Ubuntu / Debian Va bene usare un account più sudicio come il mio principale su una workstation?

3

Questa domanda ti viene dal comune avviso di WindowsNT secondo cui "I", come amministratore del computer, deve accedere con un normale account utente non privilegiato per l'utilizzo quotidiano. Questo concetto ha un posto in Linux (in particolare Debian e Ubuntu [derivati])?

    
posta ThorSummoner 16.12.2014 - 19:29
fonte

2 risposte

4

In effetti non importa molto.

La separazione utente / utente normale proviene dal mondo dei mainframe, indietro nel secolo precedente; ci si aspettava che un determinato computer fosse utilizzato da molti (molti) utenti, spesso contemporaneamente, e questi utenti non si fidano l'uno dell'altro. La separazione forzata dal sistema operativo e diventare "amministratore" ha permesso di aggirare questa separazione, e quindi era l'obiettivo ultimo di ogni attaccante. In questi modelli, gli utenti malintenzionati sono gli stessi utenti.

Nell'uso moderno del computer, in particolare per le "workstation", c'è un solo utente su una determinata macchina. Il tuo computer è tuo ; quindi, non sei un attaccante. Ci si aspetta che tu possa diventare un amministratore ogni volta che lo desideri, e, in pratica, dal momento che hai accesso fisico alla macchina, sarebbe difficile impedirti di farlo. Gli aggressori, in quel modello, sono persone esterne che vogliono accedere ai tuoi dati (non i dati di root, ma i tuoi). L'attaccante vince se riesce a eseguire il suo codice con i privilegi tuo , perché in tal caso può saccheggiare tutti i tuoi dati e / o utilizzare la macchina come host di inoltro per attaccare altre macchine. Nell'utilizzo moderno della workstation, non vi è alcuna strong esigenza di sicurezza per la separazione utente / amministratore. Devi comunque accedere come account non root (ma ancora sudoer) per proteggerti da incidenti accidentali: come non-root, se vuoi rendere la tua macchina non avviabile, devi farlo apposta. In ogni caso, a causa della consolidata tradizione dei mainframe, le distribuzioni Linux moderne disapprovano le sessioni di apertura come "root", nello stesso modo in cui l'uso di hard rock satanico può offendere il Papa (anche se ciò non è garantito dall'attuale incumbent). p>

Quello che fai con la tua macchina cadrà da qualche parte tra questi due modelli, ma probabilmente più vicino a "workstation moderna" che a "mainframe". Come regola generale: se la macchina non esegue un daemon SSH (sshd), allora ci si trova nel modello "workstation moderna" e le separazioni utente / amministratore sono irrilevanti; puoi essere un sudoer quanto vuoi.

    
risposta data 16.12.2014 - 20:45
fonte
1

Direi che va bene. Finché non si esegue il prefisso dei comandi con 'sudo', si è proprio come qualsiasi altro utente sul sistema. Ricorda che quando usi sudo, stai prendendo in prestito la potenza di root. Non usare sudo per programmi e script non fidati e mantenere la tua password più sicura.

Tuttavia, se esiste una vulnerabilità sudo che consente l'autenticazione bypass [*], si rischierebbe di avere il diritto di utilizzare sudo. Se questo è un rischio accettabile per te, quindi utilizzare un account sudoers per il tuo giorno per giorno. Altrimenti, risolvi qualcos'altro.

[*] che sarebbe AWFUL

    
risposta data 16.12.2014 - 20:32
fonte

Leggi altre domande sui tag