Kas ir root lietotājs Linux sistēmā un kā to droši lietot?

PCHardwarePro » Windows » Kas ir root lietotājs Linux sistēmā un kā to droši lietot?

Ja jūs katru dienu lietojat Linux, agrāk vai vēlāk jūs sastapsiet slaveno lietotāju sakne vai superlietotājsŠis nosaukums parādās rokasgrāmatās, atļauju kļūdās, instalēšanas pamācībās un praktiski visā, kas saistīts ar sistēmas administrēšanu. Ir svarīgi saprast, kas tas ir, kam tas paredzēts un kā to saprātīgi lietot, lai izvairītos no sistēmas avārijas tikai ar pāris komandām.

Lai gan mūsdienās gandrīz visi izplatījumi balstās uz sviedri un viņa Lai paaugstinātu privilēģijas, nepiesakoties tieši kā root, superlietotāja konts joprojām ir GNU/Linux administrēšanas centrālais elements. Izpratne par to, kā darbojas atļaujas, atšķirību starp parastajiem lietotājiem, root un sistēmas lietotājiem, kā arī to, kā atgūt pazaudētu paroli, var ietaupīt daudz nepatikšanas, ja rodas problēmas.

Kas īsti ir root lietotājs Linux sistēmā?

Jebkurā GNU/Linux sistēmā ir īpašs konts, kura lietotāja identifikators vienmēr ir UID 0: root lietotājsŠim kontam ir pilnīga kontrole pār sistēmu: tas var lasīt, modificēt un dzēst jebkuru failu, startēt vai apturēt pakalpojumus, instalēt un noņemt programmatūru, mainīt atļaujas un pārvaldīt visus lietotāju kontus.

Ja salīdzinām to ar citām sistēmām, root būtu kaut kas līdzīgs administrators operētājsistēmā Windows vai superlietotājs operētājsistēmā macOSTaču ar vēl mazāk ierobežojumiem. Gandrīz nav “Vai esat pārliecināts?” vai miskastes: daudzas izmaiņas, ko veicat kā root lietotājs, ir tūlītējas un neatgriezeniskas, ja pieļaujat kļūdu komandā.

Terminālī, strādājot ar parastu kontu, parasti redzēsiet uzvedni, kas beidzas ar $, savukārt, ja esat root lietotājs, simbols mainās uz #Tas spilventiņš ir vizuāls atgādinājums, ka jums ir atļauja darīt visu, gan labo, gan postošo.

Papildus parastajiem lietotāju un root kontiem Linux izveido arī virkni sistēmas vai pakalpojuma lietotāji (dēmoni), kas ir konti bez pieteikšanās iespējām, kas paredzēti pakalpojumu (tīmekļa servera, datubāzes utt.) palaišanai ar ļoti ierobežotām atļaujām, lai kļūme vienā no šiem procesiem neizraisītu pilnīgu sistēmas kontroli.

Lietotāju tipi un atļauju sistēma operētājsistēmā Linux

Linux pamatā ir klasisks drošības modelis, kurā katrs fails un process pieder lietotājam un grupai, un katram ir īpašas lasīšanas, rakstīšanas un izpildes atļaujasPamatojoties uz to, tiek definēti divi galvenie profili: parastie lietotāji un superlietotāji.

Pastāvīgie lietotāji ir konti, kurus mēs izmantojam katru dienu: tie ir paredzēti strādāt ar dokumentiem, tos pārlūkot, programmēt vai rediģēt neskarot kritiskas sistēmas daļas. Pēc noklusējuma viņi nevar instalēt programmatūru globāli, modificēt konfigurācijas failus sadaļā /etc vai rakstīt tādās direktorijās kā /usr, /bin, /sbin vai /root.

Savukārt root lietotājam nav ierobežojumu attiecībā uz sistēmas atļaujām. mainīt jebkura faila īpašniekus un režīmusTas ļauj piekļūt visiem direktorijiem, modificēt sāknēšanas konfigurāciju, nodalījumus, tīklu, lietotājus utt. Tas ir konts, ko izmanto, kad ir nepieciešams "iesaistīties" operētājsistēmā "iekšpusē".

Daudzās Debian un Ubuntu balstītās distribūcijās parastos lietotājus var padarīt par administratoriem, pievienojot tos sudo grupaŠī grupa autorizē komandu izpildi ar paaugstinātām privilēģijām, izmantojot sudo. Piemēram, lai sudo grupai pievienotu lietotāju ar nosaukumu softzone, mēs izmantotu:

sudo usermod -aG sudo softzone

Pēc tam, mēģinot palaist administratīvu komandu, piemēram, sudo apt-get updateSistēma pieprasīs paša softzone lietotāja paroli (nevis root paroli), un, ja tā ir pareiza, lietotājs varēs veikt darbību ar superlietotāja privilēģijām.

Sakne, sudo un su: kā tās atšķiras

Sākot darbu ar Linux, bieži rodas neskaidrības, jo ir jānošķir root lietotājs un komandas sviedri un viņaRoot ir pats konts; sudo un su ir rīki, kas ļauj izmantot (vai atdarināt) šo kontu.

Saknes lietotājs ir pastāvīga identitāte sistēmā. Tam ir sava personīgā direktorijs (parasti /root)jūsu parole un jūsu darba vide. Piesakoties kā root lietotājs, visām jūsu izpildītajām komandām sesijas laikā būs maksimālas privilēģijas.

Komanda `su` nāk no "substitute user" un tika izstrādāta, lai Pārslēgšanās starp lietotājiem no termināļaPalaists bez argumentiem, tas mēģina pārslēgties uz root lietotāju, pieprasot paroli. Ja autentifikācija ir veiksmīga, jūs strādāsit kā root lietotājs, līdz iziesit ar `exit`.

Komanda `sudo`, saīsinājums no "superuser do", bija paredzēta kā drošāka un detalizētāka alternatīva komandai `su`. Ar `sudo` jūs nepārslēdzat lietotājus neatgriezeniski, bet gan izpildāt komandas. konkrēta komanda ar cita lietotāja privilēģijām (parasti root), izmantojot savu paroli. Noteikumi par to, ko kurš drīkst darīt, ir definēti failā /etc/sudoers.

Praksē sudo ir paredzēts administratīvo uzdevumu deleģēšanai, neizpaužot root paroli, savukārt su ir tiešāks un sniedz jums Pilnīga root piekļuve visas sesijas laikā Termināļa bāzes — ideāli piemērots, ja jāveic daudzas ķēdē saistītas darbības, bet daudz bīstamāks, ja zaudējat fokusu.

Kad lietot sudo un kad lietot su

Visieteicamākais veids, kā paaugstināt privilēģijas lielākajā daļā mūsdienu izplatījumu, ir ievietojiet sudo pirms komandas kuru vēlaties palaist. Piemēram, lai instalētu programmu ar APT:

sudo apt instalēt

Šajā gadījumā sistēma pieprasīs jūsu paroli, pārbaudīs, vai jums ir autorizācija sudoers, un, ja viss ir kārtībā, izpildiet tikai šo komandu ar root privilēģijām. Kad tas būs pabeigts, jūs atgriezīsities kā parasts lietotājs ar visiem ierobežojumiem.

Šim modelim ir vairākas priekšrocības: samaziniet laiku, kad jums ir maksimālās privilēģijasTas atstāj skaidras pēdas žurnālos (kurš lietotājs izpildīja kuru komandu ar sudo) un samazina iespējamību, ka neuzmanības dēļ var rasties nopietni bojājumi.

Savukārt komanda `su` tiek izmantota, ja ilgstoši jāstrādā kā superlietotājam, pirms katras instrukcijas neievadot komandu `sudo`. Ja palaižat:

su

Un, ja ievadīsiet root paroli, jūs iegūsiet čaulu ar pilnām root privilēģijām. No šī brīža jūs varat palaist, piemēram, apt instalēt gparted Bez sudo jūs varat rediģēt konfigurācijas failus, izveidot lietotājus vai pieskarties failu sistēmai bez citiem ierobežojumiem, izņemot jūsu zināšanas.

Varat arī izmantot `su`, kam seko lietotājvārds, lai pārslēgtos uz kontiem, neizejot no sistēmas:

jūsu lietotājvārds

Ir ļoti svarīgi iziet no root sesijas, kad tā vairs nav nepieciešama, izmantojot komandu izeja vai nospiežot taustiņu kombināciju Ctrl+D, lai novērstu jebkādu turpmāku pārraudzību ar superlietotāja privilēģijām.

Kā iegūt un pārvaldīt root piekļuvi no termināļa

Atkarībā no izplatīšanas un tās konfigurācijas, root konts var būt iespējots, bloķēts vai bez parolesTas ietekmē to, kā jūs varat pieteikties kā superlietotājs no termināļa.

Daudzos klasiskajos izplatījumos, ja root lietotājam ir definēta parole, vienkārši izmantojiet:

viņa -

Domuzīme norāda, ka vēlaties pilnu root pieteikšanās vidi (vides mainīgos, PATH utt.). Pēc root paroles ievadīšanas komandrindas simbols mainīsies uz #, un jūs tiksiet pieteicies kā superlietotājs.

Ja, mēģinot lietot savu kontu, rodas autentifikācijas kļūdas pat pēc paroles pareizas ievadīšanas, visticamāk, tas ir tāpēc, ka root konts ir bloķētsTas ir ļoti tipiski Ubuntu un tā atvasinājumos, kas dod priekšroku sudo lietošanai. No konta ar sudo privilēģijām varat iespējot vai mainīt root paroli, izmantojot:

sudo passwd root

Sistēma vispirms pieprasīs jūsu lietotāja paroli un pēc tam ļaus ievadīt jaunu paroli root kontam. Pēc tam varat pieteikties kā root lietotājs ar `su`, ja vien jūsu distribūcijai nav papildu aizsardzības slāņu.

Ja kādā brīdī vēlaties atkārtoti bloķēt root kontu, lai to nevarētu izmantot pieteikšanās veikšanai ar `su` vai paroli, varat palaist:

sudo passwd -l sakne

Šī komanda bloķē root paroli. Piekļuve, izmantojot sudo, joprojām darbosies lietotājiem, kas iekļauti sudo grupā vai kuriem ir atļaujas, kas definētas failā /etc/sudoers, taču tieša autentifikācija kā root ar paroli nebūs iespējama.

Saknes lietotāja īpašā loma Ubuntu un atvasinājumos

Ubuntu un daudzas uz tās balstītas distributīvas noklusējuma konfigurācijā piemēro nedaudz atšķirīgu drošības politiku nekā citas distributīvas, piemēram, Debian. Tikko instalētā Ubuntu sistēmā Saknes kontam nav piešķirta parole. un tiešā root pieteikšanās ir atspējota.

Tas nozīmē, ka jūs nevarat pieteikties kā root lietotājs ne virtuālajā terminālī, ne grafiskajā saskarnē ar root lietotājvārdu un paroli, jo vienkārši nav derīgas paroles. Pamatdoma ir samazināt sistēmas visspēcīgākā konta atpazīstamību. novērst brutāla spēka uzbrukuma tiešu iejaukšanos root serverī.

Tā vietā Ubuntu mudina intensīvi izmantot sudo. Jūsu galvenais lietotājs instalēšanas laikā tiek pievienots sudo grupai, tāpēc varat palaist privileģētas komandas, pievienojot prefiksu `sudo`. sudo un apstiprinot ar savu paroli. Tikai šīs grupas dalībnieki vai tie, kas ir skaidri konfigurēti kā sudoeri, var paaugstināt privilēģijas.

Ja jūs joprojām nolemjat iespējot saknes saīsnes Ubuntu, varat izmantot:

sudo passwd root

un iestatiet paroli. No šī brīža root konts ir “aktivizēts”. Tomēr šāda prakse ikdienas lietošanā nav ieteicama, un izstrādātāji iesaka izmantot sudo -io sudo su kad nepieciešama pagaidu sakņu čaula.

Lai atkārtoti bloķētu root piekļuvi un piespiestu atgriezties uz sudo balstītā modeļa, izmantojiet:

sudo passwd -dl root

Tas atspējo un bloķē superlietotāja konta paroli. Privilēģēta piekļuve joprojām būs iespējama, izmantojot sudo, bet vairs nebūs izmantojamas root paroles.

Bieži sastopamas komandas, kurām nepieciešamas root privilēģijas

Ikdienas lietošanā lielāko daļu sistēmas administrēšanas darbību veic root lietotājs, pat ja jūs nepārprotami nepiesakāties ar šo kontu. Izmantojot `sudo` vai `su`, root tiek izmantots tādiem uzdevumiem kā instalēt vai atjaunināt programmas, pielāgot iestatījumus vai pārvaldīt pakalpojumus.

Viens no tipiskākajiem gadījumiem ir programmatūras instalēšana. Debian balstītos izplatījumos jebkurai apt lietošanai pakotņu instalēšanai, noņemšanai vai atjaunināšanai ir nepieciešamas superlietotāja privilēģijas. Piemēram:

sudo apt instalēt vlc

Vēl viens ļoti izplatīts lietojums ir konfigurācijas failu rediģēšana, kas atrodas mapē /etc vai citās aizsargātās direktorijās. Ja mēģināsiet atvērt /etc/hosts ar teksta redaktoru no parasta lietotāja konta, izmaiņas nevarēsiet saglabāt. Tomēr, ja to darīsiet ar sudo:

sudo nano / etc / hosts

Redaktors darbojas ar root privilēģijām, kas ļauj bez problēmām modificēt failu. Tas pats attiecas uz tīkla pakalpojumu, tīmekļa serveru, SSH u. c. konfigurācijām.

Ir nepieciešamas arī root privilēģijas, lai mainīt citu lietotāju paroles vai no paša root konta. Piemēram, lai iestatītu vai mainītu root paroli no konta, izmantojot sudo, jāizmanto:

sudo passwd root

Potenciāli bīstamas komandas, piemēram, `rm`, `mv` vai `chmod` kritiskos sistēmas ceļos, arī izmanto root privilēģijas. Un sistēmas pārvaldības darbībām, piemēram, restartēt vai izslēgt No komandrindas parasti ir obligāti jāizmanto sudo:

sudo reboot o sudo izslēgšana

Rādīt zvaigznītes, rakstot paroli ar sudo

Ja esat pamanījis, kad daudzās distribūcijās, izmantojot sudo, ierakstāt paroli, ekrānā neparādās nekādas rakstzīmesNekādu zvaigznīšu, nekādu punktu, nekā. Tas tika darīts drošības nolūkos, lai nepieļautu, ka novērotājs aprēķinās paroles garumu, tikai paskatoties uz ekrānu, lai gan faktiskais ieguvums ir apstrīdams.

Daži lietotāji dod priekšroku redzēt vismaz zvaigznītes, lai norādītu, ka tastatūra reaģē, un lai palīdzētu viņiem novērtēt, vai viņi ir pieļāvuši rakstīšanas kļūdu. To var iespējot ar sudo opciju, ko sauc par pwfeedback, ir klātesoša gadiem ilgi, lai gan ne vienmēr aktivizēta pēc noklusējuma.

Lai mainītu šo darbību, jums ir jārediģē sudo konfigurācija, izmantojot drošo rīku. Visudo, kas pirms saglabāšanas pārbauda sintaksi, lai sudo nepaliktu nelietojams kļūdas dēļ:

sudo visudo

Redaktorā vienkārši pievienojiet rindu, kas izskatās šādi, kaut kur failā:

Noklusējuma pwfeedback

Saglabājiet izmaiņas, aizveriet redaktoru un viss ir paveikts. Nākamajā reizē, kad izmantosiet `sudo`, katrai ievadītās paroles rakstzīmei redzēsiet zvaigznīti. Ja vēlāk vēlaties atgriezties pie klusuma režīma, atkārtojiet procesu ar `visudo` un noņemiet šo konfigurācijas rindu.

Reāli riski, kas saistīti ar saknes neuzmanīgu izmantošanu

Visa šī atļauju, sudo un root konta bloķēšanas sistēma nav patvaļīga. Darbs ar superlietotāja privilēģijām bez atbilstošiem piesardzības pasākumiem var radīt problēmas. pilnīgs datu zudums, neieslēdzamas sistēmas un atvērtas durvis uzbrucējiem.

Viens no acīmredzamākajiem draudiem ir nejauša sistēmas failu dzēšana. Izpildot komandu, piemēram, rm-rf / o rm -rf /* Izmantojot `sudo` vai piesakoties kā root lietotājs, dažu sekunžu laikā var izdzēst lielu daļu failu sistēmas, padarot to pilnībā nelietojamu. Pat šķietami nekaitīgas komandas var būt postošas, ja tās tiek kombinētas ar slikti definētiem mainīgajiem, piemēram:

rm -rf "$direktorijs"/*

Ja direktorijs ir tukšs, komanda var darboties pa ceļiem, kas ļoti atšķiras no tiem, kurus paredzējāt. Un, ja esat root lietotājs, praktiski nekas jūs neaptur.

Vēl viens būtisks risks ir uzstādīšana vai darbība no interneta lejupielādēti skripti un programmas ar paaugstinātām privilēģijām. Ļaunprātīgs skripts, kas palaists kā root lietotājs, var brīvi veikt instalēt rootkitTaustiņspiedienu reģistrētāji, spiegprogrammatūra, kritisku drošības iestatījumu modificēšana, slēptu lietotāju izveide vai pastāvīgu portu atvēršana, lai uzbrucējs varētu atgriezties, kad vien vēlas.

Mainot sensitīvu failu atļaujas un īpašumtiesības, jābūt ļoti uzmanīgiem. Neuzmanīgas komandas, piemēram, chmod 000 /utt Atļauju maiņa /boot vai GRUB sāknēšanas ielādētājā var padarīt sistēmu neielādējamu. Dažos gadījumos datora atkopšanai būs nepieciešams izmantot LiveCD vai pat profesionālus atkopšanas pakalpojumus.

Tāpēc ir tik svarīgi ierobežot laiku, ko pavadāt kā root lietotājs. Pirms Enter nospiešanas divreiz pārbaudiet komandasun saprast, ko dara katra instrukcija, ko izpildāt ar sudo vai superlietotāja čaulā.

Drošība, izsekojamība un darbību reģistrēšana ar sudo

Papildus tehnisko risku samazināšanai, uz sudo balstītajam modelim ir galvenā priekšrocība vidēs ar vairākiem administratoriem vai vietās, kur ir noteikts līmenis. audits un izsekojamība izmaiņu: viss tiek reģistrēts.

Katru reizi, kad lietotājs izpilda komandu ar sudo, sistēma to ieraksta tādos failos kā /var/log/auth.log vai žurnālā, kas veica darbību, kad un kāda tieši komanda tika izdota. Tas ļauj rekonstruēt izmaiņu vēsturi, ja pēc iejaukšanās kaut kas sabojājas.

Tomēr, ja visi administratori vienmēr piesakās tieši kā root lietotājs, žurnālos tiek atspoguļots tikai tas, ka kaut ko ir izpildījis root lietotājs, un nav vienkārša veida, kā to noskaidrot. kura konkrētā persona aiz tā stāvējaKomandā ar vairākiem tehniķiem tas sarežģī pienākumu sadali un problēmu risināšanu.

Vidēs, kas atbilst tādiem standartiem kā ISO 27001 vai PCI DSS, ir nepieciešama skaidra administratīvo darbību izsekojamība. Sudo izmantošana, politiku definēšana failā /etc/sudoers un regulāra žurnālu pārskatīšana palīdz izpildīt šīs prasības un atklāt paaugstinātu privilēģiju ļaunprātīgu izmantošanu.

Ieteicams arī apvienot sudo ar citām labākajām praksēm: neiespējojiet tiešu root grafisko pieteikšanos, Atspējot root pieteikšanos, izmantojot SSH izņemot ļoti specifiskus gadījumus, un konfigurējiet atslēgas autentifikāciju, lai samazinātu brutāla spēka uzbrukumu risku privileģētiem kontiem.

Saknes piekļuve, izmantojot SSH, un tās atspējošana

Tīklā pieejamos serveros kārdinājums iespējot tiešu root piekļuvi, izmantojot SSH, ir liels, jo tas ietaupa laiku, taču no drošības viedokļa tas bieži vien ir... ļoti slikta idejaPēc noklusējuma roboti, kas skenē internetu, izmēģina miljoniem paroļu kombināciju pret root kontu.

Ja jums joprojām ir nepieciešams īslaicīgi atļaut šo piekļuvi, parastais process ietver divas darbības: root paroles piešķiršanu vai maiņu un SSH servera konfigurācijas modificēšanu. Vispirms no konta, izmantojot sudo:

sudo passwd root

Pēc tam rediģējiet SSH konfigurācijas failu:

sudo nano / etc / ssh / sshd_config

un jūs meklējat direktīvu PermitRootLoginNeatkarīgi no tā, vai tas ir komentēts vai nē, varat to mainīt uz:

PermitRootLogin jā

Saglabājiet izmaiņas un restartējiet SSH pakalpojumu, lai tās stātos spēkā:

sudo systemctl restartējiet ssh

Turpmāk tehniski būs iespējams izveidot savienojumu caur SSH kā root lietotājam, izmantojot jūsu konfigurēto paroli, lai gan drošības risks ir ievērojams. Praksē ieteicams saglabāt PermitRootLogin nē un vienmēr izveidojiet savienojumu ar parastu lietotāju un pēc tam izmantojiet sudo vai sudo -i.

Ja iepriekš iespējojāt attālo root pieteikšanos un vēlaties to atkal atspējot, vienkārši rediģējiet /etc/ssh/sshd_config vēlreiz, labojiet PermitRootLogin nē (vai, augstākais, aizliegtā parole (Ja vēlaties atļaut tikai atslēgas autentifikāciju bez paroles) un restartējiet SSH pakalpojumu. Pēc izvēles varat bloķēt root kontu ar:

sudo passwd -l sakne

lai viņi pat nevarētu pieteikties lokāli ar paroli, saglabājot administrēšanas modeli, kas balstīts uz sudo un nosauktajiem lietotājiem.

Kā atgūt root paroli, ja tā ir pazaudēta

Saknes paroles pazaudēšana vai konta atspējošana, pienācīgi nepierakstot paveikto, ir traucēklis, taču vairumā Linux instalāciju Joprojām ir veidi, kā atgūt piekļuvi neinstalējot visu no jauna.

Viena no iespējām ir izmantot pašu GRUB, lai palaistu datoru atkopšanas režīmā. Ieslēdzot datoru un redzot sāknēšanas izvēlni, atlasiet Progresīvs Savai sistēmai atlasiet ierakstu, kurā ir iekļauts "atkopšanas režīms". Pēc ielādes sistēma piedāvās vairākas opcijas; viena no tām parasti ir "root" vai "Drop to root shell prompt", lai atvērtu superlietotāja konsoli.

Kad saknes failu sistēma ir ievietota atkopšanas apvalkā, tā parasti tiek pievienota tikai lasīšanas režīmā. Lai mainītu paroli, jums ir jāveic izsekot līdz saknes direktorijam ar rakstīšanas atļaujām caur:

piestiprināšana -o rw,atkārtoti piestiprināšana /

Pēc tam varat iestatīt jaunu paroli root kontam, izmantojot parasto komandu:

passwd sakne

Kad sistēma norāda, ka parole ir veiksmīgi atjaunināta, ieteicams sinhronizēt izmaiņas ar disku un restartēt datoru, lai atgrieztos normālā startēšanas režīmā. To var izdarīt, izmantojot:

sinhronizēt pēc tam atsāknēšana

Ja kāda iemesla dēļ atkopšanas režīms nav pieejams vai nedarbojas, joprojām ir iespēja startēt no LiveCD vai LiveUSB izplatīšanaDerēs jebkura mūsdienīga Linux distribūcija; daudzas rokasgrāmatas ērtības labad iesaka Ubuntu. Dators tiek startēts no šī datu nesēja "Izmēģinājuma" režīmā, to neinstalējot.

Kad esat nonācis tiešsaistes vidē, atveriet termināli un kļūstiet par tiešsaistes sistēmas superlietotāju, izmantojot:

sudo su

Tālāk jāatrod nodalījums, kurā ir instalēta jūsu Linux sistēma. Diskus un nodalījumus var uzskaitīt šādi:

fdisk -l

Kad esat identificējis pareizo nodalījumu (piemēram, /dev/sda1), izveidojiet pieslēgšanas punktu un pieslēdziet tur faktisko sistēmu:

mkdir /mnt/atgūt
piestiprināt /dev/sda1 /mnt/atkopt

Nākamais solis ir izmantot chroot, lai "ieietu" šajā instalācijā tā, it kā tā būtu aktīvā sistēma:

chroot /mnt/atgūt

Šajā brīdī izpildītās komandas ietekmēs jūsu sākotnējo instalāciju. Atliek tikai atiestatīt root paroli, izmantojot:

passwd sakne

Kad tas ir pabeigts, izejiet no chroot, atvienojiet nodalījumu un pārstartējiet datoru no cietā diska, lai atgrieztos sistēmā ar atjauninātajiem root akreditācijas datiem.

Labākā prakse, strādājot ar root tiesībām

Papildus zināšanām par to, kā lietot "su" un "sudo", patieso atšķirību rada četru vai piecu ciparu kombinācijas lietošana. labi ieradumi katru reizi, kad ieejat superlietotāja teritorijā. Tie ir nelieli žesti, kas novērš daudzas problēmas.

Pirmais zelta likums ir līdz minimumam samazināt laiku, ko pavadāt ar paaugstinātām privilēģijām. Kad vien iespējams, palaidiet tikai nepieciešamā komanda ar sudoJa jums kā superlietotājam ir nepieciešams zināms laiks, pastāvīgas saknes čaulas atvēršanas vietā izmantojiet `sudo -io` vai `sudo su`, veiciet nepieciešamās darbības un izejiet, tiklīdz esat pabeidzis.

Vēl viens svarīgs ieteikums ir nekad nelietot darbvirsmas lietojumprogrammas, kas mijiedarbojas ar internetu (pārlūkprogramma, e-pasta klients, ziņojumapmaiņa), ja esat pieteicies kā root lietotājs. Ja kāda no šīm lietojumprogrammām tiktu izmantota, uzbrucējs automātiski iegūtu piekļuvi. pilnīga sistēmas vadība.

Tāpat nevajadzētu vieglprātīgi palaist no interneta kopētus skriptus vai komandas, vēl jo mazāk kā root lietotājam. Pirms jebkura skripta palaišanas ar sudo, atveriet to teksta redaktorā un pārbaudiet, ko tas dara. Ja nesaprotat kodu vai redzat kaut ko dīvainu (lejupielādes no nezināmām vietnēm, masveida rm komandu izmantošana, agresīvas atļauju izmaiņas), vislabāk to nedarbināt.

Vairāku lietotāju sistēmās vai kritiski svarīgos serveros ir vērts precizēt /etc/sudoers konfigurāciju ar sudo visudo lai katra persona varētu darīt tikai to, kas tai nepieciešams. Tā vietā, lai visus ievietotu sudo grupā ar neierobežotu piekļuvi, varat definēt konkrētus noteikumus, lai noteikti lietotāji varētu restartēt konkrētu pakalpojumu, pārvaldīt dublējumkopijas vai palaist ierobežotu komandu kopu.

Visbeidzot, ieteicams atspējot jebkādu tiešu root piekļuvi, kas nav absolūti nepieciešama (īpaši, izmantojot SSH), izmantot spēcīgas paroles vai vēl labāk, autentifikācija ar publiskajām atslēgāmun uzraudzīt piekļuves un sudo žurnālus, lai atklātu aizdomīgus administratora privilēģiju izmantošanas gadījumus.

Izpratne par to, kas ir root lietotājs, kā tas ir saistīts ar sudo un su, un kādas reālas sekas var būt slikti uzrakstītai komandai ar superlietotāja privilēģijām, nosaka robežu starp vieglu Linux pārvaldību un pastāvīgām bailēm kaut ko sabojāt; nedaudz respektējot root kontu, gudri lietojot sudo un paļaujoties uz tādiem rīkiem kā visudo, GRUB vai LiveCD, kad nepieciešams veikt neatliekamu operāciju, jūs varat pārvaldīt savu GNU/Linux sistēmu ar lielu elastību, neupurējot drošību.