為什麼不應該以root使用者身份登入linux系統
在Linux上,根使用者相當於Windows上的管理員使用者。然而,雖然Windows長期以來的文化是普通使用者以管理員身份登入,但在Linux上不應該以root使用者身份登入。
微軟試圖用UAC來改進Windows的安全實踐——你不應該以root使用者身份登入Linux,因為你不應該在Windows上禁用UAC。
為什麼ubuntu使用sudo
阻止使用者以root身份執行是Ubuntu使用sudo而不是su的原因之一。預設情況下,Ubuntu上的root密碼是鎖定的,因此普通使用者如果不特意重新啟用root帳戶,就不能以root身份登入。
在其他Linux發行版上,歷史上可以從圖形登入螢幕以root身份登入並獲得root桌面,儘管許多應用程式可能會抱怨(甚至拒絕以root身份執行,就像VLC那樣)。來自Windows的使用者有時決定以root使用者身份登入,就像他們在windowsxp上使用管理員帳戶一樣。
使用sudo,您可以執行獲得root許可權的特定命令(以sudo為字首)。對於su,您可以使用su命令獲得一個根shell,在退出根shell之前(希望如此)執行您想要使用的命令。Sudo有助於實施最佳實踐,只執行需要以root身份執行的命令(如軟體安裝命令),而不將您留在root shell中,在那裡您可以以root身份登入或執行其他應用程式。
限制損害
當您以自己的使用者帳戶登入時,您執行的程式將被限制寫入系統的其餘部分–它們只能寫入您的主資料夾。在未獲得根許可權的情況下,無法修改系統檔案。這有助於保持計算機的安全。例如,如果Firefox瀏覽器有一個安全漏洞,而您以root使用者身份執行它,那麼惡意網頁將能夠寫入您系統上的所有檔案,讀取其他使用者帳戶主資料夾中的檔案,並用受損的命令替換系統命令。相反,如果你以有限的使用者帳戶登入,惡意網頁將無法執行這些操作–它只能在你的主資料夾中造成損害。雖然這仍然會導致問題,但這比讓整個系統受損要好得多。
這也有助於保護您免受惡意或只是普通的錯誤應用程式。例如,如果您執行的應用程式決定刪除它有權訪問的所有檔案(可能它包含一個討厭的bug),該應用程式將刪除您的主資料夾。這是不好的,但如果你有備份(你應該!),恢復主資料夾中的檔案相當容易。但是,如果應用程式具有root訪問許可權,它可能會刪除硬碟上的每個檔案,需要完全重新安裝。
細化許可權
雖然較舊的Linux發行版以root使用者身份執行整個系統管理程式,但現代Linux桌面使用PolicyKit對應用程式接收的許可權進行更細粒度的控制。
例如,軟體管理應用程式只能透過PolicyKit被授予在系統上安裝軟體的許可權。該程式的介面將以有限的使用者帳戶許可權執行,只有安裝了軟體的程式部分將獲得提升的許可權,而該程式部分將只能安裝軟體。
該程式將沒有對整個系統的完全root訪問許可權,如果在應用程式中發現安全漏洞,這將保護您。PolicyKit還允許有限的使用者帳戶在沒有獲得完全根訪問許可權的情況下進行一些系統管理更改,從而更容易作為有限的使用者帳戶執行,而且麻煩更少。
Linux將允許您以root使用者身份登入到圖形桌面,就像它允許您在系統執行時刪除硬碟上的每個檔案,或者將隨機噪聲直接寫入硬碟,消除檔案系統一樣——但這不是一個好主意。即使您知道自己在做什麼,系統也不是設計成以root使用者身份執行的——您繞過了許多使Linux如此安全的安全體系結構。
- 發表於 2021-04-09 02:41
- 閱讀 ( 37 )
- 分類:網際網路
你可能感興趣的文章
在linux上保護隱私的10大技巧
...哪些計算機打開了SSH埠。然後,他們向這些裝置發射普通使用者名稱和密碼,希望獲得訪問許可權。 ...
為什麼應該(不應該)雙引導linux的7個原因
...種誤解認為Linux是極其複雜的。當然,對於第一次使用的使用者來說,命令列可能有點讓人望而生畏,是的,與使用Windows或Mac相比,有時需要進行更多的調整。最終Linux僅僅是一個作業系統,可以簡單地使用它。 ...
linux命令參考備忘單
... 然而,即使對於長期使用者,也有太多的命令要提交到記憶體中。這就是為什麼我們準備了這個方便的Linux命令備忘單。如果您想執行其中的幾個,請檢視如何在帶螢幕的Linux終端上執行多工...
如何更改linux密碼
...。今天我們將向您展示如何通過幾個簡單的命令更改當前使用者的密碼、其他使用者的密碼和超級使用者的密碼。 ...
針對初學者系統管理員的10個linux強化提示
...管理工具。但無論系統設計得多麼好,其安全性都取決於使用者。 ...
如何使用nextcloud構建自己的雲檔案同步
...ash shell。 一個域名。 對於我們的示例,我們將建立幾個使用者名稱和密碼,包括: 伺服器的根使用者名稱和密碼。 具有管理許可權的常規伺服器使用者名稱和密碼。 Nextcloud使用者名稱和密碼。 為了本教程的目的,我們使用...
如何在linux上使用suid、sgid和sticky位
...和潛在的缺陷。 它們已經在使用了 將安全性構建到多使用者作業系統中會出現幾個難題。以密碼(看似)的基本概念為例。它們都必須儲存起來,這樣每次有人登入時,系統就可以將他鍵入的密碼與儲存的副本進行比較。顯...
linux下如何控制sudo訪問
...t。sudo還允許您使用粒度控制誰可以訪問root的功能。允許使用者完全訪問或允許他們使用一小部分命令。我們教你怎麼做。 sudo和root許可權 我們都聽說過(過於簡單化)Linux中的所有東西都是一個檔案。實際上,作業系統中幾...
為什麼不應該使用web瀏覽器的密碼管理器
...fari中的Apple ID)可以透過兩步身份驗證進行保護,以防止使用者登入。 但也有一些問題。web瀏覽器中的內建密碼管理器不如第三方密碼管理器強大和有用。他們正在迎頭趕上,但還沒有那麼好。這就是原因。 不僅僅是一個瀏覽...
如何在linux上編寫fstab檔案
...招致效能懲罰。 非同步:應該緩衝和最佳化檔案寫入。 使用者:任何使用者都可以掛載檔案系統。 Nouser:根使用者是唯一可以掛載此檔案系統的使用者。 預設值:這是一種指定一組公共設定的簡寫方法:rw、suid、dev、exec、auto...
