ルートとしてのログインについての懸念は過大評価されていますか?


16

個人用ノートブック上の個人用Linuxの場合、通常は環境を次のように設定します。 X以下のランレベルでも、rootとして自動ログインするように。私のワークフローは非常に快適で高速であり、キーリングや認証などの面倒な入力susudo要求はありません。

これまでのところ、私はこれまで問題を抱えたことがないので、なぜほとんどの人がそれについておかしくなりますか?懸念は過大評価されていますか?もちろん、これはユーザーが何をしているのかを知っていて、システムの信頼性とセキュリティの問題を実際に気にしていないことを前提としています。


4
なぜルートとして実行するのですか?本当にタイプしたくない場合は、一部のコマンドをnopasswd(すべてではない)としてsudo編集/etc/sudoersおよび追加することをお勧めします。次に、~/.bashrc(またはエイリアスファイル)にaliasesを追加しsudo commandます。これはおそらく良い考えではありませんが、あなたができる、またはあなたに与えたダメージを制限します。
xenoterracide

11
このスレッドの敵意のレベルは少し心配です。それは正当な質問です。はい、常にrootとして実行するのは悪い考えですが、それについて
振り返る

5
@Mrozek:同意しました。今、私は自分が制御できるシステムにOPルートパスワードを決して与えませんでしたが、間違ったものを入力してシス​​テムを破壊することは非常に教育的です。おそらく、「これまでに問題が発生したことはありません」と書いたOPは、何かが初めて起こる可能性があるという事実など、何か役に立つことを学ぶでしょう。
デビッドソーンリー

2
私はこの金額をアップ考える理由はない:unix.stackexchange.com/questions/502/...
アレックス・B

3
車の類推を持ち込むには:シートベルトなしで運転するようなものです。可能ですが、潜在的に致命的です。
反転

回答:


33

同じ理由で、各デーモンには最小限の権限が必要です。Apacheはルートとして実行できます。1つのタスクを実行するように設計されており、間違いなく何も起こり得ませんか?

しかし、Apacheにはバグがないと仮定してください。バグは時々発見されます。場合によっては、任意のコードの実行などが可能です。これで、Apacheがrootとして実行されると、あらゆるものにアクセスできます。たとえば、ルートキットをカーネルにロードし、自身を隠すことができます。

一方、ユーザーレベルのルートキットを作成するのは非常に困難です。ps内部のさまざまなプログラム(など)をオーバーライドする必要があります/home。これにより、余分なディスク領域が使用されるため、疑念が生じる可能性があります。正確な構成がわからないため、含めることを忘れる場合がありgnome-system-monitorます。カバーする必要がbashありますtcshおよびたまたま使用するシェル(それ自体を開始するため)する必要があります。コールバックの束を「単純に」オーバーライドする代わりに、異なる構成で動作する必要があります。

少し前に、Adobe Readerで任意のコード実行が発見されたことを考慮してください。

他の理由はユーザーの間違いです。1つのコマンドでディスク全体を消去する前に警告することをお勧めします。

3番目の理由は、異なるシェルです。/システムのレスキューを実行する必要がある場合に備えて、ルートシェルをインストールする必要があります。ユーザーのシェルをインストールできます/usr(たとえば、ユーザーはzshを使用できます)。

第4の理由は、異なるプログラムがルートとして機能しないことです。彼らは想定されていないことを明確に知っているので、システムにパッチを当てる必要があります。

5番目の理由は/root、別のパーティションに配置することはできませんが、/homeできるはずです。持っている/home独立したことは様々な理由のために役立ちます。

また、なぜ通常のユーザーとして使用しないでください。多くの場合、ルート権限を持っている必要はありません。セキュリティのコストはごくわずかです。


3
ルートとしてdd、システム内の任意のブロックデバイスに対して何でもできるという事実と、ルートが/ devおよび/ procのカーネルお​​よびシステムに多くの干渉、意図的および意図的でないことが可能であるという事実と組み合わせる必要があります必要でない限り、rootとして実行しないようにだれにも納得させるのに十分です。
ローレンス

29

裸でバイクに乗ることもできますが、何も起こりません。でも、自転車をクラッシュさせたときに気分が良くなったらきっと気分が良くなるだろう...


7
おそらく、しかし、あなたが残りの時間を得るだろうという感じを考えてください!
Sirex

12

セキュリティの明らかな点は別として、シェルまたはラプサスでコマンドを誤って入力することでシステムを使い果たしたことがないことは明らかです。それが起こった場合、人々はなぜそれについておかしくなりますか理解できます。そして、あなたは恐怖で泣き、そしてそれが非常に教育的な経験であったことに気付くでしょう、しかしあなたはとにかくあなたのシステムを取り戻していません。

考え:システムの通常の使用中に(つまり、パッケージやその他のシステム管理タスクをインストールしないで)rootパスワードの入力を求められた場合、それは間違っています


+1いくつかの古い経験を思い出させてくれました。または、それらを元に戻すために-1にすべきですか?
デビッド

5
なぜsudoを使用することでコマンドの入力ミスを防止できると人々が信じるのか理解できませんでした。数年前にホースで接続した最後のシステムはsudo rm -rf / dir / jobでした。
Sirex

4

いいえ、過大評価されていません。実際には、最も過小評価されています。:-)

たとえば、仕事中の私の小さなチームは、開発作業のためにRHELマシンを共有しています:ものの構築、テストなど。誰もが個々のユーザーアカウントを使用します。これにより、短期間でOSを数回ホースすることに成功しました。libcの特定のバージョンを構築している人がシステムのlibcをばかで削除しましたrm呼び出し。別の奇妙な事件では、パーティションテーブルが欠落していました。(わかりました、これは特権とは何の関係もありませんでした。)チームの残りは、破損が修正されるまでブロックされます。1つの解決策は、誰かがボランティアでsysadminタスクを引き受けることです。ここまでは、人々がレッスンを学習できるようにすることを除いて、あまり気にしませんでした。私たちは皆、後部に歯のマークを必要とし、これらは比較的安価な歯のマークです。

本当に好奇心The盛な人は、最小特権の原則に従いケントンプソンの論文「Trusting On Trusting Trust」を読みたいかもしれません(「モラルは明らかです。完全に自分で作成しなかったコードは信用できません。」)


3

別の答えに対するあなたのコメントを拾う

しかし、Linuxは、あなた自身のデータ、プライバシー、セキュリティを破壊する自由を含む自由に関するものです

人々に無理矢理通してもsudo、Linuxはこの自由を提供します。あなたが避けたいセキュリティ上の議論は、あなたではないことからあなたを守るためにそこにあります(読んでください:悪意のあるプログラムまたは悪意のある人によって制御されるプログラム)。

それをシートベルトと考えてください。少し時間がかかります。他のバカ(あなた自身も)からあなたの命を救うことができます。

常にパスワードを入力したくないsudoedit /etc/sudoersが、rootとして実行し続ける場合は、いつかシステムとすべてのデータを破壊する何かを実行するでしょう。

Flashのようにくだらないものでもコンピュータを再フォーマットできることを知って満足しているなら、ここで誰もあなたが何をするか気にしません。ルートとして実行します。


2
悪意のあるプログラムだけでなく、バ​​グのあるプログラムもあります(たとえば、カーネルをルートとしてコンパイルした場合、カーネルビルドシステムにバグがあり、システムに
負荷がかかりました

2

Damn Vulnerable Linuxをメインシステムとして実行している間はどうでしょうか。システムセキュリティを無視する場合は、すべてを無視することもできます...


ルートと技術的にコンピュータのメインユーザーは、理論的に確保することができるよう...
マチェイPiechotka

3
@Maciejは唯一の安全なコンピューターのプラグを抜いており、湖の底にコンクリートで覆われています。
ゼノテラサイド

ミトニックが指摘したように、誰かが湖の外に出て、コンクリートを破って差し込むことができます(ああ、彼は誰かが社会技術を使って未接続のコンピューターを差し込むことができると言いましたが、原理は同じです)。「技術的に」および「理論的に」使用するように注意してみました-また、ロックなしの場合よりも悪いロックの方が優れています。たとえば、現在のシステムにSELinuxがないにもかかわらず、現在のシステムは十分に安全であると考えています;)
Maciej Piechotka

@Marciej wellセキュリティは、すべてコスト/リスク分析に関するものです。何かが価値があるということよりも、何かの周りに多くのセキュリティを置くことはありません。
xenoterracide

1
@Marciej。それが何の価値もない場合、セキュリティを設定しても意味がありません。その時点で脆弱性は問題になりません。
xenoterracide

1

あなたは、無数の人々の共同作業であるOSについて話している。安定したソフトウェアのみを実行している場合は、しばらくは安全です。

前に述べたように、HD全体がごく小さなものでゴミになることがあることに驚くでしょう。私の最初の年に、私はroot alotで実行しようとしました。それは、Fedora-core 3の時代には、ユーザーからシステムを管理するための派手な方法があまりなかったからです。

当時、私はそれが傷つくとは思わなかったので、バックアップせずに小さなxorg編集を行いました。デスクトップがなくなった。それから私はそれを手動で修正しようとしましたが、私が何をしたかを正確に理解できませんでした。後で、ドライバーとデスクトップを再インストールできるかもしれないと思ったが、nvidiaであるため、誤ってイーサネットを切断した。

初めてArchを実行しているときに、ユーザーを作成するための警告を無視して、しばらくの間adminとして実行しました。AURから必要なパッケージをインストールしましたが、再起動後、インストール全体が破壊されました。

私はルートにいたので、これらの問題の修正は必要以上に悪化しました。

あなたは私がちょうど無能だったと結論付けるかもしれません。しかし、他の人が言ったように、「sudo」と入力することは、多少の安心を得るための小さな代償です。

編集:ああ...とWINEのような特定のプログラムは、ルート環境で実行することは明示的に想定されていません。http://wiki.winehq.org/FAQ#head-96bebfa287b4288974de0df23351f278b0d41014


1

安全上の理由-Linuxをターゲットとするデーモンまたはスクリプトの脆弱性により、システムをSysadminが制御できます。

単純なユーザーとして実行し、sudoを使用することは、セキュリティの点で大きく異なります。私のFirefoxはユーザーとして実行されているため、Firefoxの脆弱性は私のアカウントのみにヒットします。他に何もありません。


0

Maciejには、セキュリティに関する懸念と特定の権限の管理について同意します。また、システムの所有者である場合は、必要に応じてこの機能を無効にすることができます;)それはあなたの選択です。


-4

あなたが愚かなことをしない限り、私は通常のセッションのルートとしてログインする大きな問題を見ることができません。

私は個人的にそれをしません。なぜならば、時々ばかげたことをするからです。私がやった愚かなことが潜在的に大きな問題であることに気づいたことはありませんが、私は本当に愚かなことを決してやらないと思うほど慢ではありませ


8
Webブラウザを使用することは、何か愚かなことをしていると見なされますか?
xenoterracide

4
@xenoterracide:あなたがrootとしてログインしている場合、それは何か愚かなことをすることを意味します、と私は言います。
デビッドソーンリー

2
@デイビッド私はそれを知っています;)それはちょっとポイントです
-xenoterracide
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.