. 問題がユーザー関連かシステム関連かをデバッグする
  2. ユーザー設定に本当に問題があり、これ以上ログオンできない場合は、ゲストアカウントとルートアカウントではなく、バックアップユーザーアカウントとして管理者アカウントを用意してください。
  3. 必要に応じて、管理ドキュメントとユーザードキュメントをそれぞれのホームディレクトリに分けてください
  4. sudoコマンドの前に誤って入力しても効果はありません。
  5. 通常のユーザーが見るはずのないものを実際に見る方法はありません。
  6. ユーザー権限エスカレーションのバグにぶつかる方法はありません。(過去にいくつかありました)
  7. コンピューター上の他のすべてのユーザーと同じように「通常のユーザー」になり、長所と短所を理解します

わかりましたが、「管理ドキュメント」(実際には持っていません)と「ユーザードキュメント」を分離することは、すべてのデータを1か所に保存したい(もちろんバックアップもしたい)ため、私の考えでは大きな欠点です。設定についても同じです。基本的には同じですが、共有ディレクトリから同じFirefox / Thunderbirdプロファイルを使用しています。そして、他の家族などからの他の通常のユーザーアカウントもあります。私は自分のアカウントについて話しているだけです。(4.)で約束されているように、さらに説明するのを楽しみにしていますが、あなたはまだ私を納得させていませんでした。むしろ反対です。:-/
バイトコマンダー

RLで忙しい。あなたはすでに受け入れられた答えを持っているようですが、約束どおりいくつかの理由を追加しました! ;-)
Fabby 2015年

1
今では山羊の価値があります!:D
バイトコマンダー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.