|
Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Прочее - работа в системе пользователем root |
|
Прочее - работа в системе пользователем root
|
Необычный Сообщения: 4462 |
Профиль | Сайт | Отправить PM | Цитировать Здравствуйте.
Интересует адресный ликбез на тему "почему нельзя (не рекомендуется/не комильфо и пр) работать в системе пользователем root ?" Цель: Самому до конца разобраться в данном вопросе. Аргументированно объяснить начальству, почему это риск, а не "просто страшилка". Дано: Группа дистрибутивов Linux (Debian, CentOS) которые находятся в физически изолированной сетевой среде (отдельный объект). Работа в графическом режиме, иногда ведется, иногда нет, зависит от узла. Пользователи - номинально имеют высшее образование и базовые знания Linux rm -rf / никто писать не будет, т.к. все равно выяснят кто это. Круг пользователей так же ограничен десятком, максимум двумя инженеров. Рассуждения: Традиционно в пользу использования "обычного" пользователя и расширение его прав с помощью su / sudo говорит здравый смысл и безопасники. В безопасности - первое о чем говорят - это rm -rf / Второе о чем говорят - бесконтрольная власть в системе. Про власть понятно, того и хотели. А вот не счет "безконтрольной" и есть мой вопрос. AFAIK:
Вопросы: Как называется это "некий журнал" в котором пишутся действия простых пользователей и не пишется супер-пользователь? Правильно ли я вообще рассуждаю или "что-то пошло не так" ? Насколько действия супер-пользователя бесконтрольны, так ли это, как это проверить? Почему неправильно сидеть супер-пользователем, тем более в графике, при вышеназванных условиях? |
|
------- Отправлено: 09:54, 28-02-2020 |
Старожил Сообщения: 352
|
Профиль | Отправить PM | Цитировать Цитата lxa85:
Для любителей сидеть под рутом раньше были добрые (по части присутствия образовательного эффекта) шутки "угадай что выведет команда ..." на sh/perl/python/..., результатом которых в итоге получался "rm -rf /"... |
|
Отправлено: 12:10, 28-02-2020 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 4241
|
Профиль | Отправить PM | Цитировать Цитата lxa85:
Например, ну ведь наверное многие на такое нарывались, когда "махнул хвостиком" в GUI и папка "пропала" ("друг и дроп"), переместилась куда то там... а вот представьте то же от администратора, без всяких там запросов... А так да, каждый Сам Себе Хозяин. Например, обладая достаточным опытом Сам сижу под пользователем, это и не кич по типу "так говорят там в Ваших Интернет'ах", а просто сложившееся собственное мнение за долгие годы пользование различных операционных систем (и да, еще каждому пользователю домашнего компьютера - по одной ограниченной учетке). |
|
Отправлено: 21:58, 28-02-2020 | #3 |
Забанен Сообщения: 6345
|
Я так понимаю, к каждой конкретной машине имеют доступ несколько пользователей? Так обычно в организациях.
Тогда есть аргумент не логиниться root'ом или каким либо ещё общим аккаунтом – в случае инцидента невозможно выяснить, кто виноват. Поэтому каждый пользователь должен логиниться своим персональным аккаунтом, а при необходимости повышать привилегии (sudo). В идеале пользователи должны аутентифицироваться в централизованной системе (LDAP, sss и т.д.), поскольку люди приходят и уходят, а бегать вручную (или даже при помощи чего-то вроде puppet/ansible) добавлять/удалять/лочить/разлочить – ненужный гемор. Да, суперпользователь может подчистить улики, подправив логи и даже utmp/wtmp (журналы логинов), но это уже явное злоумышление, что маловероятно, впрочем и на этот случай есть возможность настроить отправку логов на удалённый и недоступный юзерам rsyslog, чтобы иметь доказательную базу кто где и как гадил. history у root'а также ведётся, он в этом плане ничем не отличается от остальных пользователей. |
Отправлено: 10:36, 29-02-2020 | #4 |
Необычный Сообщения: 4462
|
Профиль | Сайт | Отправить PM | Цитировать По порядку:
iglezz, детсвие болезни мы не рассматриваем, равно как и банальные очевидности. Повторюсь, система физически изолирована и выполнять патч Бармина никто не будет. NickM, спасибо. Сам сижу под пользователем, воспринимая это нормальной практикой. В целом начал практику внедрения пользователь+sudo, мне как-то сразу спокойней стало. По крайней мере за свои действия. Другие продолжат вкатывать root и я им не указ (долгое безкультурное наследие, даже говорить не хочется) Jula0071, да, к машине имеет доступ несколько пользователей. Увы, о чем-то централизованном пока приходится только мечтать. Т.к. устройства (шкафы с оборудованием) должны быть с одной стороны автономны, с другой - уметь быть встраиваемыми с выше-стоящие структуры. Поэтому "что-то официальное и центральное" возможно будет только руками будующих админов, если им хватит желания и опыта. Пока что продолжаю бегать руками по ssh (puppet/ansible/salt/etc сейчас выбираю) и приводить машины в порядок. Иного, в отсутвии опыта в чужих головах, не дано. |
|
------- Отправлено: 21:27, 29-02-2020 | #5 |
Забанен Сообщения: 6345
|
Цитата lxa85:
|
|
Отправлено: 14:26, 01-03-2020 | #6 |
Необычный Сообщения: 4462
|
Профиль | Сайт | Отправить PM | Цитировать Цитата Jula0071:
Понятно, что это все решаемо (и уже частично решено), но официально чуть позже. |
|
------- Отправлено: 13:20, 02-03-2020 | #7 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
FreeBSD - Сменить shell для root не входя в root (su: /bin/bash: No such file or directory) | kaEwituS | Общий по FreeBSD | 6 | 19-03-2019 14:24 | |
Redhat/Fedora - CentOS 6.6 - не грузится рабочий стол под пользователем root | __sa__nya | Общий по Linux | 12 | 22-07-2015 21:53 | |
Работа ЖД после нехватки питания в системе | Xefan | Непонятные проблемы с Железом | 9 | 11-08-2009 15:19 | |
[решено] Работа с разделами под обычным пользователем | rrev | Общий по Linux | 5 | 20-03-2007 14:17 | |
Работа с IIS под пользователем | g_zaspa | Microsoft Windows 2000/XP | 0 | 13-02-2007 16:37 |
|