LINUX.ORG.RU

наличие root

 ,


0

1

Сегодня, споря с друзьями, задался вопросом: в чем преимущества наличия root`a. С одной стороны, очевидно: не приходится по 100 раз вводить пароль для рута, во время, например, сборки пакета. Но ведь у sudo есть ключ, позволяющий делать тоже самое. Основным доводом против рута служит, якобы, уязвимость, в виде известного логина суперадмина, но ведь имя рута можно и изменить на любое. По SSH вообще запретить root`a. И если б рут был такой уязвимостью, его бы не оставляли на большинстве цивилизованных дистриутивов. В общем, прошу привести примеры, не столь очевидные,наличия учетки root`a.
PS Да, мои друзья убунтоводы =(

★★★★

Не верь хомякам, которые говорят, что очень опасно сидеть от рута. Какие руки - такие и проблемы, рут абсолютно не при чём.

Debasher ★★★★★
()
Ответ на: комментарий от Debasher

Так понятно, но самому интересно.

comp00 ★★★★
() автор топика

рут полезен при восстановлении системы, когда можно залогиниться под ним в однопользовательском режиме. В остальном судо позволяет более гибко устанавливать права пользователей, к примеру, можно разрешить исполнять только определенные комманды с правами суперпользователя.

xawe
()
Ответ на: комментарий от comp00

С каких пор в убунте нет рута?

Искоробки нет. А добавить и в оффтоп рута можно, но смысла нет

Т.е. из коробки ты не можешь сделать sudo -s? Ничего не путаешь?

AnDoR ★★★★★
()

Если ты считаешь, что в убунте рута нет, то ты просто чайник.

GotF ★★★★★
()
Ответ на: комментарий от comp00

Ах вот в чем дело! А я то думаю что это за фигня такая с разделением доступа.

XoFfiCEr ★★☆☆
()

Уже скоро 10 лет исполнится этой глупости. В Убунте ЕСТЬ рут. Для рута в убунте не задан пароль - в ЭТОМ только есть небольшой залог безопасности от кривых рук, т.к. трудно подобрать пароль, который вообще не задан.

Alve ★★★★★
()
Ответ на: комментарий от Alve

Для рута в убунте не задан пароль

Не совсем, там рут заблокирован (passwd -l). Если просто удалить пароль (passwd -d), то можно будет логиниться без пароля. Блокировка, к слову, оставляет возможность логина иными способами, не использующими unix password.

GotF ★★★★★
()
Ответ на: комментарий от xawe

рут полезен при восстановлении системы, когда можно залогиниться под ним в однопользовательском режиме.

Вот об этом не подумал, спасибо.
Остальным
Даже если в бунте есть root, пользуются им очень редко. И все же, сабж о таких возможностях root, которых нет (или они неудобны для пользования) в sudo

comp00 ★★★★
() автор топика

1) Защита от идиотов: запуск патча Бармина удалит только хомяк.
2) Защита от опечаток: чтобы сломать что-то в системе, надо сделать один дополнительный шаг.
3) Защита от script-kiddie: ибо они не ведают, что творят.
4) Защита от «root rot»: ибо когда ты рут, ты смотришь с высока на file permissions, и твоя система может запросто превратиться в Щindows 95 тыкву.
5) Преступление и наказание: когда твоя система всё же превратилась в тыкву и оплевала всех вокруг, то можешь заглянуть в /var/log/wtmp и наказать негодяя.

beka
()
Ответ на: комментарий от comp00

И все же, сабж о таких возможностях root, которых нет (или они неудобны для пользования) в sudo

Ты опять облажался, потому что нет таких возможностей.

GotF ★★★★★
()
Ответ на: комментарий от Alve

В системе, в которой пароль рута задан, чтобы получить привилегии суперпользователя надо знать два пароля - пользовательский, чтобы залогиниться в систему и рутовый, чтобы перейти по su. В убунте для этого же достаточно одного пароля - пользовательского - далее делаем sudo bash и работаем. И очевидно, что это наоборот менее безопасно. Единственное, чем обусловлен выбор убунтоидов такой схемы - упрощение. Типа пользователю для полноценной работы не надо два пароля запоминать.

Что касается удобства sudo в работе я вот не понимаю, что мешает всем этим убунтоидам настроить у себя в системе sudo для необходимых команд. Я, например не пользуюсь графическими обновлялками пакетов, поэтому у меня в sudo разрешено беспарольное использование для моего пользователя apt-get update и apt-get upgrade(именно так, а не просто apt-get). При этом apt-get install доступен так же через sudo, но уже с паролем пользователя. Так как именно этим компом я пользуюсь не в одиночку, эти разрешения действуют только для группы apt, в которой состоит мой пользователь и они недоступны для других пользователей компа. Это только одна настройка. У меня конфиг sudo довольно объёмный и там описано всё, что необходимо для удобной работы и при этом вполне безопасно. Это десктоп - на сервере всё ещё хитрее, но не менее гибко.

shell-script ★★★★★
()

Рут есть везде. Просто в убунте запрещают под ним логиниться. Видимо, защита от идиота. Причем в убунте еще более уязвимо - обычному пользователю даны права рута. Смысл неясен.

vurdalak ★★★★★
()
Ответ на: комментарий от vurdalak

Причем в убунте еще более уязвимо - обычному пользователю даны права рута. Смысл неясен.

Ему дано лишь право становиться рутом. Чувствуешь разницу? Причём это право по умолчанию есть лишь у первого пользователя.

GotF ★★★★★
()
Ответ на: комментарий от GotF

Никакой разницы. Первый пользователь может выполнять любые действия, только свой пароль еще раз ввести. Дал пароль своего юзера члену семьи или соседу по комнате - фактически дал рута.

vurdalak ★★★★★
()
Ответ на: комментарий от vurdalak

Дал пароль своего юзера члену семьи или соседу по комнате - фактически дал рута.

После того, как ты дал доступ ко всем своим личным данным кому-то там, привилегии рута — сущий пустяк. Для других людей есть другие аккаунты, в т.ч. гостевой, как это сделано в той же убунте.

GotF ★★★★★
()
Ответ на: комментарий от GotF

Понятное дело, что убиват. С древних времён, когда был ещё молодой и глупый привык. :) Я не про конкретную команду, а про саму возможность, которая как раз делают систему менее защищённой, по сравнению с обычным подходом с заданным паролем root'а.

shell-script ★★★★★
()
Ответ на: комментарий от GotF

Я вот могу давать свои личные данные кому угодно, или могу случайно запустить троян и потерять свою учетку или сдать свой пароль. Но система не пострадает, потому что рут есть рут.

vurdalak ★★★★★
()
Ответ на: комментарий от GotF

Ему дано лишь право становиться рутом. Чувствуешь разницу? Причём это право по умолчанию есть лишь у первого пользователя.

Ну то же самое без проблем реализуемо и в системе с заданным паролем рута. И в большинстве дистрибутивов так и сделано - залогиниться через su может только пользователей состоящий в группе adm(по умолчанию - это только первый пользователь). Но фишка в том, что всё-равно нужен ещё один пароль. Т.е. стать рутом сложнее, а значит защита от несанкционированного доступа лучше.

Хотя повторюсь, говорить о безопасности и сидеть на дефолтных настройках - вещи несовместимые. Что на дебиане, что в генту, что в убунте, что в слаке, что во фряхе я всегда перенастраиваю всю систему прав под конкретные нужды. Хотя это и не отменяет того, что дефолтный подход убунты всё-таки слабее, хоть и проще для новичков. Но мы же в этой теме про безопасность говорим, а не про удобство для хомячков.

shell-script ★★★★★
()
Ответ на: комментарий от GotF

Уже отписал. Можно. И нужно всё перенастроить. Но по умолчанию убунта менее безопасна.

shell-script ★★★★★
()
Ответ на: комментарий от GotF

Дело не в важности. Вариант убунты не повышает надежность данных, он вообще ничего не повышает. Единственное, что он делает - понижает безопасность системы в целом.

vurdalak ★★★★★
()
Ответ на: комментарий от beka

1) Защита от идиотов: запуск патча Бармина удалит только хомяк.

И нахрена мне работоспособная убунта, если мои данные благополучно просраны?

PolarFox ★★★★★
()

Традиция, которая намного старше Linux, и многочисленные стандарты требуют существования пользователя root в системе.

Deleted
()

В общем, для себя я понял одно: без разницы, что использовать в администрировании: root или sudo. Но в случае восстановления системы, преимущества root`a очевидны. Всем спасибо

comp00 ★★★★
() автор топика

Основным доводом против рута служит, якобы, уязвимость, в виде известного логина суперадмина, но ведь имя рута можно и изменить на любое.

а кого волнует логин суперюзера? в крайнем случае в /etc/passwd посмотреть можно

xtraeft ★★☆☆
()
Ответ на: комментарий от shell-script

В убунте для этого же достаточно одного пароля - пользовательского

пароля первого пользователя, который устанавливал систему. для работы можно другого завести, если уж безопасности хочется.

далее делаем sudo bash и работаем

осиль уже sudo -i

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

юзер без пароля != отсутствие юзера в системе

мб, но я предпочитаю, когда система не создает юзера без пароля, а просит меня задать ему пароль. Тем, более если этот юзер root

comp00 ★★★★
() автор топика
Ответ на: комментарий от beka

что же вы так себя сразу к 95% населения причислили? ;)

Так это, патч бармина могли, например, запустить через дырявый фаерпокс, работающий от того же пользователя в не огороженной среде.

PolarFox ★★★★★
()
Ответ на: комментарий от x3al

Рут есть, но пароль ему не задан.

J ★★★★★
()
Ответ на: комментарий от PolarFox

К слову о патче. Для меня, и я думаю для многих здесь, потеря хомяка страшнее, чем выпил всей системы. И если патч отработает от юзера будет так же плохо, как и от рута.

mopsene ★★★
()
Ответ на: комментарий от PolarFox

Так это, патч бармина могли, например, запустить через дырявый фаерпокс, работающий от того же пользователя в не огороженной среде.

Казалось бы, причем тут выполнение зловредного кода, которое попадает в систему через уязвимость в браузере, в то время как я писал про защиту от идиота и для идиота.

beka
()
Ответ на: комментарий от mopsene

Для меня, и я думаю для многих здесь, потеря хомяка страшнее, чем выпил всей системы

Плохая идея хранить данные на системном диске. Еще хуже идея хранить только на нем.

beka
()
Ответ на: комментарий от beka

Так у меня на другом разделе, но он же в любом случае примонтирован, так что это не поможит. Ключевые данные копирую на другие диски, которые не примонтированы постоянно, но а толку-то?

mopsene ★★★
()
Ответ на: комментарий от mopsene

Ключевые данные копирую на другие диски, которые не примонтированы постоянно

но а толку-то?

Делим на ноль.

beka
()
Ответ на: комментарий от beka

Все копировать не получается, настройки, не ключевые данные в большем объеме (помню как-то своих программ кучу потерял, вместе с исходниками). и др.

mopsene ★★★
()
Ответ на: комментарий от comp00

Искоробки нет.

Рут без пароля != нет рута.

А добавить и в оффтоп рута можно, но смысла нет

Bang!

Linez
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.