Risiko keamanan dalam penggunaan sehari-hari akun admin (bukan root)?

8

Satu-satunya hal yang membedakan akun admin saya dari akun normal adalah akun admin saya adalah anggota sudogrup dan dapat berjalan sudo. Apakah kurang aman menggunakan akun admin saya untuk pekerjaan sehari-hari? Jika ya, mengapa?

Asumsikan bahwa saya sangat berhati-hati di mana saya memasukkan kata sandi dan tahu apa yang dilakukan perintah sebelum menjalankannya, tentu saja.

Jika saya menggunakan akun non-admin normal untuk akun harian saya, ketika saya perlu menjalankan sesuatu sebagai root, saya akan sumasuk ke akun admin saya (bukan ke root, karena tidak memiliki kata sandi dan dinonaktifkan!) Dan di sana jalankan sudoperintah di admin shell; atau, saya akan beralih pengguna secara grafis. Jadi, jumlah perintah yang akan dijalankan adalah sama - menggunakan akun normal hanya berarti bahwa saya harus memasukkan kata sandi admin saya dua kali ketika menjalankan sesuatu sebagai root.

Jadi, haruskah pengguna tingkat lanjut melakukan pekerjaan sehari-hari pada akun normal daripada akun admin? Dan mengapa atau mengapa tidak?

Harap dicatat bahwa dengan "akun admin" yang saya maksud adalah akun dengan hak istimewa untuk digunakan sudountuk menjalankan perintah sebagai root - bukan akun root itu sendiri. Saya tidak pernah login sebagai root.

permissions login password sudo users Komandan Byte
sumber

Jawaban:

5

Tidak ada risiko saat tidak melakukan root

Dari pemahaman saya untuk seorang administrator, atau sudopengguna itu berfungsi seperti pengguna desktop biasa selama kita tidak mengatakansudo - jadi seharusnya tidak ada risiko tambahan.

Risiko tidak sengaja menjadi root

Juga benar bahwa pengguna yang berpotensi memiliki izin administrator perlu mengawasi sedikit lebih dekat di mana, kapan, atau siapa yang mereka berikan kata sandi.

Saya bisa membayangkan (meskipun saya tidak pernah bertemu satu) aplikasi jahat atau naskah meminta kata sandi Anda tanpa memberi tahu Anda untuk apa. Kemungkinan akan melakukan sesuatu dengan izin root, karena tidak memerlukan kata sandi Anda. Jika saya tidak tahu apa aplikasi ini saya tidak akan memberikannya password root saya.

Kami juga bertanggung jawab untuk mengabaikan izin root lagi setelah kami selesai. Itu selalu merupakan ide yang buruk untuk tetap root saat bekerja dengan aplikasi grafis seperti misalnya Nautilus.

Risiko kehilangan akses root

"Risiko" lain mungkin adalah Anda melakukan sesuatu yang buruk dengan akun Anda yang mencegah Anda masuk. Karena itu saya selalu membuat setidaknya dua pengguna administrator di kotak mana pun saya menginstal Ubuntu. Ini untuk kasus ada sesuatu yang merusak akun utama saya.

Takkat
sumber
Jawaban pertama yang sebenarnya menjawab pertanyaan itu. Terima kasih! Seperti yang saya katakan, saya (setidaknya berasumsi bahwa saya) berhati-hati di mana memasukkan kata sandi dan perintah apa yang harus dijalankan. Tapi saya tidak mengerti mengapa Anda membutuhkan dua akun admin ketika masih ada shell root mode pemulihan?
Byte Commander
@ByteCommander Itu hanya berfungsi jika Anda memiliki akses fisik ke komputer.
Jon Bentley
@ JonBentley saya punya. Ini tentang komputer di rumah saya dalam hal ini, itu berarti saya hanya memiliki akses fisik.
Byte Commander
Err, TIDAK. Saya mendapat serangan karena mendapatkan hak sudo yang saya jalankan dari akun yang menggunakannya.
Yosua
10

Akun yang dapat sudo secara teknis bisa seperti akun root (dengan asumsi sudoersperilaku konfigurasi default ) tetapi masih ada perbedaan yang cukup besar antara root dan akun yang dapatsudo :

  • Menghilangkan satu karakter secara tidak sengaja tidak akan menghancurkan Ubuntu. Mungkin. Pertimbangkan untuk mencoba menghapus ~/bintetapi sebenarnya berjalan rmberlawanan /bin. Jika Anda tidak root, risikonya lebih kecil.

  • sudomembutuhkan kata sandi, memberi Anda milidetik untuk menyelesaikan kesalahan. Ini juga berarti bahwa aplikasi lain tidak memiliki kemampuan untuk melakukan hal-hal root atas nama Anda.

Inilah sebabnya kami menyarankan orang tidak menggunakan akun root untuk pekerjaan sehari-hari.

Melindungi diri Anda dengan akun "admin" perantara lainnya (dan berjalan sebagai pengguna tanpa sudoakses) hanyalah lapisan lain. Mungkin juga harus berupa kata sandi yang berbeda.

Ini ekstra ribut dan (sesuai kondisi pertanyaan Anda) jika sesuatu dapat mengendus kata sandi pertama Anda, mereka mungkin bisa mendapatkan yang kedua dengan mudah. Jika Anda tidak pernah membuat kesalahan, dan tidak pernah menggunakan kata sandi yang kuat ini di tempat lain (tidak dapat ditebak atau dipecahkan), solusi ini mungkin tidak lebih aman. Jika seseorang menginginkan root, mereka akan boot ke recovery, chroot, atau menggunakan kunci pas .

Ada juga aliran pemikiran yang menunjukkan bahwa [untuk pengguna desktop non-perusahaan] tidak ada yang Anda nilai terlindungi dari pengguna Anda . Semua dokumen, foto, riwayat penelusuran web, dll. Dimiliki dan dapat diakses oleh Anda atau sesuatu yang berjalan seperti Anda. Sama seperti Anda dapat menjalankan sesuatu yang mencatat semua penekanan tombol Anda , melihat webcam Anda, mendengarkan mikrofon Anda, dll.

Sederhananya, malware tidak perlu root untuk menghancurkan kehidupan seseorang, atau memata-matai Anda.

Oli
sumber
1
Maaf, Anda mengerti pertanyaan saya tidak sepenuhnya benar. Saya tidak pernah menganggap login sebagai root. Opsi saya hanya masuk sebagai admin ( sudodll. Anggota grup) - - atau - - masuk seperti biasa / dibatasi pengguna biasanya dan grafis atau di terminal melalui suberalih ke admin (memasukkan kata sandi admin) dan kemudian menggunakan sudodari sana (memasukkan kata sandi admin lagi).
Byte Commander
Pada titik Anda tentang mendapatkan kata sandi kedua dengan mudah, itu tidak harus menjadi masalah. Saya mengelola mesin desktop saya dengan Ansible, yang terhubung ke akun admin melalui ssh. Akun pengguna tidak memiliki hak sudo, dan tidak perlu menggunakan akun admin secara fisik di desktop (sebenarnya itu tidak diinginkan, karena saya tidak ingin mesin saya berantakan secara individual dan jatuh tidak sinkron dengan beristirahat).
Jon Bentley
@ByteCommander Bagian kedua dari jawaban ini didasarkan pada apa yang Anda inginkan tetapi alasan untuk itu adalah ekstrapolasi dari argumen root-vs-admin normal. Ini lapisan lain dari hal yang sama.
Oli
2

Ya, ada resikonya. Apakah risiko itu cukup besar untuk Anda pedulikan atau tidak adalah masalah preferensi dan / atau kebijakan keamanan Anda.

Setiap kali Anda menggunakan komputer, Anda selalu berisiko dari penyerang. Bahkan jika Anda menjalankan pengaturan yang sangat aman, Anda tidak dapat melindungi dari kerentanan yang belum diketahui.

Jika Anda menggunakan akun tanpa hak sudo dan akun itu dikompromikan karena penggunaan itu (misalnya keylogger mengambil kata sandi Anda), maka itu menambah batasan pada kerusakan yang dapat dilakukan. Jika seorang penyerang kompromi akun dengan hak sudo maka mereka juga mendapatkan hak istimewa itu.

Pada kebanyakan sistem, menggunakan sudo akan menyebabkan kata sandi Anda diingat selama 15 menit secara default, yang merupakan faktor risiko lain, kecuali jika Anda mengubah pengaturan itu.

Jon Bentley
sumber
Akan menyebutkan caching hak-untuk-meninggikan sebagai risiko potensial : skrip yang tidak diketahui berpotensi berisi perintah sudo yang tidak akan tertandingi, tetapi kecuali jika penulisnya cukup yakin Anda akan mengeluarkan perintah sudo baru-baru ini, di keadaan normal itu akan meminta kata sandi yang seharusnya menjadi peringatan merah bahwa sesuatu yang aneh sedang terjadi.
TripeHound
@ TripeHound Sebagai alternatif, Anda menjauh dari komputer untuk istirahat di kamar mandi, baru saja memberikan perintah sudo, dan orang lain masuk. Saya tidak melihat perbedaan dalam risiko antara potensial atau sebaliknya - kata risiko hanya menyiratkan bahwa ada beberapa probabilitas tidak nol dari hasil yang tidak diinginkan. Ya, dalam keadaan normal Anda akan melihat permintaan kata sandi. Apakah penyerang Anda, yang menanam skrip itu pada 1000 komputer dan tidak memiliki target spesifik, peduli?
Jon Bentley
0

Jawaban saya berdasarkan opini, karena semuanya harus dibuktikan secara matematis, dan dari situ saya tidak tahu. ;)

Dua akun satu dengan grup admdan sudo, berarti satu akun memiliki hak untuk menjalankan perintah dengan sudohak. Satu tanpa hak istimewa ini.

  • Jika Anda telah memecahkan kata sandi untuk akun yang tidak memiliki hak istimewa, maka Anda masih harus memecahkan kata sandi untuk akun istimewa tersebut sekarang. -> Keuntungan dibandingkan dengan hanya satu akun
  • Jika Anda telah memecahkan akun istimewa. -> Tidak ada keuntungan dibandingkan dengan hanya satu akun

Probabilitasnya adalah 50% jika Anda tidak menghormati kecerdasan penyerang.

Dari sudut pandang saya, secara teoretis sedikit manfaat keamanan dan lebih dimiliki oleh bidang teori probabilitas. Tetapi hilangnya kenyamanan meningkat secara tidak proporsional. Itu tergantung pada seberapa pintar penyerang itu. Jangan meremehkan kecerdasan ini. Itu rasa aman yang salah.

Dengan kata lain, tidak, itu tidak memberi Anda manfaat yang terukur, tetapi Anda kehilangan banyak kenyamanan. Pada akhirnya semua orang harus memutuskan sendiri.

AB
sumber
0

Saya menjalankan persis seperti itu: Satu pengguna di mana saya melakukan hal-hal pengguna saya dan satu pengguna di mana saya hanya melakukan admin hal-hal yang tidak ada barang-barang pengguna. Bahkan prompt perintah berbeda: pengguna memiliki prompt hijau dan admin yang merah!

Mengapa?

Pengguna memiliki pengaturannya sendiri untuk semua aplikasi yang saya gunakan terpisah dari pengguna admin, yang memungkinkan Anda untuk:

  1. Debug apakah masalah terkait pengguna atau terkait sistem
  2. Jadikan akun admin sebagai akun pengguna cadangan alih-alih akun tamu dan akun root jika ada yang salah dengan pengaturan pengguna Anda dan Anda tidak dapat masuk lagi.
  3. simpan dokumen admin dan dokumen pengguna dipisahkan di direktori home masing-masing jika Anda memilih untuk melakukannya .
  4. Tidak ada efek saat mengetik kecelakaan sudosebelum perintah.
  5. Tidak ada cara untuk benar-benar melihat apa yang seharusnya tidak dilihat oleh pengguna normal.
  6. Tidak mungkin mengenai bug eskalasi hak istimewa pengguna. (ada beberapa di masa lalu)
  7. Jadilah "pengguna biasa" sama seperti semua pengguna lain di komputer Anda dan ketahui kelebihan / kekurangannya.
Fabby
sumber
Oke, tetapi memiliki "admin dokumen" (yang saya tidak benar-benar miliki) dan "dokumen pengguna" dipisahkan adalah kelemahan besar menurut saya, karena saya selalu ingin memiliki semua data saya di satu tempat (ditambah cadangan tentu saja). Sama untuk pengaturan. Mereka pada dasarnya sama, saya bahkan menggunakan profil Firefox / Thunderbird yang sama dari direktori bersama. Dan ada akun pengguna normal lainnya dari anggota keluarga dll, juga, saya hanya berbicara tentang milik saya. Saya menanti penjelasan selanjutnya seperti yang dijanjikan pada (4.), tetapi Anda belum benar-benar meyakinkan saya, tetapi sebaliknya. : - /
Byte Commander
Sedang sibuk dengan RL. Sepertinya Anda sudah memiliki jawaban yang diterima, tetapi menambahkan beberapa alasan lagi seperti yang dijanjikan! ;-)
Fabby
1
Sekarang layak dikunjungi! : D
Byte Commander