Угроза безопасности при повседневном использовании учетной записи администратора (не root)?

8

Единственная вещь, которая отличает мою учетную запись администратора от обычной учетной записи, - то, что моя учетная запись администратора является членом sudoгруппы и может работать sudo. Не менее ли безопасно использовать мою учетную запись администратора для повседневной работы? Если да, то почему?

Предположим, что я очень осторожен при вводе своего пароля и, конечно, знаю, что делает команда, прежде чем ее выполнить.

Если бы я использовал обычную учетную suзапись без прав администратора для своей ежедневной учетной записи, когда мне нужно было запустить что-то от имени пользователя root, я бы вошел в свою учетную запись администратора (не в учетную запись root, так как она не имеет пароля и отключена!), И там запустил sudoкоманду админская оболочка; или я бы переключал пользователей графически. Таким образом, количество команд, которые будут выполняться, одинаково - использование обычной учетной записи будет означать, что мне придется дважды вводить пароль администратора при запуске чего-либо от имени пользователя root.

Итак, должны ли опытные пользователи выполнять повседневную работу с обычной учетной записью вместо учетной записи администратора? А почему или почему нет?

Обратите внимание, что под «учетной записью администратора» я имею в виду учетную запись с привилегией использовать sudoдля запуска команд от имени пользователя root, а не саму учетную запись root. Я никогда не захожу как root.

permissions login password sudo users Byte Commander
источник

Ответы:

5

Без риска пока не root

Насколько я понимаю, администратор или sudoпользователь работает так же, как обычный пользователь рабочего стола, пока мы не говоримsudo - поэтому не должно быть никакого дополнительного риска.

Риск случайного получения прав root

Также верно, что пользователь, имеющий потенциальные права администратора, должен следить чуть ближе, где, когда и кому он выдает свой пароль.

Я могу вообразить (хотя я никогда не встречал никого) злое приложение или скрипт, запрашивающий у вас пароль, не сообщая вам зачем. Скорее всего, он будет выполнять что-то с правами суперпользователя, так как в противном случае вам не понадобится ваш пароль Если я не знаю, что делает это приложение, я бы просто не дал ему свой пароль root.

Мы также несем ответственность за повторное разрешение root после завершения работы. Всегда плохая идея оставаться root при работе с графическим приложением, таким как, например, Nautilus.

Риск потери корневого доступа

Еще один «риск» может заключаться в том, что вы делаете что-то плохое с вашей учетной записью, что мешает вам войти в систему. Поэтому я всегда создаю по крайней мере двух пользователей-администраторов на каждом компьютере, на который я устанавливаю Ubuntu. Это на случай, если что-то сломает мой основной аккаунт.

Takkat
источник
Первый ответ, который фактически обращается к вопросу. Спасибо! Как я уже сказал, я (по крайней мере, предполагаю, что я) осторожен, где вводить свои пароли и какие команды запускать. Но я не понимаю, зачем вам две учетные записи администратора, когда еще есть корневая оболочка режима восстановления?
Byte Commander
@ByteCommander Это работает, только если у вас есть физический доступ к компьютеру.
Джон Бентли
@JonBentley у меня есть. В данном случае речь идет о моем домашнем компьютере, это означает, что у меня есть только физический доступ.
Byte Commander
О, нет. У меня есть атака для получения привилегий sudo, запускаемых из учетной записи, которая их использует.
Иисус Навин
10

Учетная запись, которая может использовать sudo, технически так же хороша, как и учетная запись root (при условии sudoersконфигурации по умолчанию ), но между root и учетной записью, которая можетsudo :

  • Случайное исключение одного символа не разрушит Ubuntu. Вероятно. Рассмотрим пытается удалить , ~/binно на самом деле работает rmпротив /bin. Если вы не root, риск меньше.

  • sudoтребует пароль, который дает вам эти миллисекунды, чтобы решить любые ошибки. Это также означает, что другие приложения не могут делать рутинные действия от вашего имени.

Вот почему мы рекомендуем людям не использовать учетную запись root для повседневной работы.

Изоляция себя с помощью другой промежуточной учетной записи «admin» (и работа в качестве пользователя без sudoдоступа) - это просто еще один уровень. Вероятно, это должен быть другой пароль.

Хотя это лишняя суета и (согласно вашим условиям вопроса), если что-то может узнать ваш первый пароль, они, вероятно, могут получить второй так же легко. Если вы никогда не совершали ошибок и никогда не использовали эти надежные пароли где-либо еще (не догадываясь и не взламывая), это решение, вероятно, более не безопасно. Если кому-то нужен root, он загружается в recovery, chroot или использует гаечный ключ .

Существует также школа мысли, которая указывает, что [для пользователей настольных компьютеров не из предприятий] ничто из того, что вы цените, не защищено от вашего пользователя . Все ваши документы, фотографии, история просмотра веб-страниц и т. Д. Принадлежат и доступны вам или кому-то другому. Так же, как вы можете запускать что-то, что регистрирует все ваши нажатия клавиш, просматривает вашу веб-камеру, слушает на вашем микрофоне и т. Д.

Проще говоря, вредоносным программам не нужен root, чтобы разрушить чью-то жизнь или шпионить за вами.

Оли
источник
1
Извините, вы поняли мой вопрос не совсем правильно. Я никогда не рассматривал вход в систему как root. Мои варианты просто войти в систему как администратор ( sudoи т. Д. Член группы) - - или - - войти в систему как обычный / ограниченный пользователь обычно и графически или в терминале через suпереключение на администратора (ввод пароля администратора) и затем использование sudoоттуда (ввод пароль администратора снова).
Byte Commander
С вашей точки зрения относительно того, как легко получить второй пароль, дело не в этом. Я управляю своими настольными компьютерами с помощью Ansible, который подключается к учетной записи администратора через ssh. Учетные записи пользователей не имеют привилегий sudo, и нет необходимости когда-либо физически использовать учетную запись администратора на рабочем столе (на самом деле это нежелательно, потому что я не хочу, чтобы мои машины портились по отдельности и не синхронизировались с остаток).
Джон Бентли
@ByteCommander Вторая половина ответа основывается на том, что вы хотели , но причины для этого являются экстраполяцией от нормального корня против-администратора аргумента. Это еще один слой того же самого.
Оли
2

Да, есть риски. Являются ли эти риски достаточно большими для вас, чтобы заботиться о них, является вопросом предпочтений и / или вашей политики безопасности.

Каждый раз, когда вы используете компьютер, вы всегда подвержены риску со стороны злоумышленников. Даже если вы используете чрезвычайно безопасную установку, вы не сможете защитить от пока неизвестных уязвимостей.

Если вы используете учетную запись без прав sudo и эта учетная запись скомпрометирована из-за этого использования (например, кейлоггер захватывает ваш пароль), то это добавляет ограничение на возможный ущерб. Если злоумышленник скомпрометирует учетную запись с правами sudo, он также получит эти привилегии.

В большинстве систем использование sudo приведет к запоминанию вашего пароля на 15 минут по умолчанию, что является еще одним фактором риска, если вы не измените этот параметр.

Джон Бентли
источник
В качестве потенциального риска было упомянуто кэширование права на повышение : неизвестный сценарий может потенциально содержать команду sudo, которая останется без ответа, но если автор не может быть в меру уверенным, что вы недавно выполнили команду sudo, в в обычных обстоятельствах он запрашивает пароль, который должен быть предупрежден о том, что происходит что-то странное.
TripeHound
@TripeHound В качестве альтернативы вы отходите от компьютера для перерыва в ванной, только что авторизовав команду sudo, и вмешивается кто-то другой. Я не вижу различий в рисках между потенциальным или иным - слово риск просто подразумевает, что существует некоторая ненулевая вероятность нежелательного исхода. Да, в обычных условиях вы заметите запрос пароля. Вас беспокоит ваш злоумышленник, который установил этот скрипт на 1000 компьютеров и не имеет конкретной цели?
Джон Бентли
0

Мой ответ основан на мнении, потому что все должно быть доказано математически, и от этого я понятия не имею. ;)

Две учетные записи одна с группами admи sudo, значит, одна учетная запись имеет право выполнять команды с sudoправами. Один без этой привилегии.

  • Если вы взломали пароль для непривилегированной учетной записи, вам все равно придется взломать пароль для привилегированной учетной записи. -> Преимущество по сравнению только с одним аккаунтом
  • Если вы взломали привилегированную учетную запись. -> Нет преимущества по сравнению только с одним аккаунтом

Вероятность составляет 50%, если вы не уважаете интеллект атакующего.

С моей точки зрения, это теоретически очень мало пользы для безопасности и больше относится к области теории вероятностей. Но потеря удобства увеличивается непропорционально. Это зависит от того, насколько умный атакующий. Не стоит недооценивать этот интеллект. Это ложное чувство безопасности.

Другими словами, нет, это не принесет вам ощутимой пользы, но вы потеряете много удобства. В конце каждый должен решить для себя.

AB
источник
0

Я работаю точно так: один пользователь, где я делаю свои пользовательские вещи, и один пользователь, где я делаю только административные вещи, а не пользовательские вещи. Даже командные строки различны: у пользователей зеленая подсказка, а у администраторов красная!

Почему?

У пользователя были свои настройки для всех приложений, которые я использую, отдельно от пользователя с правами администратора, что позволяет:

  1. Отладка, если проблема связана с пользователем или системой
  2. Имейте учетную запись администратора в качестве резервной учетной записи пользователя вместо учетной записи гостя и учетной записи root, если что-то не так с вашими настройками пользователя и вы не можете войти в систему.
  3. Храните административные документы и пользовательские документы отдельно в соответствующих домашних каталогах, если вы решите это сделать .
  4. Никакого эффекта при вводе случайных sudoперед командой.
  5. Нет способа увидеть то, что обычный пользователь не должен видеть.
  6. Нет способа поразить ошибку повышения привилегий пользователя. (было несколько в прошлом)
  7. Будьте «обычным пользователем», как и все остальные пользователи вашего компьютера, и знайте, в чем преимущества / недостатки.
Fabby
источник
Хорошо, но разделение «административных документов» (которых у меня на самом деле нет) и «пользовательских документов» является большим недостатком, на мой взгляд, так как я всегда хочу хранить все свои данные в одном месте (плюс, конечно, резервные копии). То же самое для настроек. Они в основном одинаковые, я даже использую те же профили Firefox / Thunderbird из общего каталога. И есть другие обычные учетные записи других членов семьи и т. Д., Я просто говорю о своих. Я с нетерпением жду дальнейших объяснений, как обещано в (4.), но вы еще не убедили меня, скорее наоборот. : - /
Byte Commander
Был занят с RL. Похоже, вы уже приняли принятый ответ, но добавили еще несколько причин, как и обещали! ;-)
Fabby
1
Теперь это стоит того! : D
Byte Commander