Зачем регистрироваться как root?

Только одно слово: security.

Вы зарегистрированы как root = все приложения запущены с привилегиями root - каждая уязвимость в Firefox, Flash, OpenOffice и т. д. теперь может уничтожить вашу систему, потому что возможно вирусы теперь имеют доступ повсюду. Да, для Ubuntu / Linux существует только несколько вирусов, но это также из-за хорошей безопасности и непривилегированного пользователя по умолчанию. Речь идет не только о вирусах - небольшая ошибка в приложении может стереть некоторые системные файлы или ... Когда вы зарегистрированы как пользователь root, вы можете сделать все - система не спросит! Вы хотите отформатировать этот диск? Хорошо, всего один клик, и все сделано, потому что вы root, и вы знаете, что делаете ...

Выполняется как root, потому что:

Глупость: ничто не мешает вам делать что-то глупое. Если вы попытаетесь изменить систему в любом случае, что может быть вредным, вам нужно сделать sudo, что в значительной степени гарантирует паузу, когда вы вводите пароль, чтобы понять, что вы собираетесь сделать возможное крупное / дорогостоящее изменение. Безопасность. Об этом уже упоминалось уже несколько раз в этом вопросе, но в основном это одно и то же, сложнее взломать, если вы не знаете учетную запись пользователя администратора. root означает, что у вас уже есть одна половина рабочего набора учетных данных администратора. Вам это действительно не нужно: если вам нужно запустить несколько команд с правами root, и вас раздражает необходимость ввода пароля несколько раз, когда sudo истек, все, что вам нужно сделать, это sudo -i, и теперь вы root. Хотите запустить некоторые команды с помощью труб? Затем используйте sudo sh -c "comand1 | command2". Вы всегда можете использовать его в консоли восстановления: консоль восстановления позволяет вам попытаться восстановить что-то глупое или устранить проблему, вызванную приложением (которое вы все еще должны запускать как sudo :)) Ubuntu не имеет пароля для учетной записи root в этом случае, но вы можете искать в Интернете для ее изменения, это сделает труднее для всех, у кого есть физический доступ к вашему ящику, чтобы иметь возможность причинить вред.

Причина, по которой вы не могли найти информацию о том, почему это плохо, потому что, ну, есть слишком много данных в Интернете :) и что многие люди, которые долгое время использовали Linux время думаю подобный сделав. Этот способ мышления о корневом аккаунте довольно новый (возможно, десятилетие?), И многие люди все еще раздражаются тем, что нужно использовать sudo. Особенно, если они работают на сервере, что означает, что они вошли с намерением внести изменения в систему. Вероятно, из предыдущих неудачных опытов и стандартов безопасности большинство системных администраторов знают лучше, но им все равно не нравится:).

Это хороший вопрос. Я думаю, что ответ немного отличается в зависимости от того, говоришь ли вы о сервере или установке на рабочем столе.

На рабочем столе редко используется учетная запись root. Фактически, Ubuntu отправляется с отключенным доступом root. Все изменения, требующие привилегии суперпользователя, выполняются через sudo и его графические символы gksudo и kdesudo. Учитывая, что легко установить пароль root, однако, почему люди этого не делают?

Одна из причин заключается в том, что он дает вам дополнительный уровень безопасности. Если вы запускаете программу как root, а уязвимость безопасности используется, злоумышленник имеет доступ ко всем данным и может напрямую управлять оборудованием. Например, он может установить троянец или ключ-регистратор в ваше ядро. На практике, однако, атака может нанести большой урон даже без привилегий суперпользователя. В конце концов, все пользовательские данные, включая документы и сохраненные пароли, доступны без корневого доступа.

Более допустимая точка в однопользовательской системе заключается в том, что пользователю не удается случайно отключить систему , Если пользователь непреднамеренно выдает команду, которая удаляет все файлы, они все равно смогут загружать систему, даже если данные будут потеряны.

Кроме того, большинство приложений, ориентированных на пользователей (X11), сегодня построены на предположение, что они выполняются как обычная учетная запись пользователя и без прав администратора. Таким образом, некоторые программы могут ошибочно работать при запуске как root.

В многопользовательской системе с неграфическим доступом к оболочке многие из этих причин не применяются. Тем не менее, Ubuntu по-прежнему по умолчанию по умолчанию имеет недоступную учетную запись root. Во-первых, существует реальная разница между получением доступа к учетной записи пользователя (с правами sudo) через отверстие безопасности и получением доступа к root, так как в первом случае сбой других пользователей потребует запуска sudo и будет по-прежнему запрашивать пароль учетной записи в качестве дополнительного шага безопасности. Для другого полезно выполнить многие административные задачи из учетной записи пользователя и только вызвать sudo, когда привилегии суперпользователя абсолютно необходимы. Таким образом, при установке программы из источника рекомендуется создать исходный - запуск configure и make - внутри каталога пользователя и только с помощью sudo make install на последнем шаге. Опять же, это затрудняет съемку себя (и других пользователей многопользовательской системы) в ноге, и это уменьшает вероятность создания скриптов, разрушающих систему. Таким образом, даже на сервере это хороший совет придерживаться администрирования Ubuntu на основе sudo.

Одна из причин не запускать как root, которая до сих пор не была идентифицирована другими ответами, - это трассируемость. На машинах, которые в первую очередь работают на однопользовательском компьютере (на вашем рабочем столе или ноутбуке), вероятно, меньше всего, но на серверных машинах, если кто-то зарегистрирован как root, вы не знаете, кто виноват в предпринятых действиях. Поэтому большинство профессиональных организаций с несколькими системами и несколькими администраторами, которым необходимы привилегии root, требуют от пользователей входа в систему, используя свой собственный идентификатор пользователя (и пароль), а затем использовать sudo или подобные программы для работы с привилегиями root, когда это необходимо.

В противном случае основными причинами не запускать с правами root являются:

Свести к минимуму риск повреждения от несчастных случаев. Если вы запустили rm -fr / home/me/my-subdir в качестве пользователя root, то вы просто резко устранили все важное значение своей машины из-за этого пространства после (первой) косой черты - потому что материал, который идет первым, - это материал, который был добавлен первым - маленькие вещи, такие как ядро, каталог /bin и /etc. Unix расстраивается, если вы их потеряете. Минимизируйте риск повреждения от вредоносных внешних сайтов. Если вы просматриваете root, вы более уязвимы для загрузки вредоносных материалов.

Я использую MacOS X больше, чем Ubuntu, но там root отключен по умолчанию, и он все еще находится на моей машине. Я регулярно обновляю ядро ​​и другие подобные операции - используя sudo (за кулисами). Подобные методы применимы к Linux вообще.

В принципе, вы должны использовать всемогущие привилегии root для сокращенных периодов работы, чтобы избежать риска ошибок.

ТЛ;др: делать вещи, как корень только тогда, когда нужно. [Ф1] делает это довольно легко. Если вы включите корень Логинов, вы все равно можете следовать этому правилу, вы просто должны быть осторожны, чтобы сделать это. Хотя позволяя входить в систему как root, это на самом деле не небезопасно, если все сделано правильно, вам не нужно, чтобы входить в систему как root, потому что у вас есть [Ф2].

есть действительно два взаимосвязанных вопросов.

почему это плохо, чтобы войти в систему в качестве корневого для повседневного использования компьютера (веб-серфинг, Электронная почта, обработка текста, игры и т. д.)? Почему в Ubuntu по умолчанию вообще отключить вход под root и с помощью [Ф3] и polkit на позволяют администраторам выполнять определенные команды, как корень?

почему бы не запустить все root, все время?

большинство других ответов покрыть это. Это сводится к:

если вы используете корень силы для задач, которые не требуют от них, и вы в конечном итоге делает то, что ты не хотел этого делать, вы могли бы изменить или нанести вред вашей системе таким образом, Вы не хотите. Если вы запускаете программу как корень, когда вы не нужно, и он заканчивает тем, что делал то, чего ты не хотел, чтобы это сделать-например, из-за уязвимости или другие ошибки-это может изменить или повредить вашу систему так, Вы не хотите.

это правда, что даже не делая вещи как root, вы можете причинить вред. Например, вы можете удалить все файлы в свой домашний каталог, который обычно включает в себя всех ваших документов, не из-под root! (Надеюсь, у вас есть резервные копии.)

[dиода d17]конечно, как корень, существуют дополнительные способы, чтобы случайно не уничтожить те же данные. Например, можно указать неправильно [Ф4] аргумент команды [ф5] и написать исходные данные, за файлы (что делает их намного, намного сложнее восстановить, чем если бы вы просто удалили их).[!dиода d17]

если ты единственный человек, кто использует ваш компьютер, вред, вы можете сделать только как корень не может быть действительно выше, чем вред вы можете делать с обычными правами пользователя. Но это еще не повод, чтобы расширить свой риск с целью включения дополнительных два испортить вашу систему Ubuntu.

, если работает с не-администратора пользователей, мешает вам осуществлять контроль над вашим собственным компьютером, то это, конечно, плохой компромисс. Но это не ... ТЛ;др:.

почему не дают возможность войти в систему как root?

мысль о том, что возможность входа в систему как пользователь root является небезопасной, является мифом. Некоторые системы имеют учетную запись root по умолчанию включен; другие системы используют [ф7] по умолчанию, и некоторые из них настроены оба.

почему это плохо, чтобы войти в систему в качестве корневого для повседневного пользования компьютером (веб-серфинг, Электронная почта, обработка текста, игры и т. д.)? других уважаемых операционки, что этого включают в rhel, CentOS и Fedora. почему в Ubuntu по умолчанию вообще отключить вход под root и с помощью [Ф3] и polkit на позволяют администраторам выполнять определенные команды, как корень?

это не объективно неправильно, чтобы иметь систему, при которой корневой учетной записи, при условии, что

если вы используете корень силы для задач, которые не требуют от них, и вы в конечном итоге делает то, что ты не хотел этого делать, вы могли бы изменить или нанести вред вашей системе таким образом, Вы не хотите. вы правильно ограничить доступ к нему.

часто новички спрашивают, как включить учетную запись root в Ubuntu. Мы не должны скрывать эту информацию от них, но обычно, когда люди спрашивают это потому, что они находятся под ошибочным впечатлением, что они плохо чтобы включить учетную запись root. при условии, что включение учетной записи root также легко становятся самодовольными и выполнять действия под root, которые не требуют привилегий суперпользователя. Но это не значит, включение учетной записи root является самой небезопасной.

[ф8] поощряет и сама по себе пользователям выполнять команды как root только тогда, когда им нужно. Чтобы запустить команду как root, введите [ф9], пробел, а затем команду. Это очень удобно, и многие пользователи всех уровней предпочитают этот подход.

короче, вам не надо включить вход под root, потому что у вас есть [ф10]. Но так долго, как вы используете его только для административных задач, которые в ней нуждаются, это примерно одинаково безопасно, чтобы включить и войти в систему как root, так долго, как это только таким образом:

других уважаемых операционки, что этого включают в rhel, CentOS и Fedora. с [Ф3][!команда д8], при входе в систему с другой учетной записью.

тем не менее, существенной дополнительной безопасности риски возникают, если Вы зарегистрировались как root одним из следующих способов:

с [Ф3][!команда д8], при входе в систему с другой учетной записью. удаленно. В [ф14] счета могут фактически сделать что-нибудь, и он имеет то же имя на практически любой Unix-подобной системе. Войдя в систему как root через [ф15] или других удаленных механизмов, или даже настройка удаленного обслуживания, чтобы разрешить его, вы сделаете ее намного проще для злоумышленников, в том числе автоматизированных скриптов и программ, работающих на бот-сетей, чтобы получить доступ с помощью грубой силы, атака по словарю (и, возможно, некоторых ошибок). Возможно, риск не очень высок, если вы позволите ключ, а не пароль root от входа.

по умолчанию в Ubuntu, ни графический вход под root, ни удаленного входа в систему через SSH не включен, в этих способов. То есть, даже если вы включите корень входа, он до сих пор включен только такими способами, которые достаточно безопасной.

удаленно. В [ф14] счета могут фактически сделать что-нибудь, и он имеет то же имя на практически любой Unix-подобной системе. Войдя в систему как root через [ф15] или других удаленных механизмов, или даже настройка удаленного обслуживания, чтобы разрешить его, вы сделаете ее намного проще для злоумышленников, в том числе автоматизированных скриптов и программ, работающих на бот-сетей, чтобы получить доступ с помощью грубой силы, атака по словарю (и, возможно, некоторых ошибок). Возможно, риск не очень высок, если вы позволите ключ, а не пароль root от входа. хотя по умолчанию должен защищать вас, я думаю, это все еще хорошая идея, чтобы проверить вашу конфигурацию SSH, если вы собираетесь включить учетную запись root. И если вы используете другие сервисы, которые предоставляют удаленного входа в систему, такие как FTP, вы должны проверить их.

в заключение:

[кадрах, снятых D80] хотя по умолчанию должен защищать тебя, я думаю, это все еще хорошая идея, чтобы проверить вашу конфигурацию SSH, если вы собираетесь включить учетную запись root. И если вы используете другие сервисы, которые предоставляют удаленного входа в систему, такие как FTP, вы должны проверить их. если вы понимаете, как работает Рут и вреде злоупотребление, включение учетной записи root не является очень проблематичным с точки зрения безопасности. Но если вы понимаете, что, вы знаете, что вы почти наверняка не нужно, чтобы включить учетную запись root. [!кадрах, снятых D80]

для получения дополнительной информации о корень и [зг19], включая некоторые дополнительные преимущества [20 фунтов], что я не здесь, я настоятельно рекомендую RootSudo в Ubuntu помочь Вики.

Корневая учетная запись отключена по умолчанию - это значит, что она существует, но она не используется (кроме режима восстановления). Это означает, что злоумышленник знает вашу учетную запись root, но не мог использовать его, даже если у него / нее был пароль root. Таким образом, злоумышленник должен угадать как имя пользователя с правами администратора, так и пароль пользователя (что намного сложнее, чем просто пытаться выработать пароль root). В XP, если у вас установлена ​​консоль восстановления, любой, кто физический доступ к вашему ящику может загрузиться в него (RC) - пароль не требуется. То же, что и в режиме восстановления в Ubuntu.

В Ubuntu, когда говорят, что root отключен, на самом деле это означает, что учетная запись заблокирована. Учетная запись заблокирована путем изменения пароля до значения, которое не соответствует возможному зашифрованному значению. Это эффективно предотвращает возможность входа в систему с правами root, поскольку невозможно было ввести пароль. Так как еще есть время, когда необходим корневой доступ - ядро ​​Ubuntu было изменено, чтобы разрешить корневой локальный вход только в однопользовательском режиме.

Также см. Эту Корневую учетную запись

Его как вооружение маленького ребенка с AK47, в то время как он может с удовольствием играть с его пейнтбольным оружием. ;)

Я имею в виду, что это неправильно, потому что у вас и ваших приложений будет больше привилегий, чем они нужны, и тогда, когда что-то может и когда-нибудь пойдет не так: (

Очень хороший вопрос ... Позвольте мне ответить на это с практической точки зрения:

Когда я начал использовать Linux, который более 10 лет назад, основные дистрибутивы не рекламировали использование не- как и сегодня. Поскольку я был использован для Windows, я также не видел смысла использовать ограниченную учетную запись пользователя. В частности, потому, что мне приходилось очень часто вводить «su», тогда судо не было тогда популярным. ;-) Поэтому я всегда входил в систему как root, потому что у меня было много технического обслуживания, чтобы настроить мою систему. Но предположим, что любая новая установленная система быстро стала нестабильной.

Одна конкретная проблема, например: у меня не было столько зарезервированного для Linux жесткого диска, так что это случилось со мной несколько раз, что у меня было 0 байты, оставшиеся на моем разделе. Возможно, я не совсем точен, потому что я не знаю точного механизма, но когда вы заполняете диск с учетной записью, отличной от root, всегда осталось несколько килобайт. Но если у вас действительно осталось 0 байт, ваша система делает странные ошибки, и вы можете получить некоторые исправления в вашей системе, потому что в фоновом режиме работает много системного программного обеспечения ...

Другое дело: то, что разделение между корневым и не-root поддерживает вашу систему хорошо организованной. Как root-пользователь, у вас может возникнуть соблазн не чистить ваши новые приложения, которые оставят вас с грязной и жесткой поддерживаемой системой.

Но хорошо: современные дистрибутивы выполняют большинство задач администрирования для вас, поэтому редко вам приходится возиться в кишки вашей Linux-системы с учетной записью root. Ввод пароля время от времени является достаточным, остальные выполняются скриптами дистрибьютора.

Но я сомневаюсь, что у вас не было проблем в вашей системе Windows с этим, если вы использовали 95 или 98. ( По крайней мере, у меня были проблемы с этим ...) Из-за отсутствия четкого разделения между администратором и обычными пользовательскими «традиционными» приложениями Windows предполагают, что они могут делать что угодно. установите Spyware, если они захотят, даже не сообщая вам. Microsoft занималась этой проблемой при выпуске Vista. (Эффективно реализуя механизм sudo.) Таким образом, люди получили очень раздражающие диалоги, в которых говорилось: «Вы не можете этого сделать». Для некоторых несовместимых с Vista программ вам понадобились грязные хаки для его установки, даже как администратор ...

Есть много аспектов этого подхода. Некоторые из них: Корень очень мощный. В Unix и Unix-подобных системах привилегии системного администрирования - все или ничего. У пользователя либо есть root-доступ, либо нет, а root-доступ подразумевает полный контроль над машиной. Если рассматриваемая машина используется более чем одним человеком или root имеет доступ к другим системам или пользовательским файлам, более приемлемым является предоставление некоторым пользователям привилегий с частичным root.

Корень является мощным . sudo регистрирует каждую команду, выполняемую через sudo. Имея отчет о том, что делается с помощью sudo, мы можем диагностировать проблемы с отдельными системами / процессами и проблемами общей конфигурации, а также помогать нам выявлять необходимые улучшения.

Корень очень мощный. [!d2 ] Через свой файл конфигурации sudo может предоставить пользователю root доступ для определенного набора команд. Это также позволяет избежать эффекта «всего или ничего», позволяя нам предоставлять отдельным пользователям больше контроля над своими машинами и помогать себе в решении общих проблем.

вот хорошая статья: http: // cf. stanford.edu/policy/root