Ризик безпеки при щоденному використанні облікового запису адміністратора (не root)?

8

Єдине, що відрізняє мій обліковий запис адміністратора від звичайних облікових записів - це те, що мій обліковий запис адміністратора є членом sudoгрупи та може працювати sudo. Чи менш безпечно використовувати мій обліковий запис адміністратора для щоденної роботи? Якщо так, то чому?

Припустимо, що я дуже обережний, де я ввожу свій пароль і знаю, що робить команда перед її виконанням, звичайно.

Якщо я використовував звичайний обліковий запис не для адміністратора для свого щоденного облікового запису, коли мені потрібно було запустити щось як root, я б suу свій обліковий запис адміністратора (не в root, оскільки у нього немає пароля і вимкнено!), І запускаю sudoкоманду в оболонка адміністратора; або, я б перемикав користувачів графічно. Таким чином, кількість команд, які будуть виконуватися, однакова - використання звичайного облікового запису просто означатиме, що мені потрібно вводити свій пароль адміністратора двічі, коли я запускаю щось як root.

Отже, чи повинні просунуті користувачі щодня працювати над звичайним обліковим записом замість адміністраторського облікового запису? І чому або чому ні?

Зверніть увагу, що під "адміністраторським обліковим записом" я маю на увазі обліковий запис з привілеєм, який можна використовувати sudoдля запуску команд як root, а не сам кореневий рахунок. Я ніколи не входжу як root.

permissions  login  password  sudo  users 
Байт командир
джерело

Відповіді:

5

Не ризикуйте, поки не вкорінюєте

З мого розуміння адміністратора чи sudoкористувача, він працює так само, як і звичайний користувач настільних комп’ютерів , доки ми цього не скажемоsudo - тому додаткового ризику не повинно бути.

Ризик випадкового коріння

Правда також, що користувач, який має потенційні права адміністратора, повинен трохи уважніше спостерігати, де, коли або кому вони видають свій пароль.

Я можу уявити (хоча я жодного разу не зустрічав жодного) злого додатка чи сценарію, який просить у вас пароль, не кажучи вам для чого. Він, ймовірно, виконає щось із дозволами root, оскільки інакше не знадобиться ваш пароль. Якщо я не знаю, що робить ця програма, я б просто не надавав їй свій корінний пароль.

Ми також несемо відповідальність знову відхилити дозвіл root після того, як ми закінчимо. Завжди погана ідея залишатися кореневою під час роботи з графічним додатком, наприклад, Nautilus.

Ризик втрати кореневого доступу

Ще один "ризик" може полягати в тому, що ви зробите щось зі своїм обліковим записом, що заважає вам увійти в систему. Тому я завжди створюю щонайменше двох користувачів адміністратора в будь-якому вікні, в яке встановлюю Ubuntu. Це на випадок, коли щось мій основний рахунок.

Таккат
джерело
Перша відповідь, яка насправді стосується питання. Дякую! Як я вже говорив, я (принаймні припускаю, що я) обережно, де ввести свої паролі та які команди запускати. Але я не розумію, чому вам потрібні два облікові записи адміністратора, коли ще є коренева оболонка режиму відновлення?
Байт-командир
@ByteCommander Це працює лише за наявності фізичного доступу до комп'ютера.
Джон Бентлі
@JonBentley У мене є. Це стосується мого домашнього комп’ютера в цьому випадку, це означає, що я маю лише фізичний доступ.
Байт командир
Помилка, НІ. У мене є атака за те, що я отримую привілеї sudo, керуючи з облікового запису, який їх використовує.
Джошуа
10

Обліковий запис, який може судо, технічно такий же здатний, як і кореневий обліковий запис (припускаючи sudoersповедінку конфігурації за замовчуванням ), але все ще існує велика різниця між root і обліковим записом, який можеsudo :

  • Якщо випадково пропустити один символ, це не знищить Ubuntu. Мабуть. Спробуйте спробувати видалити, ~/binале насправді це rmпроти /bin. Якщо ви не кореневі, ризик менший.

  • sudoпотрібен пароль, даючи вам ці мілісекунди, щоб виправити будь-які помилки. Це також означає, що інші програми не мають можливості робити корінні речі від вашого імені.

Ось чому ми рекомендуємо людям не використовувати кореневий обліковий запис для щоденної роботи.

Ізоляція себе за допомогою іншого облікового запису "адміністратора" (і працює як користувач без sudoдоступу) - це ще один шар. Мабуть, це також повинен бути інший пароль.

Але це зайва метушня і (за вашими умовами запитання), якщо щось може винюхати ваш перший пароль, вони, ймовірно, можуть отримати другий так само легко. Якщо ви ніколи не робили помилок і ніколи не використовуєте ці надійні паролі ніде більше (не піддаються доказуванню чи скрутним), це рішення, ймовірно, не є більш безпечним. Якщо хтось хоче root, він завантажиться у відновлення, chroot або використає ключ .

Існує також школа думки, яка вказує, що [для непідприємницьких настільних користувачів] нічого, що ви цінуєте, не захищене від вашого користувача . Усі ваші документи, фотографії, історія веб-перегляду тощо належать вам і доступні вам, або щось, що працює як ви. Так само, як ви можете запустити щось, що записує всі ваші натискання клавіш, переглядає веб-камеру, слухає ваш мікрофон тощо.

Простіше кажучи, зловмисне програмне забезпечення не потребує коріння, щоб зруйнувати чиєсь життя або шпигувати за вами.

Олі
джерело
1
Вибачте, ви зрозуміли моє запитання не зовсім коректно. Я ніколи не розглядав вхід як root. Мої параметри - це лише вхід у систему як адміністратор ( sudoтощо член групи) - - або - - вхід як звичайний / обмежений користувач, як правило, графічно або в терміналі, suпереключившись на адміністратора (введення пароля адміністратора), а потім використовуючи sudoзвідти (введення знову адміністраторський пароль).
Байт-командир
Що стосується отримання другого паролю так само легко, це не повинно бути так. Я керую своїми настільними машинами за допомогою Ansible, який підключається до облікового запису адміністратора через ssh. Облікові записи користувачів не мають привілеїв sudo, і немає необхідності ніколи фізично використовувати обліковий запис адміністратора на робочому столі (насправді це небажано, тому що я не хочу, щоб мої машини індивідуально обмінювалися і не синхронізувалися з відпочинок).
Джон Бентлі
@ByteCommander Друга половина відповіді грунтується на тому, що ви хотіли , але причини для цього є екстраполяцією від нормального кореня проти-адміністратора аргументу. Це ще один шар тієї ж речі.
Олі
2

Так, є ризики. Незалежно від того, чи є ці ризики достатньо великими для вас, це стосується питання переваги та / або вашої політики безпеки.

Коли ви користуєтесь комп’ютером, ви завжди ризикуєте зловмисниками. Навіть якщо ви користуєтеся надзвичайно захищеними налаштуваннями, ви не можете захистити від ще невідомих уразливостей.

Якщо ви користуєтесь обліковим записом без привілеїв sudo, і цей обліковий запис порушено через таке використання (наприклад, кейлоггер захоплює ваш пароль), це додасть обмеження на шкоду, яку можна зробити. Якщо зловмисник скомпрометує обліковий запис з привілеями sudo, він також отримає ці привілеї.

У більшості систем використання sudo призведе до запам'ятовування вашого пароля протягом 15 хвилин за замовчуванням, що є ще одним фактором ризику, якщо ви не зміните це налаштування.

Джон Бентлі
джерело
Збирався згадати кешування права на підняття як потенційний ризик: невідомий сценарій потенційно може містити команду sudo, яка буде беззаперечною, але якщо тільки автор не може бути впевненим, ви нещодавно видали команду sudo, в За звичайних обставин, він попросить пароль, який повинен бути попередженням про те, що відбувається щось дивне.
TripeHound
@ TripeHound Як варіант, ви відійдете від комп'ютера на перерву у ванній кімнаті, тільки що дозволивши команду sudo, і хтось інший наступає. Я не бачу різниці у ризиках між потенційними чи іншими способами - слово ризик просто означає, що існує деяка ненульова ймовірність небажаного результату. Так, у звичайних обставинах ви помітите запит на пароль. Чи піклується ваш зловмисник, який посадив цей скрипт на 1000 комп'ютерів і не має конкретної цілі на увазі?
Джон Бентлі
0

Моя відповідь, що ґрунтується на думці, бо все треба було б підтвердити математично, і з цього поняття я не маю. ;)

Два акаунти, один з групами, admі sudoозначає, що один обліковий запис має право виконувати команди з sudoправами. Один без цих пільг.

  • Якщо ви зламали пароль для непривілейованого облікового запису, вам все одно доведеться зламати пароль для привілейованого облікового запису зараз. -> Перевага порівняно лише з одним обліковим записом
  • Якщо ви зламали привілейований рахунок. -> Немає переваги порівняно з одним обліковим записом

Ймовірність становить 50%, якщо ви не поважаєте інтелект нападника.

З моєї точки зору, це теоретично дуже мало користі для безпеки і більше відноситься до сфери теорії ймовірностей. Але втрата зручності збільшується непропорційно. Це залежить від того, наскільки розумний нападник. Не варто недооцінювати цей інтелект. Це помилкове почуття безпеки.

Іншими словами, ні, це не приносить вам корисної користі, але ви втрачаєте багато зручності. Наприкінці кожен повинен вирішити сам.

AB
джерело
0

Я працюю саме так: Один користувач, де я роблю свої користувальницькі речі, і один користувач, де я виконую лише адміністративні речі, а не користувацькі речі. Навіть командні підказки різні: користувачі мають зелений рядок та адмініструють червоний!

Чому?

Користувач мав власні налаштування для всіх програм, які я використовую окремо від користувача адміністратора, що дозволяє:

  1. Налагоджуйте, чи проблема пов’язана з користувачем або системою
  2. Скористайтеся обліковим записом адміністратора як резервним обліковим записом користувача, замість гостьового та кореневого облікового запису, якщо з вашими налаштуваннями користувачів щось не так, і ви більше не можете ввійти.
  3. тримати адміністративні документи та документи користувачів розділені у своїх домашніх каталогах, якщо ви вирішите це зробити .
  4. Немає ефекту під час введення випадкової sudoкоманди перед командою.
  5. Ні в якому разі реально бачити те, чого не повинен бачити звичайний користувач.
  6. Жоден спосіб потрапляння на помилку ескалації привілеїв користувача. (в минулому їх було декілька)
  7. Будьте "звичайним користувачем" так само, як і всі інші користувачі вашого комп'ютера та знайте, які переваги / недоліки є.
Фабі
джерело
Гаразд, але розділення "адміністраторських документів" (яких у мене насправді немає) та "користувальницьких документів" є великим недоліком, на мою думку, оскільки я завжди хочу мати всі свої дані в одному місці (плюс резервні копії, звичайно). Те саме для налаштувань. Вони в основному однакові, я навіть використовую ті ж профілі Firefox / Thunderbird із спільного каталогу. А також є інші звичайні облікові записи користувачів інших членів сім'ї тощо. Я просто говорю про свої власності. Я з нетерпінням чекаю подальших пояснень, як обіцяно в (4.), але ви мене ще не дуже переконували, навпаки. : - /
Байт-командир
Зайнявся RL. Здається, ви вже отримали відповідь, але додали ще кілька причин, як і обіцяли! ;-)
Fabby
1
Тепер це варто обернути! : D
Байт-командир
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.