항상 뿌리가되는 데 무엇이 문제입니까?

나는 이것이 멍청한 질문이라고 생각하지만, 이것은 내가 오랫동안 궁금했던 것입니다.

나는 VPS를 가지고 있으며 이것은 나의 첫 번째 큰 리눅스 벤처입니다. 나는 그것에 접근 할 수있는 유일한 사람입니다. 내 질문은, 계정을 만들고 sudo 액세스 권한을 부여하는 대신 루트로 로그인하면 무엇이 잘못됩니까? sudoer가 루트가 할 수있는 모든 것을 할 수 있다면 차이점은 무엇입니까? 해커가 내 루트가 아닌 표준 계정으로 내 암호를 해독 할 수 있다면 sudo 명령을 실행할 수도 있습니다. 그러면 해커가 루트 계정을 크래킹하는 방법이 어느 정도 더 중요합니까?

루트로 로그인 한 경우 손가락으로 손가락으로 가볍게 돌리면서 디렉토리를 쉽게 지우거나 시스템에서 멍청한 것을 할 수 있습니다. 반면 사용자는 일반적으로 위험한 일을하기 전에 입력하고 있습니다.

또한 루트 권한으로 루트 권한으로 실행되는 모든 프로그램, 즉 누군가 또는 무언가가 위험하고 트로이 목마 또는 기타 맬웨어와 같이 시스템을 손상시키고 자하는 웹 사이트를 실행 / 컴파일 / 탐색하게하는 경우 1024 미만의 TCP 포트에 대한 액세스를 포함하여 원하는 작업을 수행 할 수 있습니다 (예를 들어 사용자가 모르게 시스템을 리 메일러로 전환 할 수 있음).

기본적으로 자신으로 로그인하면 막을 수있는 문제를 묻습니다. 나는 부주의의 순간에 안전망을 가지고 기뻐하는 많은 사람들을 알고 있습니다.

편집 : 또한 스크립트와 해킹에 대해 가장 잘 알려진 루트가 쉬운 대상이되는 문제가 있습니다. 계정을 비활성화하고 대신 사용자가 sudo를 사용하도록하는 시스템은 ssh에서 루트를 크랙하려고 시도하거나 계정에 대한 로컬 익스플로잇이 벽에 부딪히는 것을 의미합니다. 암호 와 사용자 이름 을 추측하거나 해독해야합니다 . 어느 정도의 모호함을 통한 보안이지만 대부분의 스크립트 아동 공격을 막을 수는 없다고 주장하기는 어렵습니다.

바보가 서버에 루트로 로그인하는 것을 허용하지 않는다면 항상 루트로 실행하지 마십시오. 당신이 마음에 손을 대지 못한다면 결코 바보 가 아니라고 말하십시오 . 아냐, 진짜? 확실 해요? :)

이점 : 근본 이자 동시에 바보 가 될 가능성을 줄 입니다.

주된 이유는 실수입니다. 항상 근본이라면 간단한 오타가 실제로 시스템을 망칠 수 있습니다. root로만 로그인하거나 sudo를 사용하여 필요한 작업을 수행하면 위험한 실수를 할 위험이 최소화됩니다.

루트 권한이 있으면 항상 모든 것에 액세스 할 수 있기 때문에 권한에 대해 게으르게됩니다. 777 또는 644 등이 무엇이든 상관하지 않습니다. 따라서 다른 사람이 시스템에 접속하여 모든 것에 액세스하고 싶지 않다면, 다른 사람들이 기계를 안전하게 사용할 수있게 만드는 것은 정말 어려운 일이됩니다.

루트로 로그인하지 않으면 몇 가지 주요 원칙이 있습니다. 1) 루트 비밀번호는 로그인시 네트워크를 통해 전송되지 않습니다. 2) 여러 사용자가 동일한 계정 (루트 또는 기타)으로 로그인 한 경우 누가 무엇을했는지 알 수있는 방법이 없습니다. 3) 실수로 '멍청한'일을하는 것

Windows에서 UAC와 유사하게 실행하려는 더 높은 권한 명령을 다시 검토 할 수 있도록 사용자를 보호하는 데 도움이됩니다. 실수로 다음과 같은 작업을 수행하는 것은 매우 쉽습니다. rm -rf /루트로 로그인 한 상태에서 .

또한 추적 성이 있습니다. 이것은 (이론적으로) 유일한 명령을 내리는 상황에서 큰 문제는 아니지만 개인을 기록하고 추적하는 능력은 많은 형태의 분석의 핵심 요소입니다.

차이점은 주로
우연히 나쁜 일을 할 수 없다는 것입니다.
"악한"코드는 시스템을 대신 할 수 없습니다.
주의 : 악의적 인 코드가 반드시 누군가가 이미 시스템에 액세스했음을 의미하지는 않습니다.

항상 가장 낮은 수준의 권한을 가진 계정을 사용해야합니다. 항상 루트로 실행하면 나쁜 습관과 게으름이 생겨 여러 사용자와 함께 일하거나 공공 / 중공업 네트워크에 무언가를 노출시킬 때 삶에 불쾌감을 줄 수 있습니다.

또한 비밀번호 크래킹은 하나의 타협 시나리오 일 뿐이며 가장 일반적인 시나리오는 아닙니다. 브라우저 취약점 또는 시스템에서 실행되는 일부 데몬의 취약점에 노출 될 가능성이 높습니다.

생각없이 사용하는 코드를 생각하십시오. 예를 들어, Adobe Flash의 Linux 포트는 상대적으로 최근 과거에만 사용할 수 있었던 똥 더미입니다. 그 코드가 얼마나 안전하다고 생각하십니까? 시스템을 완전히 제어 할 수 있기를 원하십니까?

SSH 무차별 대입 공격을 방지 할 수 있습니다. 모든 유닉스에는 '루트'계정이 있습니다. 그러나 외부에서 'sudo'사용자 이름이 무엇인지 명확하지 않습니다. 따라서 누군가가 자신의 길을 무 찌르려고하면 루트 계정이 있다는 것을 알고 아마도 시도 할 것입니다. 그러나 그들은 sudo를 사용한다면 어디서부터 시작해야할지 모른다.

http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html

내 충고는 루트를 잠시 동안 사용하는 것입니다. 당신은 왜 당신이하지 말아야하는지 이유를 곧 알게 될 것입니다 :)

"불명확 한 보안"을 신뢰하지 않더라도 기존 루트 로그인 대신 사용자 정의 로그인을 사용하는 것이 유리합니다. 따라서 루트 로그인을 방지하도록 SSH를 구성 할 수도 있습니다.

다른 사람도 말했듯이, 루트는 확인없이 모든 것을 할 수 있습니다. 따라서 권한이없는 사용자를 사용하면 바보 같은 실수와 오타를 예방할 수 있습니다.

여러 사용자 계정을 선호하는 또 다른 주장은 다른 사용자로 다른 소프트웨어를 실행하는 것입니다. 이렇게하면 한 응용 프로그램에서 보안 결함이 악용 될 경우 악용자는 실행중인 사용자가 액세스 할 수있는 파일과 리소스에만 액세스 할 수 있습니다.

루트를 사용하지 않는 마지막 포인트 : 자원 소비. 루트는 사용할 수있는 메모리, 처리 시간, 파일 처리기 또는 디스크 공간의 양에 제한이 없습니다. 많은 파일 시스템에는 루트 전용으로 예약 된 데이터 블록이 있습니다. 따라서 일반 사용자는 디스크를 채우는 데 절대로 사용할 수 없습니다. ulimit 명령을 사용하여 사용자가 사용할 수있는 메모리 및 파일 핸들러 번호를 제한 할 수도 있습니다. 그러나 루트 (또는 루트로 실행중인 응용 프로그램) 인 경우이 제한을 변경할 수있는 방법이 없습니다.

예, 동의합니다. 이는 사람의 실수와 때로는 악성 프로그램에 대한 보호 문제입니다. 내가 본 적이없는 나쁜 것은 루트를 기본 그놈 계정으로 사용한다는 것입니다.
필자는 Windows 사용자가 최근에 Linux 또는 Unix로 마이그레이션했다고 생각합니다. 관리자 권한의 사용법을 루트로 복사하십시오.

루트로 로그인해도 아무런 문제가 없습니다. 안전한 명령 만 입력 할 수 있도록 근육 기억력을 발달시키고 큰 결과로 행동을 수행 할 때 생각의 정확성을 증진시킵니다. 시스템 관리를 향상시키기 위해 루트로 작업하는 것이 좋습니다.

당신은 또한 같은 멋진 일을 할 수 ping -i 0.2 -c 1000 example.com