miért rossz rootként?

Linux-kezdő

miért rossz rootként?

  • 756 megtekintés

( Tsab | 2004. 07. 23., p – 20:24 )

Hi!

valaki elmondaná miért lama dolog root-ként belépni? vagy miért lama dolog root-ként futtatni mondjuk mldonkeyt?

nem tudja valaki hogy lehet daemon-ként futtatni az mldonkeyt? találtam egy megoldást:
http://mldonkey.berlios.de/modules.php?name=Content&pa=showpage&pid=4
de az lett a vége hogy a daemontools logja tele lett azzal hogy /mldonkeykönyvtáram access denies...
valaki nem tudja mit hagyott ki a figura aki írta ezt a leírást?

thx

( vmiklos | 2004. 07. 23., p – 20:50 )

[quote:b0875bbf1f="Tsab"]valaki elmondaná miért lama dolog root-ként belépni?

röviden: biztonsági szempontból
ha kicsúszik a kezedből az irányítás (buffer-túlcsordulás, stb), akkor sokkal több kárt tud tenni a támadó a gépedben, mintha csak sima felhasználó lennél (általában ilyenkor csak magadban tudsz kárt tenni ;-) )

( snq- | 2004. 07. 23., p – 20:56 )

[quote:19200c45e3="Tsab"]nem tudja valaki hogy lehet daemon-ként futtatni az mldonkeyt?

egyszer csak lett egy p2p nevu userem, es van egy ilyen scriptje a ~-jaban

[code:1:19200c45e3]
cd /.disk2/p2p/mlnet
./mlnet -log_file /.disk2/p2p/mlnet.log -daemon
[/code:1:19200c45e3]

termeszetesen semmire se hasznalom, csak a proba kedveert van

( snq- | 2004. 07. 23., p – 21:01 )

[quote:4e82e5a405="Tsab"]valaki elmondaná miért lama dolog root-ként belépni?

semmivel se lamabbabb, mint egesz nap Administrator-kent tehenkedni (vagy meglolabb onbecsapas: Power User) a Windows desktopotokon

[quote:4e82e5a405="Tsab"]vagy miért lama dolog root-ként futtatni mondjuk mldonkeyt?

erre inkabb a vakmeroseg a megfelelo jelzo :)

( Panther v | 2004. 07. 23., p – 21:42 )

[quote:a4517c2cd8="vmiklos"][quote:a4517c2cd8="Tsab"]valaki elmondaná miért lama dolog root-ként belépni?

röviden: biztonsági szempontból
ha kicsúszik a kezedből az irányítás (buffer-túlcsordulás, stb), akkor sokkal több kárt tud tenni a támadó a gépedben, mintha csak sima felhasználó lennél (általában ilyenkor csak magadban tudsz kárt tenni ;-) )

Más oka is van: pl normál userként kiadtam ezt:
ls /tmp/akrami/
rm *

utána jöttem rá, hogy több napi munkámat nyírtam ki egy laza mozdulattal. A listázott könyvtárat akartam kipucolni. Azóta csak mc-ben (f8-cal) törlök.

Ha ezt rootként, például a /usr/lib/ könyvtárban adtam volna ki, rendszer reinstall lett volna.

Tehát rootként dolgozni veszélyes!

( Oscon | 2004. 07. 23., p – 22:11 )

[quote:4f19a0db88="Panther"][quote:4f19a0db88="vmiklos"][quote:4f19a0db88="Tsab"]valaki elmondaná miért lama dolog root-ként belépni?

röviden: biztonsági szempontból
ha kicsúszik a kezedből az irányítás (buffer-túlcsordulás, stb), akkor sokkal több kárt tud tenni a támadó a gépedben, mintha csak sima felhasználó lennél (általában ilyenkor csak magadban tudsz kárt tenni ;-) )

Más oka is van: pl normál userként kiadtam ezt:
ls /tmp/akrami/
rm *

utána jöttem rá, hogy több napi munkámat nyírtam ki egy laza mozdulattal. A listázott könyvtárat akartam kipucolni. Azóta csak mc-ben (f8-cal) törlök.

Ha ezt rootként, például a /usr/lib/ könyvtárban adtam volna ki, rendszer reinstall lett volna.

Tehát rootként dolgozni veszélyes!

Meg aztán azért is, mert mondjuk ugyanezt amit te kézzel megcsinálhattál volna egy akármilyen ismeretlen uccasarki program ugyanígy megcsinálhatja..Elég akár jóhiszeműen, akár egy biztonsági hibából kifolyólag (öntudatlanul) elindítani egy ilyen programot, már kész a baj...

Minden Operációs Rendszerre a legnagyobb veszélyt a felhasználók jelentik (vagyis mi!), azok akik vagy ott ülnek a számítógépnél, vagy pedig mondjuk hálózaton keresztül használják a gép "erőforrásait". Minél több joguk van a gépet használókat, annál veszélyesebbek az operációs rendszerre.

( selli | 2004. 07. 23., p – 22:25 )

[quote:d0e15c0dd4="Panther"][quote:d0e15c0dd4="vmiklos"][quote:d0e15c0dd4="Tsab"]valaki elmondaná miért lama dolog root-ként belépni?

röviden: biztonsági szempontból
ha kicsúszik a kezedből az irányítás (buffer-túlcsordulás, stb), akkor sokkal több kárt tud tenni a támadó a gépedben, mintha csak sima felhasználó lennél (általában ilyenkor csak magadban tudsz kárt tenni ;-) )

Más oka is van: pl normál userként kiadtam ezt:
ls /tmp/akrami/
rm *

utána jöttem rá, hogy több napi munkámat nyírtam ki egy laza mozdulattal. A listázott könyvtárat akartam kipucolni. Azóta csak mc-ben (f8-cal) törlök.

Ha ezt rootként, például a /usr/lib/ könyvtárban adtam volna ki, rendszer reinstall lett volna.

Tehát rootként dolgozni veszélyes!

Én speciel jobban féltem a home alatti cuccom mit a rendszert. A reinstall kb fél nap, a home meg potolhatatlan. Ettol fuggetlenul rootként nem jó nyomi, mert esetleg nem csak a te cuccod k*r*d el hanem 1000 másik luzerét is.

( Panther v | 2004. 07. 23., p – 22:36 )

[quote:bcf3119420="Oscon"][quote:bcf3119420="Panther"][quote:bcf3119420="vmiklos"][quote:bcf3119420="Tsab"]valaki elmondaná miért lama dolog root-ként belépni?

röviden: biztonsági szempontból
ha kicsúszik a kezedből az irányítás (buffer-túlcsordulás, stb), akkor sokkal több kárt tud tenni a támadó a gépedben, mintha csak sima felhasználó lennél (általában ilyenkor csak magadban tudsz kárt tenni ;-) )

Más oka is van: pl normál userként kiadtam ezt:
ls /tmp/akrami/
rm *

utána jöttem rá, hogy több napi munkámat nyírtam ki egy laza mozdulattal. A listázott könyvtárat akartam kipucolni. Azóta csak mc-ben (f8-cal) törlök.

Ha ezt rootként, például a /usr/lib/ könyvtárban adtam volna ki, rendszer reinstall lett volna.

Tehát rootként dolgozni veszélyes!

Meg aztán azért is, mert mondjuk ugyanezt amit te kézzel megcsinálhattál volna egy akármilyen ismeretlen uccasarki program ugyanígy megcsinálhatja..Elég akár jóhiszeműen, akár egy biztonsági hibából kifolyólag (öntudatlanul) elindítani egy ilyen programot, már kész a baj...

Minden Operációs Rendszerre a legnagyobb veszélyt a felhasználók jelentik (vagyis mi!), azok akik vagy ott ülnek a számítógépnél, vagy pedig mondjuk hálózaton keresztül használják a gép "erőforrásait". Minél több joguk van a gépet használókat, annál veszélyesebbek az operációs rendszerre.

De nem kell ilyen messzire menni, mert a megbízható forrás is kevés.

Pl Lafisoft raktárnyilvántartó vagy számlázó (mind1), linuxos változat:
könyvtárában van egy runme.sh (asszem ez a neve), ami feltételezi, hogy az aktuális könyvtár a runme.sh könyvtára. Sőt. Feltételezi, hogy a LANG környezeti változó be van állítva. Hát nem volt, elszegmentált a program + a bash is sírt (kód: legelső utasítás: if [ $LANG != hu_HU ]... szóval lol). Ki tudja, egy ilyen scriptben milyen hibaforrásokat lehet összegányolni....

( Oscon | 2004. 07. 23., p – 22:44 )

[quote:695bbc0775="selli"]
Én speciel jobban féltem a home alatti cuccom mit a rendszert. A reinstall kb fél nap, a home meg potolhatatlan. Ettol fuggetlenul rootként nem jó nyomi, mert esetleg nem csak a te cuccod k*r*d el hanem 1000 másik luzerét is.

1. backupolj!
2. használhatsz pl. grsec ACL-t. abban
van lehetőség mind alkalmazásokra korlátozni a /home ...tehát pl. rm-el, mc-vel, stb. ne tudj törölni a
/home-ben...ill. grsec2-ben pluszban felhasználókra is külön lehet szűkíteni...
kurva nehéz rendesen beállítani még a learning betanuló móddal együtt is. de nyugodtabban alszol, és elég egyszer kiszenvedni.

( selli | 2004. 07. 23., p – 22:53 )

[quote:8b9d2bbcfb="Oscon"][quote:8b9d2bbcfb="selli"]
Én speciel jobban féltem a home alatti cuccom mit a rendszert. A reinstall kb fél nap, a home meg potolhatatlan. Ettol fuggetlenul rootként nem jó nyomi, mert esetleg nem csak a te cuccod k*r*d el hanem 1000 másik luzerét is.

1. backupolj!
2. használhatsz pl. grsec ACL-t. abban
van lehetőség mind alkalmazásokra korlátozni a /home ...tehát pl. rm-el, mc-vel, stb. ne tudj törölni a
/home-ben...ill. grsec2-ben pluszban felhasználókra is külön lehet szűkíteni...
kurva nehéz rendesen beállítani még a learning betanuló móddal együtt is. de nyugodtabban alszol, és elég egyszer kiszenvedni.

1. csinálom is. a fontos stuff-ot es másik vinyon is orzom, ami readonly, vagy be sincs mount-olva.
2. grsec-et használok ;), csak az ACL-es részét meg nem volt idom megnézni :( talán majd eccer,ha sok ido lesz. addig is marad az ideglelés

( miq | 2004. 07. 23., p – 22:57 )

[quote:25ef03e1d6="selli"]
1. csinálom is. a fontos stuff-ot es másik vinyon is orzom, ami readonly, vagy be sincs mount-olva.

Nem vagy meg eleg paranoias :)
Benne se legyen a gepben. Ha pl. a tap szall el, azt nem erdekli, hogy mit mountoltal readonly ...
Vagy vedd is ki a masolatot a gepbol, vagy tavoli gepre mentsel, ha nyugodtan akarsz aludni..

( snq- | 2004. 07. 23., p – 23:01 )

[quote:a10036bc19="miq"]Benne se legyen a gepben. Ha pl. a tap szall el, azt nem erdekli, hogy mit mountoltal readonly ...

erdemes tovabba egymastol foldrajzilag tavol eso helyeken biztonsagi masolatokat tartani belole

( miq | 2004. 07. 23., p – 23:10 )

[quote:5655b6df01="snq-"][quote:5655b6df01="miq"]Benne se legyen a gepben. Ha pl. a tap szall el, azt nem erdekli, hogy mit mountoltal readonly ...

erdemes tovabba egymastol foldrajzilag tavol eso helyeken biztonsagi masolatokat tartani belole

A ket torony :)

( selli | 2004. 07. 23., p – 23:11 )

[quote:6c6c366ae8="snq-"][quote:6c6c366ae8="miq"]Benne se legyen a gepben. Ha pl. a tap szall el, azt nem erdekli, hogy mit mountoltal readonly ...

erdemes tovabba egymastol foldrajzilag tavol eso helyeken biztonsagi masolatokat tartani belole

És mivan ha beköszönt a jégkorszak. Lehet hogy a Mirren is tárolnom kéne a stuffot? hmm :P

( uid_194 | 2004. 07. 23., p – 23:45 )

[quote:69018790c0="selli"][quote:69018790c0="snq-"][quote:69018790c0="miq"]Benne se legyen a gepben. Ha pl. a tap szall el, azt nem erdekli, hogy mit mountoltal readonly ...

erdemes tovabba egymastol foldrajzilag tavol eso helyeken biztonsagi masolatokat tartani belole

És mivan ha beköszönt a jégkorszak. Lehet hogy a Mirren is tárolnom kéne a stuffot? hmm :P

Ahogy okos ember (Linus) megmondta vala: Real Men Don't Do Backups. They just upload it onto FTP and let the rest of the world mirror it. Szerintem legjobb megoldas >;)
Bar neha problemas ravenni a T. Vilagot hogy legyen mar szives mirrorolni. DE! Ez benne a kihivas! :)

( Blint | 2004. 07. 24., szo – 00:01 )

[quote:0ec1f4eff9="selli"][quote:0ec1f4eff9="snq-"][quote:0ec1f4eff9="miq"]Benne se legyen a gepben. Ha pl. a tap szall el, azt nem erdekli, hogy mit mountoltal readonly ...

erdemes tovabba egymastol foldrajzilag tavol eso helyeken biztonsagi masolatokat tartani belole

És mivan ha beköszönt a jégkorszak. Lehet hogy a Mirren is tárolnom kéne a stuffot? hmm :P

Nem hinném, hogy egy szénné égett űrállomás az óceán mélyén a megfelelő hely lenne az adataidnak :)

( tso | 2004. 07. 24., szo – 08:02 )

[quote:2c27aa49f1="snq-"]
erdemes tovabba egymastol foldrajzilag tavol eso helyeken biztonsagi masolatokat tartani belole

jah én is a WTC ben őriztem...b****a meg :D

( anr | 2004. 07. 24., szo – 08:21 )

[quote:f1f065fb3e="selli"]
Én speciel jobban féltem a home alatti cuccom mit a rendszert. A reinstall kb fél nap, a home meg potolhatatlan.

Ha fendszergazda vagy ez ne aruld el a fonokodnek;-)
az almoskonyvek azt irjak, hogy 3 fuggetlen "mentesnek" kell lennie a fontos dolgokrol. Ugyanis nem csak hardwernek, vagy a szoftvernek, de az optohuman interface-nek is lehetnek problemai.;-)
A /home-ombol a lenyeges dolgokat svn-ben tartom, es 2 masik gepre rendszeresen at rsync-elem.(az svnroot-al egyutt;-)))

( GCS v | 2004. 07. 24., szo – 09:05 )

[quote:4ce04d3072="algernon"]Ahogy okos ember (Linus) megmondta vala: Real Men Don't Do Backups. They just upload it onto FTP and let the rest of the world mirror it.

Linus legjobb beszolasa, sot a legjobbak kozott van ugy altalaban.

[quote:4ce04d3072="algernon"]Szerintem legjobb megoldas >;)
Bar neha problemas ravenni a T. Vilagot hogy legyen mar szives mirrorolni. DE! Ez benne a kihivas! :)

Nem olyan nehez. Leteznek ra celprogramok (Linux ala legalabbis tobbet is lattam). Valahogy ugy mukodik, hogy csatlakozol a proggival a halozathoz, es mas userek gepere at tudod nyomni a sajat anyagaidat, akar tobbnek is, akik a vilag ki tudja hany tajekan lehetnek. Persze cserebe ok is ugyanezt teszik a sajat anyagaikkal, azok nallad kotnek ki. Megvedendo az anyagaidat, az egesz jo kis titkositassal megy. Vegeredmenyben azt kapod, hogy sajat vinyo halal, torles stb eseten tobb embernel van masolatod, amelyet konnyeden visszakaphatsz.
Kihivas megoldva. :)

( GCS v | 2004. 07. 24., szo – 09:08 )

[quote:0e153bf938="anr"]Ha fendszergazda vagy ez ne aruld el a fonokodnek;-)

LOL.

[quote:0e153bf938="anr"]A /home-ombol a lenyeges dolgokat svn-ben tartom, es 2 masik gepre rendszeresen at rsync-elem.(az svnroot-al egyutt;-)))

Wow. Igy barmelyik napi allapotot vissza tudod allitani akkor. :) Inkrementalis backup nem lett volna jobb? Illetve mekkora igy az svn fa?

( GCS v | 2004. 07. 24., szo – 09:11 )

[quote:dadfebd584="selli"]1. csinálom is. a fontos stuff-ot es másik vinyon is orzom, ami readonly, vagy be sincs mount-olva.

Akkor mar RAID-et csinalnek a ket vinyobol.

( selli | 2004. 07. 24., szo – 09:28 )

[quote:3cad96048d="GCS"][quote:3cad96048d="selli"]1. csinálom is. a fontos stuff-ot es másik vinyon is orzom, ami readonly, vagy be sincs mount-olva.

Akkor mar RAID-et csinalnek a ket vinyobol.

Az nem megy mert az egyik 40GB os a masik 120Gb-os. :(

( Rich | 2004. 07. 24., szo – 09:50 )

[quote:8ad031687f="selli"][quote:8ad031687f="GCS"][quote:8ad031687f="selli"]1. csinálom is. a fontos stuff-ot es másik vinyon is orzom, ami readonly, vagy be sincs mount-olva.

Akkor mar RAID-et csinalnek a ket vinyobol.

Az nem megy mert az egyik 40GB os a masik 120Gb-os. :(

Éppenséggel meg lehet csinálni (SW raid partíciókkal dolgozik), kérdés hogy van-e értelme.