Zagrożenie bezpieczeństwa w codziennym korzystaniu z konta administratora (nie root)?

8

Jedyne, co odróżnia moje konto administratora od zwykłych kont, to fakt, że moje konto administratora jest członkiem sudogrupy i może działać sudo. Czy korzystanie z mojego konta administratora do codziennej pracy jest mniej bezpieczne? Jeśli tak, dlaczego?

Załóżmy, że jestem bardzo ostrożny, gdy wprowadzam hasło i oczywiście wiem, co robi polecenie przed jego wykonaniem.

Gdybym używał zwykłego konta innego niż administrator dla mojego codziennego konta, kiedy musiałem uruchomić coś jako root, zrobiłbym to suna moim koncie administratora (nie na root, ponieważ to nie ma hasła i jest wyłączone!) I tam uruchom sudopolecenie w powłoka administracyjna; lub zmieniłbym użytkowników graficznie. Tak więc liczba poleceń, które można uruchomić, jest taka sama - użycie zwykłego konta oznaczałoby po prostu, że muszę dwukrotnie wpisać hasło administratora podczas uruchamiania czegoś jako root.

Czy więc zaawansowani użytkownicy powinni codziennie pracować na zwykłym koncie zamiast na koncie administratora? A dlaczego, a dlaczego nie?

Pamiętaj, że przez „konto administratora” rozumiem konto z uprawnieniem sudodo uruchamiania poleceń jako root - a nie samo konto root. Nigdy nie loguję się jako root.

permissions login password sudo users Bajt Dowódca
źródło

Odpowiedzi:

5

Bez ryzyka bez rootowania

Z mojego zrozumienia dla administratora lub sudoużytkownika, działa tak jak zwykły użytkownik pulpitu, o ile nie mówimysudo - więc nie powinno być dodatkowego ryzyka.

Ryzyko przypadkowego rootowania

Prawdą jest również to, że użytkownik posiadający uprawnienia potencjalnie administratora może uważniej obserwować, gdzie, kiedy lub komu podaje swoje hasło.

Mogę sobie wyobrazić (choć nigdy go nie spotkałem) złą aplikację lub skrypt proszący o hasło bez podania przyczyny. Najprawdopodobniej wykona coś z uprawnieniami roota, ponieważ w przeciwnym razie nie potrzebuje hasła. Jeśli nie wiem, co robi ta aplikacja, po prostu nie podałbym jej hasła roota.

Jesteśmy również odpowiedzialni za ponowne odrzucenie uprawnień roota po zakończeniu. Zawsze źle jest pozostać rootem podczas pracy z aplikacją graficzną, taką jak np. Nautilus.

Ryzyko utraty dostępu do konta root

Innym „ryzykiem” może być to, że robisz coś złego ze swoim kontem, co uniemożliwia Ci zalogowanie się. Dlatego zawsze tworzę co najmniej dwóch administratorów na każdym urządzeniu, na którym instaluję Ubuntu. Tak jest w przypadku, gdy coś łamie moje główne konto.

Takkat
źródło
Pierwsza odpowiedź, która faktycznie odpowiada na pytanie. Dzięki! Jak powiedziałem, (przynajmniej zakładam, że) jestem ostrożny, gdzie wprowadzić moje hasła i jakie polecenia uruchomić. Ale nie rozumiem, dlaczego potrzebujesz dwóch kont administratora, gdy nadal istnieje powłoka root trybu odzyskiwania?
Bajt Dowódca
@ByteCommander Działa to tylko wtedy, gdy masz fizyczny dostęp do komputera.
Jon Bentley,
@JonBentley Mam. W tym przypadku chodzi o mój komputer domowy, co oznacza, że ​​mam tylko fizyczny dostęp.
Bajt Dowódca
Err, NO. Mam atak na uzyskanie uprawnień sudo, uruchamiając się z konta, które z nich korzysta.
Joshua,
10

Konto, które może sudo, jest technicznie tak samo skuteczne jak konto root (zakładając domyślne sudoerszachowanie konfiguracji), ale nadal istnieje dość duża różnica między kontem root a kontem, które mogąsudo :

  • Przypadkowe pominięcie jednej postaci nie zniszczy Ubuntu. Prawdopodobnie. Za trudny do usunięcia ~/bin, ale faktycznie działa rmprzeciwko /bin. Jeśli nie jesteś rootem, ryzyko jest mniejsze.

  • sudowymaga hasła, co daje milisekundy na znalezienie błędów. Oznacza to również, że inne aplikacje nie mają możliwości robienia rzeczy w Twoim imieniu.

Dlatego zalecamy, aby ludzie nie korzystali z konta root do codziennej pracy.

Izolowanie się za pomocą innego pośredniego konta „admin” (i działanie jako użytkownik bez sudodostępu) to tylko kolejna warstwa. Prawdopodobnie powinno to być także inne hasło.

Jest to jednak dodatkowe zamieszanie i (zgodnie z warunkami twojego pytania), jeśli coś może wykryć twoje pierwsze hasło, prawdopodobnie dostanie drugie równie łatwo. Jeśli nigdy nie popełniłeś błędów i nigdy nie użyjesz tych silnych haseł nigdzie indziej (nie można ich zgadnąć ani zgadnąć), to rozwiązanie prawdopodobnie nie jest już bezpieczniejsze. Jeśli ktoś chce rootować, uruchomi się do odzyskiwania, chroot lub użyje klucza .

Jest też szkoła myślenia, która wskazuje, że [dla użytkowników komputerów stacjonarnych non-Enterprise] nic Ci wartość jest chroniony przed swoim użytkownikiem . Wszystkie twoje dokumenty, zdjęcia, historia przeglądania stron internetowych itp. Są własnością i są dostępne dla Ciebie lub dla Ciebie. Tak jak można uruchomić coś, rejestruje wszystkie swoje klawiszy, postrzega swoją kamerę, nasłuchuje na mikrofon itp

Mówiąc najprościej, złośliwe oprogramowanie nie potrzebuje roota, aby zrujnować czyjeś życie lub cię szpiegować.

Oli
źródło
1
Przepraszam, zrozumiałeś, że moje pytanie nie jest całkowicie poprawne. Nigdy nie rozważałem zalogowania się jako root. Moje opcje to tylko logowanie się jako administrator ( sudoitd. Członek grupy) - - lub - - logowanie jako zwykły / ograniczony użytkownik zwykle i graficznie lub w terminalu poprzez suprzełączenie na administratora (wprowadzenie hasła administratora), a następnie użycie sudostamtąd (wprowadzenie hasło administratora ponownie).
Bajt Dowódca
Jeśli chodzi o takie samo uzyskanie drugiego hasła, nie musi tak być. Zarządzam komputerami za pomocą Ansible, który łączy się z kontem administratora za pośrednictwem ssh. Konta użytkowników nie mają uprawnień sudo i nie ma potrzeby fizycznego korzystania z konta administratora na pulpicie (w rzeczywistości jest to niepożądane, ponieważ nie chcę, aby moje komputery były pomieszane indywidualnie i nie były zsynchronizowane z reszta).
Jon Bentley,
@ByteCommander Druga połowa odpowiedź opiera się na tym, co chcesz, ale powody do niego stanowią ekstrapolacja od normalnego root-vs-admin argument. To kolejna warstwa tego samego.
Oli
2

Tak, istnieje ryzyko. To, czy ryzyko jest wystarczająco duże, aby się nim przejmować, jest kwestią preferencji i / lub polityki bezpieczeństwa.

Za każdym razem, gdy korzystasz z komputera, zawsze jesteś narażony na ataki. Nawet jeśli uruchomisz wyjątkowo bezpieczną konfigurację, nie możesz zabezpieczyć się przed nieznanymi dotąd lukami.

Jeśli korzystasz z konta bez uprawnień sudo, a konto to jest zagrożone z powodu takiego użycia (np. Keylogger chwyta twoje hasło), oznacza to ograniczenie szkód, które można wyrządzić. Jeśli atakujący naruszy konto z uprawnieniami sudo, wówczas również je zdobędzie.

W większości systemów korzystanie z sudo spowoduje domyślne zapamiętanie hasła przez 15 minut, co jest kolejnym czynnikiem ryzyka, chyba że zmienisz to ustawienie.

Jon Bentley
źródło
Chciałem wspomnieć o buforowaniu prawa do podniesienia uprawnień jako potencjalnym ryzyku: nieznany skrypt może potencjalnie zawierać polecenie sudo, które nie zostanie zakwestionowane, ale chyba, że ​​pisarz nie byłby umiarkowanie pewny, że wydałeś ostatnio polecenie sudo, w w normalnych okolicznościach poprosiłby o hasło, które powinno być czerwonym ostrzeżeniem, że dzieje się coś dziwnego.
TripeHound,
@TripeHound Alternatywnie, odsuwasz się od komputera na przerwę w łazience, właśnie autoryzowałeś polecenie sudo i ktoś inny wkracza. Nie widzę różnicy w ryzyku między potencjalnym lub innym - słowo ryzyko po prostu sugeruje, że istnieje pewne niezerowe prawdopodobieństwo niepożądanego wyniku. Tak, w normalnych okolicznościach zauważysz prośbę o hasło. Czy twój napastnik, który umieścił ten skrypt na 1000 komputerach i nie ma na myśli konkretnego celu, nie przejmuje się tym?
Jon Bentley,
0

Moja oparta na opiniach odpowiedź, ponieważ wszystko musiałoby zostać udowodnione matematycznie i z tego nie mam pojęcia. ;)

Dwa konta, jedno z grupami, admi sudooznacza, że ​​jedno konto ma prawo do wykonywania poleceń z sudouprawnieniami. Jeden bez tych przywilejów.

  • Jeśli złamałeś hasło do konta nieuprzywilejowanego, nadal musisz złamać hasło do konta uprzywilejowanego. -> Przewaga w porównaniu z tylko jednym kontem
  • Jeśli złamałeś uprzywilejowane konto. -> Brak korzyści w porównaniu z tylko jednym kontem

Prawdopodobieństwo wynosi 50%, jeśli nie uszanujesz inteligencji atakującego.

Z mojego punktu widzenia jest to teoretycznie niewielka korzyść dla bezpieczeństwa i należy raczej do dziedziny teorii prawdopodobieństwa. Ale utrata wygody wzrasta nieproporcjonalnie. To zależy od inteligencji atakującego. Nie lekceważ tej inteligencji. To fałszywe poczucie bezpieczeństwa.

Innymi słowy, nie, nie przynosi wymiernych korzyści, ale tracisz wiele wygody. Na koniec każdy musi sam zdecydować.

AB
źródło
0

Działam dokładnie w ten sposób: jeden użytkownik, w którym robię swoje rzeczy użytkownika, i jeden użytkownik, w którym robię tylko rzeczy administracyjne, a nie rzeczy użytkownika. Nawet monity poleceń są różne: użytkownicy mają zielony monit i administrują czerwonym!

Dlaczego?

Użytkownik miał własne ustawienia dla wszystkich aplikacji, z których korzystam, niezależnie od użytkownika administratora, co pozwala na:

  1. Debuguj, czy problem dotyczy użytkownika, czy systemu
  2. Miej konto administratora jako zapasowe konto użytkownika zamiast konta gościa i konta root, jeśli coś naprawdę pójdzie nie tak z ustawieniami użytkownika i nie możesz się już zalogować.
  3. przechowuj dokumenty administratora i dokumenty użytkownika oddzielnie w odpowiednich katalogach domowych, jeśli zdecydujesz się to zrobić .
  4. Brak efektu podczas wpisywania przypadkowego sudoprzed poleceniem.
  5. Nie ma sposobu, aby zobaczyć, czego normalny użytkownik nie powinien zobaczyć.
  6. Nie ma możliwości trafienia w błąd eskalacji uprawnień użytkownika. (w przeszłości było ich kilka)
  7. Bądź „zwykłym użytkownikiem”, tak jak wszyscy inni użytkownicy komputera i wiedz, jakie są zalety / wady.
Fabby
źródło
Okej, ale oddzielenie „dokumentów administracyjnych” (których tak naprawdę nie mam) i „dokumentów użytkownika” jest moim zdaniem dużym minusem, ponieważ zawsze chcę mieć wszystkie dane w jednym miejscu (plus oczywiście kopie zapasowe). To samo dotyczy ustawień. Są w zasadzie takie same, nawet korzystam z tych samych profili Firefox / Thunderbird ze wspólnego katalogu. Są też inne zwykłe konta użytkowników od innych członków rodziny itp. Mówię tylko o moich własnych. Nie mogę się doczekać dalszych wyjaśnień, jak obiecano w (4.), ale tak naprawdę mnie jeszcze nie przekonałeś, a wręcz przeciwnie. : - /
Byte Commander
Byłem zajęty RL. Wygląda na to, że masz już zaakceptowaną odpowiedź, ale dodałem więcej powodów, jak obiecano! ;-)
Fabby
1
Teraz warto się udać! : D
Byte Commander