Root

Gentoo

Sziasztok!

Nem először akadt gondom ezzel a root-vagy-nem-root kérdéskörrel. Szeretnék mindent tisztázni, ezért nyitottam ezt a topikot.

Nos, Gentoo-n alapértelmezésben root-ként szoktam belépni, minden ikon-, ablak-, stb beállításom a roothoz van rendelve. Nemrég valaki elmagyarázta, hogy az aMule fájlcserélőt miért nem biztonságos rootként futtatni. Azóta, ha használni szeretném, bejelentkezek átlagjúzerként egy beültetett ablakban. De továbbra is rootként vagyok fent. Most már sajnálnám a beállításaimat.

Van, amit rootként nem lehet futtatni, de nekem kellene mindennapos használatra, ezeket nem szeretném beültetett ablakban használni.

Most mit lehet tenni? Álljak neki testreszabni az átlagfelhasználós profilomat? Vagy hogy tegyem biztonságossá a rootként való felhasználást? Vagy mit csináljak?

Minden javaslatot örömmel veszek, és köszönök előre is!

  • 2357 megtekintés

( KKata | 2006. 09. 10., v – 13:44 )

Húha, ezért már sokan kikaptak itt: mi az, hogy rootként használod a rencert? :)
Tényleg nem javallott (hogy finoman mondjam).
A root profilját talán meg lehet próbálni bemásolgatni (javaslatom: egyenként) a sima user /home-jába (mármint a ponttal kezdődő rejtett könyvtárakat és fájlokat).
Én még live-cd-n is csinálok sima usert, ha netre akarok menni valamiért; paranoia rulz ;)

( trey | 2006. 09. 10., v – 13:51 )

Alapvető biztonsági irányelv, hogy semmilyen operációs rendszert sem használunk root-ként, csak abban az esetben, ha valamilyen rendszeradminisztrációs beállítást végzünk. Ennek több oka is van:

  • a rendszereken a leggyakoribb hiba az user error (pl. véletlenül törölhetsz valamit pl. fontos rendszerfile-t)
  • ha a root-ként futtatott alkalmazásodban hiba van, és azt kihasználják, akkor a támadó által futtatott kód, parancs a rendszergazda nevében hajtódik végbe (pl. egy böngészőhiba kihasználása, majd tetszőleges kód végrehajtása user vs. root nevében. egyik rosszabb mint a másik, de azért az előbbi a jobb)
  • stb.

Hogy maradjunk a gdesklets-nél. A gdesklets-nek van rss parser-e. Egy rosszindulatú oldal speciálisan formázott rss-ét feldolgozva az hibát okozhat az alkalmazásban. Ha az alkalmazés nem ellenőrzi megfelelően a bemenetet, az ahhoz vezethet, hogy távolról kódot lehet végrehajtani a rendszereden. Ha root-ként fut a gdesklets, akkor a root nevében hajtódik végre a kód -> spyware, rootkit, stb.

Interneten nézz körül, számos cikk van erről.

--
trey @ gépház

( Oregon (nem ellenőrzött) | 2006. 09. 10., v – 13:59 )

haaaaaaaaaaat apam egy gentoo-s fasza gyerek akinek root a usere... ehhhhheeee :)
es mi a jelszavad? root? :)

Ugyan, kérlek: toor123 :D Nem, amúgy nem ez, de nem is túlzottan komoly. A Gentoo-t azért tettem fel, mert SuSe-n sosem tanultam volna meg normálisan Linuxozni, itt meg muszáj. Szóval még tanulok, de már egészen sokat tudok :) Mindezt a hup-nak ÉS a Gentoo-nak köszönhetem.

Teljesen igazad van. Csak tudod anno ennel 100x osszetettebbet nem mertem itt megkerdezni, nehogy kirohogjenek. Emlexem eleg magas szintu volt itt a regemmel egyidoben a szakmai szinvonal. mar hasznaltam 1 eve Linuxot es amirol itt dumaltak felsem fogtam.
Nem beszelve arrol, hogy anno a #linux.hu csati bannolt, ha root-kent erkeztel. Azt hiszem jogosan.
Anno aki root-kent hasznalta a Linux-at azt szet alaztak.
Szerintem ne legyen ez most se maskent, kulonben (kis tulzassal) lehet, hogy a Win sorsa jut biztonsagi szinten a Linux.

( Marcell | 2006. 09. 10., v – 14:11 )

Nah, átmásoltam mindent, de sajna a default desktop fogadott. Nem baj, megoldom. De hogyhogy nem enged sudo-zni? Azt mondja, hogy nem vagyok a "sudoer"-ek között...

Hmmm... nem ment zökkenőmentesen.

Az elsőnél (persze rootról csináltam) kihagyott pár mappát, köztük a Desktopot is.

A másodiknál azt mondta, hogy "érvénytelen karakterlánc: marcell" nyilván az első user-t hagyni kellett volna, h user... de nem megy úgy se, akkor azt írja: "érvénytelen karakterlánc: user"

A különbség röviden: sudo-val csak alkalmilag kapsz root jogokat (egy parancs erejéig, illetve 5 perc az alapértelmezett, ha jól emlékszem), és az azonosításhoz a saját (user) jelszavadat kell megadni.
pl. sudo emerge rosegarden :)
A su - pedig indít egy shellt a root felhasználó- és csoportazonosítójával, és amíg be nem zárod, rootként ügyködhetsz benne.

Nekem az utóbbi szimpatikusabb.

Az /etc/sudoers-ben nálam van egy ilyen sor:


# Uncomment to allow people in group wheel to run all commands
# %wheel ALL=(ALL) ALL

tehát ha engedélyezni akarod, hogy a 'wheel' csoport tagjai tudjanak
sudo-val minden parancsot futtatni, akkor kiveszed a hashmarkot a sor elől.
(nano -w /etc/sudoers

Akármelyik megoldás mellett döntesz, legyél tagja a 'wheel' csoportnak.

( Marcell | 2006. 09. 10., v – 15:28 )

Most a sudoers-fájllal mit kell csinálni? Mit írjak bele, ha azt akarom, h a /home/marcell-on a user tudjon sudo-zni, vagy su-zni? (még mindig nem tom, mi az)

( e66 | 2006. 09. 11., h – 10:51 )

Na most rúgjatok seggbe, hogy menjek man-t olvasni, ha hülyeséget kérdezek, de a 

sudo -s

is azt eredményezi, hogy addig garázdálkodok root jogokkal amíg akarok, én ezt szoktam használni, csak azért végülis, mert az Ubuntuban láttam, hogy ez az alapértelmezett. De mi szól a 

sudo

és mi a 

su

mellett? Én olyasmire tippelek, hogy ha valaki megszerzi a user jelszót akkor végülis tud root jogot is szerezni, vagy nem így van? Mert ezek szerint a 

su

egészségesebb..

"Trollhammaren sveper igen..."

( FoREE | 2006. 09. 11., h – 12:39 )

valoban, ha csak Te hasznalod az OS-t akkor majdnem mindegy.

Viszont ha nemcsak Te, akkor nagyon fontos szempont, hogy a sudo hasznalata eseten NEM kell tudatnod a root jelszot a t. userrel. Igy valoban root jogokat szerez a sima user jelszoval, de CSAK arra amit Te kulon megengedsz, nem pedig barmire.

szerk: e66-nak menne ez a valasz

Igen, ez megvan, hogy a usernek nem kell így megmondani a root jelszót... De vajon van akkor különbség a kettő között ha csak a root meg 1 (vagyis 2, de a másik user nemigen foglalkozik ilyesmikkel, mint root jog, meg hasonlók) felhasználó van a rendszeren?

"Trollhammaren sveper igen..."

Ha a sudoerseknek nem mindent engedélyezel, hanem csak specifikus feladatokat, akkor nagy különbség lehet; így, ha egy rosszindulatú támadó be is jut a gépedre a user accountjára, ha sudozik, csak azokat fogja tudni végrehajtani, amiket engedélyeztél a usernek.

---------
MaGenTa - http://magenta.linuxforum.hu

( Marcell | 2006. 09. 11., h – 21:46 )

Tanárnő, kérem, készültem :)

Elolvastam, amiket mondtál, KKata. Most már megy a su, ezt fogom használni, úgy látom :) Jelenleg úgy tűnik, minden rendben. Úgyhogy köszönöm szépen a segítséget (persze ez mindenkire vonatkozik, aki segített!) Ha valami gondom lesz, nem menekültök, és írok :)

Ja, és a dizájnt végül egyesével oldottam meg.