Rischio per la sicurezza nell'uso quotidiano di un account amministratore (non root)?

8

L'unica cosa che distingue il mio account amministratore dai normali account è che il mio account amministratore è un membro del sudogruppo e può essere eseguito sudo. È meno sicuro utilizzare il mio account amministratore per il lavoro quotidiano? Se si, perché?

Supponiamo che io sia molto attento a dove inserisco la mia password e so cosa fa un comando prima di eseguirla, ovviamente.

Se avessi usato un normale account non amministratore per il mio account giornaliero, quando avessi bisogno di eseguire qualcosa come root, avrei suinserito il mio account amministratore (non in root, dato che non ha password ed è disabilitato!) E lì eseguo il sudocomando nel shell di amministrazione; o, cambierei gli utenti graficamente. Pertanto, la quantità di comandi che verrebbero eseguiti è la stessa: l'utilizzo di un account normale significherebbe solo che devo inserire la mia password di amministratore due volte quando eseguo qualcosa come root.

Quindi, gli utenti avanzati dovrebbero lavorare quotidianamente su un account normale anziché su un account amministratore? E perché o perché no?

Si noti che per "account amministratore" intendo un account con privilegio da utilizzare sudoper eseguire comandi come root, non l'account root stesso. Non eseguo mai l'accesso come root.

permissions  login  password  sudo  users 
Byte Commander
fonte

Risposte:

5

Nessun rischio pur non essendo root

Secondo la mia comprensione per un amministratore o sudoutente, funziona come un normale utente desktop purché non lo diciamosudo , quindi non dovrebbero esserci ulteriori rischi.

Rischio di diventare accidentalmente radice

È anche vero che un utente che ha potenzialmente le autorizzazioni di amministratore deve fare attenzione a dove, quando o chi rinunciare alla propria password.

Posso immaginare (anche se non ne ho mai incontrato uno) un'applicazione malvagia o uno script che ti chieda la password senza dirti per cosa. Probabilmente eseguirà qualcosa con i permessi di root, altrimenti non avrebbe bisogno della tua password. Se non so che cosa fa questa applicazione, semplicemente non darei la mia password di root.

Siamo inoltre responsabili di revocare nuovamente l'autorizzazione di root al termine. È sempre una cattiva idea rimanere root mentre si lavora con un'applicazione grafica come ad esempio Nautilus.

Rischio di perdere l'accesso alla radice

Un altro "rischio" potrebbe essere che tu faccia qualcosa di male con il tuo account che ti impedisce di accedere. Pertanto creo sempre almeno due utenti amministratore su qualsiasi casella in cui installo Ubuntu. Questo è per il caso qualcosa rompe il mio account principale.

Takkat
fonte
La prima risposta che risponde effettivamente alla domanda. Grazie! Come ho detto, io (almeno presumo che io) stia attento a dove inserire le mie password e quali comandi eseguire. Ma non capisco perché hai bisogno di due account di amministratore quando c'è ancora la shell di root in modalità di recupero?
Byte Commander
@ByteCommander Funziona solo se si ha accesso fisico al computer.
Jon Bentley,
@JonBentley. Si tratta del mio computer di casa in questo caso, ciò significa che ho solo accesso fisico.
Byte Commander
Err, NO. Ho un attacco per ottenere i privilegi di sudo da solo eseguendo da un account che li utilizza.
Giosuè,
10

Un account in grado di eseguire sudo è tecnicamente in grado quanto l'account root (presupponendo un sudoerscomportamento di configurazione predefinito ) ma esiste ancora una differenza abbastanza grande tra root e un account che puòsudo :

  • L'omissione accidentale di un singolo personaggio non distruggerà Ubuntu. Probabilmente. Prendi in considerazione l'idea di eliminare, ~/binma di correre rmcontro /bin. Se non sei root, c'è meno rischio.

  • sudorichiede una password, che ti dà quei millisecondi per risolvere eventuali errori. Significa anche che altre applicazioni non hanno la possibilità di fare cose rooty per tuo conto.

Questo è il motivo per cui raccomandiamo alle persone di non usare l'account root per il lavoro quotidiano.

Isolarsi con un altro account "admin" intermedio (ed eseguire come utente senza sudoaccesso) è solo un altro livello. Probabilmente dovrebbe anche essere una password diversa.

Tuttavia, è un problema in più e (in base alle condizioni della tua domanda) se qualcosa può annusare la tua prima password, probabilmente possono ottenere la seconda altrettanto facilmente. Se non hai mai commesso errori e non hai mai usato queste password complesse altrove (non indovinabili o crackabili), questa soluzione probabilmente non è più sicura. Se qualcuno vuole il root si avvierà in recovery, chroot o userà una chiave inglese .

C'è anche una scuola di pensiero che sottolinea che [per gli utenti desktop non aziendali] nulla che apprezzi sia protetto dal tuo utente . Tutti i tuoi documenti, foto, cronologia di navigazione web, ecc. Sono di tua proprietà e accessibili da te o da qualcosa che funziona come te. Proprio come puoi eseguire qualcosa che registra tutte le sequenze di tasti, visualizza la tua webcam, ascolta sul tuo microfono, ecc.

In poche parole, il malware non ha bisogno di root per rovinare la vita di qualcuno o per spiarti.

Oli
fonte
1
Scusa, hai capito che la mia domanda non è del tutto corretta. Non ho mai considerato l'accesso come root. Le mie opzioni sono solo l'accesso come admin ( sudoecc. Membro del gruppo) - - o - - l'accesso come utente normale / limitato di solito e graficamente o in un terminale supassando all'amministratore (immettendo la password dell'amministratore) e quindi utilizzando sudoda lì (immettendo password admin di nuovo).
Byte Commander
Per quanto riguarda il fatto di ottenere la seconda password con la stessa facilità, non è così. Gestisco i miei computer desktop con Ansible, che si collega a un account amministratore tramite ssh. Gli account utente non dispongono dei privilegi di sudo e non è necessario utilizzare fisicamente un account amministratore sul desktop (in realtà non è desiderabile, perché non voglio che le mie macchine vengano incasinate individualmente e non siano sincronizzate con riposo).
Jon Bentley,
@ByteCommander La seconda metà della risposta si basa su quello che si voleva, ma le ragioni per esso sono un'estrapolazione dal normale argomento di root-vs-admin. È un altro strato della stessa cosa.
Oli
2

Sì, ci sono dei rischi. Indipendentemente dal fatto che tali rischi siano abbastanza grandi per te, è una questione di preferenza e / o politica di sicurezza.

Ogni volta che usi un computer, sei sempre a rischio di aggressori. Anche se esegui un'installazione estremamente sicura, non puoi proteggerti da vulnerabilità ancora sconosciute.

Se stai usando un account senza i privilegi di sudo e quell'account è compromesso a causa di quell'uso (es. Un keylogger prende la tua password), allora ciò aggiunge una limitazione al danno che può essere fatto. Se un utente malintenzionato compromette un account con privilegi di sudo, ottiene anche questi privilegi.

Sulla maggior parte dei sistemi, l'uso di sudo farà ricordare la password per 15 minuti per impostazione predefinita, che è un altro fattore di rischio, a meno che non si modifichi tale impostazione.

Jon Bentley
fonte
Stavo per menzionare la memorizzazione nella cache del diritto all'elevazione come un potenziale rischio: uno script sconosciuto potrebbe potenzialmente contenere un comando sudo che rimarrà incontrastato, ma a meno che lo scrittore non sia moderatamente sicuro di aver emesso un comando sudo di recente, in circostanze normali richiederebbe la password che dovrebbe essere un allarme rosso che sta accadendo qualcosa di strano.
TripeHound,
@TripeHound In alternativa, ti allontani dal computer per una pausa bagno, dopo aver appena autorizzato un comando sudo, e qualcun altro interviene. Non vedo una distinzione nei rischi tra potenziale o altro - la parola rischio implica semplicemente che c'è qualche probabilità diversa da zero di un risultato indesiderabile. Sì, in circostanze normali noteresti la richiesta della password. Il tuo aggressore, che ha installato lo script su 1000 computer e non ha in mente un obiettivo specifico, se ne frega?
Jon Bentley,
0

La mia risposta basata sull'opinione, perché tutto dovrebbe essere provato matematicamente e da ciò non ne ho idea. ;)

Due account uno con gruppi adme sudo, significa che un account ha il diritto di eseguire comandi con sudodiritti. Uno senza questi privilegi.

  • Se hai decifrato la password per l'account non privilegiato, ora devi ancora decifrare la password per l'account privilegiato. -> Vantaggio rispetto a un solo account
  • Se hai violato l'account privilegiato. -> Nessun vantaggio rispetto a un solo account

La probabilità è del 50% se non rispetti l'intelligenza dell'attaccante.

Dal mio punto di vista, è teoricamente un piccolo vantaggio in termini di sicurezza e appartiene più al regno della teoria della probabilità. Ma la perdita di convenienza aumenta in modo sproporzionato. Dipende da quanto sia intelligente l'attaccante. Non sottovalutare questa intelligenza. Questo è un falso senso di sicurezza.

In altre parole, no, non ti porta alcun vantaggio misurabile, ma perdi molta convenienza. Alla fine ognuno deve decidere da solo.

AB
fonte
0

Corro esattamente in questo modo: un utente in cui eseguo le mie attività utente e un utente in cui eseguo solo attività amministrative e non utente. Anche i prompt dei comandi sono diversi: gli utenti hanno un prompt verde e gli amministratori uno rosso!

Perché?

L'utente aveva le proprie impostazioni per tutte le applicazioni che utilizzo separatamente dall'utente admin, che consente di:

  1. Eseguire il debug se un problema è relativo all'utente o al sistema
  2. Avere l'account admin come account utente di backup anziché l'account guest e l'account root se qualcosa va davvero storto con le impostazioni utente e non è possibile accedere più.
  3. mantenere i documenti di amministrazione e i documenti dell'utente separati nelle rispettive home directory se si sceglie di farlo .
  4. Nessun effetto quando si digita un accidentale sudoprima di un comando.
  5. Non c'è modo di vedere effettivamente ciò che un normale utente non dovrebbe vedere.
  6. Nessun modo per colpire un bug di escalation di privilegi utente. (ce ne sono stati alcuni in passato)
  7. Sii un "utente normale" proprio come tutti gli altri utenti del tuo computer e conosci quali sono i vantaggi / gli svantaggi.
fabby
fonte
Va bene, ma avere "documenti di amministrazione" (che non ho davvero) e "documenti degli utenti" separati è un grande svantaggio secondo me, poiché voglio sempre avere tutti i miei dati in un unico posto (più i backup ovviamente). Lo stesso vale per le impostazioni. Sono sostanzialmente uguali, utilizzo persino gli stessi profili Firefox / Thunderbird da una directory condivisa. E ci sono anche altri account utente normali di altri membri della famiglia, ecc. Sto solo parlando dei miei. Non vedo l'ora di ulteriori spiegazioni come promesso in (4.), ma non mi hai ancora convinto, anzi il contrario. : - /
Byte Commander
Sono stato impegnato con RL. Sembra che tu abbia già una risposta accettata, ma ha aggiunto alcuni altri motivi come promesso! ;-)
Fabby,
1
Ora vale la pena! : D
Comandante di byte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.