루트로 로그인하는 것이 왜 나쁜가요?

당신은 사람들이 / 실행이 끔찍한 뭔가하고있는 것처럼 루트로 로그인에 대해 같은 방식으로 농담 볼 곳 나는 종종 포럼이나 다른 웹 사이트에 게시물 건너 한 모든 사람들이 그것에 대해 알고해야한다. 그러나이 문제에 대한 검색 결과는 많지 않습니다.

Linux 전문가에게 널리 알려져 있지만 그 이유를 모르겠습니다. 나는 수년 전에 리눅스를 처음 시도했을 때 항상 루트로 실행하는 것을 기억합니다 (Redhat과 Mandrake).

실제로 루트 사용자 (SuSe?)를위한 바탕 화면으로 경고 표시가있는 밝은 빨간색 배경의 일부 배포판이 있습니다. Windows 설치에서 정기적으로 사용하기 위해 "관리자"계정을 사용하고 있으며 이로 인해 문제가 발생하지 않았습니다.

수년 동안 존재 해 온 보안 모델을 물리칩니다. 응용 프로그램은 비 관리 보안 (또는 단순한 필사자)으로 실행되므로 기본 시스템을 수정하려면 해당 권한을 상승시켜야합니다. 예를 들어, 최근에 발생한 Rhythmbox 충돌 /usr로 인해 버그로 인해 전체 디렉토리 가 삭제되는 것을 원하지 않을 것 입니다. 또는 공격자가 ROOT 셸을 얻을 수 있도록 ProFTPD에 게시 된 취약점.

모든 운영 체제에서 응용 프로그램을 사용자 수준에서 실행하고 관리 작업을 루트 사용자에게 맡기고 필요한 경우에만 사용하는 것이 좋습니다.

한 마디 만 : 보안.

1. 루트로 로그인했습니다. 모든 응용 프로그램이 루트 권한으로 실행 중입니다. Firefox, Flash, OpenOffice 등의 모든 취약점으로 인해 모든 바이러스가 모든 곳에서 액세스 할 수 있으므로 시스템을 손상시킬 수 있습니다. 예, Ubuntu / Linux에는 바이러스가 거의 없지만 보안이 우수하고 권한이없는 기본 사용자이기도합니다.
2. 바이러스뿐만 아니라 응용 프로그램의 작은 버그로 인해 일부 시스템 파일이 지워질 수 있습니다.
3. 루트로 로그인하면 모든 것을 할 수 있습니다-시스템이 묻지 않습니다! 이 디스크를 포맷 하시겠습니까? 좋아, 한 번의 클릭으로 완료되었습니다. 루트이기 때문에 당신이하고있는 일을 알고 있기 때문에 ...

다음과 같은 이유로 루트로 실행하는 것이 좋지 않습니다.

1. 어리 석음 : 어리석은 일을 방해하는 것은 없습니다. 어쨌든 해를 끼칠 수있는 시스템을 변경하려고 시도하면 sudo를 수행해야합니다. sudo는 암호를 입력하는 동안 일시 정지를 보장하여 큰 / 비용이 많이 드는 변경을 시도하고 있음을 알 수 있습니다.
2. 보안 : 이 질문에서 이미 꽤 많이 언급되었지만 기본적으로 관리자 사용자의 로그인 계정을 모른다면 해킹하기가 더 어렵습니다. root는 작업중인 관리자 자격 증명의 절반이 이미 있음을 의미합니다.
3. 당신이 정말로 필요하지 않은 경우 : 루트로 여러 명령을 실행해야하고 sudo가 만료되었을 때 암호를 여러 번 입력 해야하는 경우 짜증이 나고 sudo -i이제 루트입니다. 파이프를 사용하여 명령을 실행하고 싶습니까? 그런 다음을 사용하십시오 sudo sh -c "comand1 | command2".
4. 복구 콘솔에서 항상 사용할 수 있습니다 : 복구 콘솔을 사용하면 어리석은 일을하거나 앱으로 인한 문제를 해결하려고 시도하고 복구 할 수 있습니다 (여전히 sudo로 실행해야했습니다 :)) 우분투에는 암호가 없습니다 이 경우 루트 계정의 경우 온라인으로 검색하여 변경할 수 있으므로 상자에 물리적으로 액세스하는 사람이 해를 입히기가 더 어려워집니다.

왜 나쁜지에 대한 정보를 찾을 수없는 이유는 인터넷에 너무 많은 데이터가 있기 때문입니다. :) 오랫동안 리눅스를 사용해온 많은 사람들이 당신처럼 생각하기 때문입니다. 루트 계정에 대한 이러한 사고 방식은 상당히 새롭고 (아마도 10 년 일까?) sudo를 사용해야해서 많은 사람들이 여전히 짜증을냅니다. 특히 서버에서 작업하는 경우 시스템을 변경하려는 의도가있었습니다. 아마도 이전의 나쁜 경험과 보안 표준으로 인해 대부분의 시스템 관리자는 더 잘 알고 있지만 여전히 좋아하지는 않습니다 :).

좋은 질문입니다. 서버 또는 데스크톱 설치에 대한 답변에 따라 대답이 약간 다르다고 생각합니다.

데스크톱에서는 root계정 을 사용하는 것이 일반적이지 않습니다 . 실제로 우분투는 루트 액세스가 비활성화 된 상태로 제공됩니다. 수퍼 유저 권한을 필요로하는 모든 변경을 완료 sudo하고 그래픽 어원 gksudo과 kdesudo. root그러나 암호 를 설정하는 것이 쉽다는 것을 감안할 때 사람들은 왜 암호를 입력하지 않습니까?

한 가지 이유는 추가 보안 계층을 제공하기 때문입니다. 프로그램을 실행할 때 root보안 결함이 악용되면 공격자는 모든 데이터에 액세스 할 수 있으며 하드웨어를 직접 제어 할 수 있습니다. 예를 들어, 커널에 트로이 목마 또는 키 로거를 설치할 수 있습니다. 그러나 실제로는 공격이 수퍼 유저 권한 없이도 많은 양의 피해를 입힐 수 있습니다. 결국, 문서 및 저장된 비밀번호를 포함한 모든 사용자 데이터는 루트 액세스없이 액세스 할 수 있습니다.

단일 사용자 시스템에서 더 유효한 점은 사용자가 실수로 시스템을 사용할 수 없게 만드는 것입니다. 사용자가 실수로 모든 파일을 삭제하는 명령을 실행하면 데이터가 손실 된 경우에도 시스템을 부팅 할 수 있습니다.

또한 오늘날 대부분의 사용자 대면 (X11) 응용 프로그램은 관리자 권한없이 일반 사용자 계정으로 실행된다는 가정하에 구축되었습니다. 따라서로 실행하면 일부 프로그램이 잘못 작동 할 수 있습니다 root.

비 그래픽 쉘 액세스 만있는 다중 사용자 시스템에서는 이러한 이유 중 많은 것이 적용되지 않습니다. 그러나 우분투는 여전히 기본적으로 액세스 할 수없는 root계정 으로 기본 설정 됩니다. 우선, sudo보안 허점을 통해 사용자 계정에 대한 액세스 권한 ( 권한이있는) 과에 대한 액세스 권한 사이에는 실제 차이점이 있습니다 root. 첫 번째 경우 다른 사용자를 방해하면 실행이 필요 sudo하고 계정 암호를 묻는 메시지가 계속 표시됩니다. 추가 보안 단계. 다른 경우에는 사용자 계정에서 많은 관리 작업을 수행 sudo하고 수퍼 유저 권한이 절대적으로 필요한 경우 에만 호출하는 것이 유용 합니다. 소스에서 프로그램을 설치할 때 따라서, 소스를 구축하는 것이 좋습니다 - 실행 configure및make-사용자 디렉토리 내부에서 sudo make install최종 단계 에서만 사용 합니다. 다시 말하면 발자국으로 자신과 다른 다중 사용자 시스템의 다른 사용자를 쏘기가 더 어려워지고 시스템에 혼란을주는 빌드 스크립트의 가능성이 줄어 듭니다. 따라서 서버에서도 우분투의 sudo 기반 관리 를 고수하는 것이 좋습니다 .

다른 답변으로 식별되지 않은 루트로 실행하지 않는 한 가지 이유는 추적 가능성입니다. 주로 단일 사용자 컴퓨터 (데스크톱 또는 랩톱) 인 컴퓨터에서는 문제가되지 않지만 서버 컴퓨터에서는 누군가로 로그인 한 경우 누가 root수행 한 작업에 대해 책임이 있는지 알 수 없습니다. 따라서 root권한이 필요한 여러 시스템과 관리자가 있는 대부분의 전문 조직 에서는 사람들이 자신의 사용자 ID (및 암호)를 사용하여 로그인 한 다음 필요한 경우 sudo유사한 프로그램을 사용 하여 root권한으로 작업해야합니다.

그렇지 않으면 루트로 실행되지 않는 주요 이유는 다음과 같습니다.

• 사고로 인한 손상 위험을 최소화하십시오. rm -fr / home/me/my-subdir루트로 실행 하는 경우 (첫 번째) 슬래시 이후의 공간으로 인해 시스템에서 중요한 모든 것을 극적으로 제거했습니다. 먼저 진행되는 것은 먼저 추가 된 것이므로 커널과 같은 작은 것, /bin과 /etc디렉토리. 유닉스를 잃으면 화가 나옵니다.

• 악의적 인 외부 사이트로 인한 피해 위험을 최소화합니다. 으로 탐색 root하면 악의적 인 자료의 드라이브 바이 다운로드에 거의 취약합니다.

나는 우분투보다 MacOS X를 더 많이 사용하지만 루트는 기본적으로 비활성화되어 있으며 여전히 내 컴퓨터에 있습니다. 나는 정기적으로 커널과 다른 유사한 작업을 사용하여 sudo(뒤에서) 사용합니다. 비슷한 기술이 일반적으로 Linux에 적용됩니다.

기본적으로 root실수의 위험을 피하기 위해 약식 작업 기간 동안의 모든 강력한 권한 만 사용해야합니다 .

TL; DR : 필요한 경우에만 루트로 작업하십시오. sudo이것을 꽤 쉽게 만듭니다. 루트 로그인을 활성화해도이 규칙을 따를 수 있으므로주의해야합니다. 루트 로그인을 사용하도록 설정해도 제대로 수행되지 않으면 실제로 안전하지 않지만 루트 로그인을 사용하도록 설정할 필요는 없습니다 sudo.

실제로 두 가지 관련 질문이 있습니다.

• 일상적인 컴퓨터 사용 (웹 브라우징, 이메일, 워드 프로세싱, 게임 등)을 위해 루트로 로그인하는 것이 왜 나쁜가요?
• Ubuntu가 기본적으로 루트 로그인을 비활성화 sudo하고 관리자가 특정 명령을 루트로 실행할 수 있도록 및 polkit 을 사용 하는 이유는 무엇 입니까?

왜 항상 모든 것을 루트로 실행하지 않습니까?

다른 답변들 대부분이 이것을 다룹니다. 그것은 다음과 같습니다.

1. 필요하지 않은 작업에 루트 권한을 사용하고 원하지 않는 일을하게되면 원하지 않는 방식으로 시스템을 변경하거나 손상시킬 수 있습니다.
2. 필요하지 않을 때 프로그램을 루트로 실행하고 결국 보안 취약점이나 기타 버그로 인해 의도하지 않은 작업을 수행하면 변경되거나 피해를 입을 수 있습니다 원하지 않는 방식으로 시스템.

근본으로 행동하지 않아도 해를 입을 수 있다는 것은 사실입니다. 예를 들어, 루트로 실행하지 않고 자신의 홈 디렉토리에서 모든 파일을 삭제할 수 있습니다 (일반적으로 모든 문서가 포함됨)! (다행히 백업이 있습니다.)

물론 루트로서 동일한 데이터를 실수로 파괴 할 수있는 추가 방법이 있습니다. 예를 들어, 명령에 잘못된 of=인수를 지정하고 dd파일에 원시 데이터를 쓸 수 있습니다 (파일을 삭제하는 것보다 복구하기가 더 어려운 방법).

귀하가 컴퓨터를 사용하는 유일한 사람인 경우, 루트 권한으로 만 할 수있는 피해는 일반 사용자 권한으로 할 수있는 피해보다 실제로 높지 않을 수 있습니다. 그러나 우분투 시스템을 망치 는 추가 방법 을 포함하도록 위험을 확장 할 이유는 없습니다 .

루트가 아닌 사용자 계정으로 실행하여 자신의 컴퓨터를 제어 할 수없는 경우 이는 물론 나쁜 트레이드 오프입니다. 그러나 실제로 루트로 작업을 수행 하고자 할 때 sudo와 다른 방법으로 수행 할 수는 없습니다 .

루트로 로그인 할 수없는 이유는 무엇입니까?

루트로 로그인하는 능력이 본질적으로 안전하지 않다는 생각은 신화입니다. 일부 시스템에는 기본적으로 루트 계정이 활성화되어 있습니다. 다른 시스템 sudo은 기본적으로 사용 되며 일부는 둘 다로 구성됩니다.

• 예를 들어, 세계에서 가장 안전한 범용 OS로 광범위하고 합리적으로 여겨지는 OpenBSD 는 로컬 암호 기반 로그인을 위해 활성화 된 루트 계정과 함께 제공됩니다.
• 이를 수행하는 다른 존경받는 OS로는 RHEL , CentOS 및 Fedora가 있습니다.
• 데비안 ( 우분투에서 파생 된 )은 사용자가 시스템을 설치하는 동안 어떤 접근 방식을 구성할지 결정합니다.

이 루트 계정을 사용하는 시스템, 가지고 객관적으로 잘못이 아니에요 제공을 그

1. 실제로 필요할 때만 사용 하고
2. 액세스를 적절하게 제한합니다.

초보자는 종종 우분투에서 루트 계정을 활성화하는 방법을 묻습니다. 우리는이 정보를 숨겨서는 안되지만, 일반적으로 사람들이이 정보를 요구할 때 루트 계정을 활성화 해야 한다는 잘못된 인상을 받고 있기 때문 입니다. 실제로 이것은 거의 필요하지 않으므로 그러한 질문에 대답 할 때이를 설명하는 것이 중요합니다. 루트 계정을 사용하면 루트 권한이 필요없는 루트로 쉽게 만족하고 조치를 수행 할 수 있습니다. 그러나 이것이 루트 계정을 사용 하는 것이 안전 하지 않다는 것을 의미하지는 않습니다 .

sudo사용자가 필요할 때만 루트로 명령을 실행 하도록 권장하고 도와줍니다 . 명령을 루트로 실행하려면 sudo, 공백을 입력 한 다음 명령을 입력하십시오. 이것은 매우 편리하며 모든 기술 수준의 많은 사용자가이 방법을 선호합니다.

요컨대, 루트 로그인을 활성화 할 필요가 없습니다 sudo. 그러나 필요한 관리 작업에만 사용하는 한 다음과 같은 방법 으로 루트로 활성화하고 로그온하는 것이 안전합니다 .

• 비 그래픽 가상 콘솔 에서 로컬로 .
• su다른 계정으로 로그인 한 경우 명령을 사용 합니다.

그러나 다음과 같은 방법으로 루트로 로그온하면 실질적으로 추가 된 보안 위험이 발생합니다.

• 그래픽으로. 그래픽으로 로그인하면 그래픽 인터페이스를 제공하기 위해 많은 것들이 실행되고 더 많은 응용 프로그램을 루트로 사용하여 모든 인터페이스를 사용할 수 있습니다. 이것은 실제로 루트 권한이 필요한 루트로 프로그램을 실행한다는 원칙에 위배됩니다. 이러한 프로그램 중 일부에는 보안 버그를 포함한 버그가 포함되어있을 수 있습니다.

  또한 이것을 피해야하는 비보안 이유가 있습니다. loevborg가 언급했듯이 데스크탑 환경 개발자 및 그래픽 앱 개발자는 루트로 테스트하지 않는 경우가 많으 므로 루트로 그래픽으로 로그인하는 것은 잘 지원 되지 않습니다. 그래도 루트로 그래픽 데스크탑 환경에 로그인해도 사용자가 실제 알파 및 베타 테스트를받지 못합니다 (위에서 설명한 보안상의 이유로).

  특정 그래픽 응용 프로그램을 루트로 실행해야하는 경우 또는 을 사용할 수 있습니다gksudosudo -H . 루트 계정으로 그래픽으로 로그온 한 경우보다 루트로 훨씬 적은 프로그램을 실행합니다.

• 떨어져서. 이 root계정은 사실상 모든 작업을 수행 할 수 있으며 사실상 모든 유닉스 계열 시스템에서 동일한 이름을 갖습니다. 를 통해 루트로 로그인 ssh또는 기타 원격 메커니즘, 또는에 의해 이를 허용하는 원격 서비스를 구성 , 당신은 자동화 된 스크립트 악성 코드 폭력, 사전 공격을 통해 접근하기 위해, 봇넷에서 실행을 포함하여, 침입자 훨씬 더 쉽게 (그리고 가능 일부 보안 버그).

  암호 기반 루트 로그인이 아닌 키 기반 만 허용하면 위험이 그리 크지 않습니다 .

우분투에서는 기본적으로 root로 로그인을 활성화 하더라도 SSH를 통한 그래픽 루트 로그인이나 원격 로그인이 활성화되지 않습니다 . 즉, 루트 로그인을 활성화하더라도 합리적으로 안전한 방식으로 만 활성화됩니다.

• Ubuntu에서 ssh 서버를 실행하고 변경하지 않은 /etc/sshd/ssh_config경우 해당 라인이 포함됩니다 PermitRootLogin without-password. 암호 기반 루트 로그인은 비활성화되지만 키 기반 로그인은 허용됩니다. 그러나 기본적으로 키가 구성되어 있지 않으므로 설정하지 않으면 작동하지 않습니다. 또한 키 기반 원격 루트 로그인은 암호 기반 원격 루트 로그인보다 훨씬 덜 나쁩니다. 부분적으로 무차별 대입 및 사전 공격의 위험이 발생하지 않기 때문입니다.
• 기본값 이 당신 을 보호 해야 하지만 루트 계정을 활성화하려는 경우 여전히 ssh 구성을 확인하는 것이 좋습니다. ftp와 같은 원격 로그인을 제공하는 다른 서비스를 실행하는 경우 해당 서비스도 확인해야합니다.

결론적으로:

• 필요할 때만 루트로 작업하십시오. sudo원할 때 언제든지 루트의 모든 힘을 제공하면서도 그렇게 할 수 있습니다.
• 루트의 작동 방식과 루트의 과잉 사용 위험을 이해하면 루트 계정을 활성화하는 것이 보안 측면에서 실제로 문제가되지 않습니다.
• 그러나 당신이 그것을 이해한다면, 당신은 거의 확실하게 루트 계정을 활성화 할 필요 가 없다는 것을 알고 있습니다 .

여기에서 다루지 않은 sudo추가 이점을 포함하여 root 및에 대한 자세한 내용을 보려면 Ubuntu 도움말 위키에서 RootSudo 를 사용하는 sudo것이 좋습니다 .

루트 계정 은 기본적으로 비활성화되어 있습니다. 즉, 존재하지만 사용할 수는 없습니다 (복구 모드 제외). 이는 공격자가 루트 계정을 알고 있지만 루트 암호를 가지고 있어도이를 사용할 수 없음을 의미합니다. 따라서 공격자는 관리자 권한이있는 사용자 이름과 해당 사용자의 암호 (루트 암호를 알아내는 것보다 훨씬 어렵다)를 모두 추측해야합니다. XP에서 복구 콘솔을 설치 한 경우 암호를 요구하지 않고 상자에 물리적으로 액세스 할 수 있습니다 (RC). 우분투의 복구 모드와 동일합니다.

우분투에서 루트가 비활성화되었다고 말할 때 실제로 의미하는 것은 계정이 잠겨 있다는 것입니다. 암호를 가능한 암호화 된 값과 일치하지 않는 값으로 변경하면 계정이 잠 깁니다. 이렇게하면 암호를 입력 할 수있는 방법이 없기 때문에 루트로 로그인 할 수 없게됩니다. 루트 액세스가 필요한 경우가 여전히 있기 때문에 우분투 커널은 단일 사용자 모드에서만 루트 로컬 로그인을 허용하도록 수정되었습니다.

이 페이지 도 참조 하십시오

AK47로 작은 아이를 무장시키는 것과 마찬가지로 페인트 볼 총으로 즐겁게 놀 수 있습니다. ;)

당신과 당신의 응용 프로그램을 그들은 필요로하고 일을 할 때 즉 더 권한을 가지고 있기 때문에 나는 그것의 잘못을 의미 할 수 있습니다 그리고 때로는 것이다 잘못 :(

아주 좋은 질문입니다 ... 실용적인 관점에서 대답하겠습니다.

10 년 전인 Linux를 사용하기 시작했을 때 주요 배포판은 오늘날처럼 루트가 아닌 계정을 사용하여 광고하지 않았습니다. Windows에 익숙해 졌을 때 제한된 사용자 계정을 사용하는 것도 중요하지 않았습니다. 특히 "su"를 자주 입력해야했기 때문에 sudo는 그 당시 인기가 없었습니다. ;-) 시스템을 제대로 구성하려면 많은 유지 보수 작업이 필요했기 때문에 항상 루트로 로그인했습니다. 그러나 새로 설치된 모든 시스템이 빠르게 불안정 해졌다는 것을 추측하십시오.

예를 들어 한 가지 구체적인 문제 : Linux 용으로 예약 된 하드 디스크 공간이 많지 않아 파티션에 0 바이트가 남아있는 것이 몇 번이나 발생했습니다. 정확한 메커니즘을 모르기 때문에 완전히 정확하지는 않지만 루트가 아닌 계정으로 디스크를 채울 때 항상 몇 킬로바이트가 남아 있습니다. 그러나 실제로 0 바이트가 남아 있으면 시스템에서 이상한 오류가 발생하고 백그라운드에서 실행중인 시스템 소프트웨어가 많기 때문에 시스템 손상을 해결하기가 어려울 수 있습니다 ...

또 다른 것은 : 루트와 비 루트를 구분하면 시스템을 잘 구성 할 수 있습니다. 루트 사용자는 새 응용 프로그램을 깨끗하게 설치하지 않고 더럽고 유지 관리가 쉬운 시스템을 만들려고 할 수 있습니다.

그러나 좋은 점 : 현대 배포판은 대부분의 관리 작업을 수행하므로 루트 계정으로 Linux 시스템의 장을 피하는 일은 거의 없습니다. 때때로 암호를 입력하면 충분하며 나머지는 배포자의 스크립트에 의해 수행됩니다.

그러나 95 또는 98을 사용했다면 Windows 시스템에 문제가 없었을 것입니다. (적어도 나는 그것에 문제가 있습니다 ...) "Windows 앱은 사용자에게 알리지 않아도 Spyware가 설치되어 있다고 느끼면 무엇이든 할 수 있다고 가정합니다. Microsoft는 Vista를 출시 할 때이 문제에 관여했습니다. (실제로 sudo 메커니즘을 구현합니다.) 따라서 사람들은 "당신은 그렇게 할 수 없습니다"라는 매우 성가신 대화를 얻었습니다. Vista를 준수하지 않는 일부 소프트웨어의 경우 관리자처럼 더러운 해킹이 필요했습니다.

이 접근 방식에는 많은 측면이 있습니다. 그들 중 일부는 다음과 같습니다.

여기 좋은 기사가 있습니다 : http://cf.stanford.edu/policy/root

rm /*

관리 구역을 청소했다고 가정하겠습니다. 당신은 비밀번호에 질리므로 sudo su. 당신은 두 번째로 산만하고 CD를 잊어 버립니다 /. 그럼 당신 rm *. 난 끝냈어. 다시 돌려받을 수 있지만 PITA입니다. 아, 그리고 그것도 내려 왔습니다 /media!

왜 루트 로그인이 없습니까?

루트로 로그인 할 수있는 수퍼 유저 계정의 암호를 만들 수 있지만 이것이 "우분투"방식이 아니라는 점을 언급 할 가치가 있습니다. 우분투는 기본적으로 루트 로그인 및 비밀번호를 제공 하지 않기로 선택했습니다 . 대신 기본 Ubuntu 설치에서을 사용 sudo합니다.

Sudo는 수퍼 유저 작업을 수행하기 위해 사람들에게 루트 암호를 제공하는 대안입니다. 기본 우분투 설치에서 OS를 설치 한 사람에게는 기본적으로 "스도"권한이 부여됩니다.

"sudo"권한이있는 사람은 sudo자신의 명령 앞에 "수퍼 유저"로 무언가를 수행 할 수 있습니다 . 예를 들어 apt-get dist-upgrade수퍼 유저 로 실행 하려면 다음을 사용할 수 있습니다.

sudo apt-get dist-upgrade

sudo 접근 방식의 장점

• sudo를 사용하면 sudo 액세스 권한이있는 사용자를 미리 선택하십시오. 그들은 자신의 암호를 사용하기 때문에 루트 암호를 기억할 필요가 없습니다.

• 여러 명의 사용자가있는 경우 루트 비밀번호를 변경하지 않고 모든 사람에게 새 비밀번호를 알리지 않고도 sudo 권한을 제거하여 수퍼 유저 액세스 권한을 취소 할 수 있습니다.

• sudo를 사용하여 사용자가 수행 할 수있는 명령과 해당 사용자에 대해 금지 된 명령을 선택할 수도 있습니다.

• 마지막으로 보안 위반이있는 경우 어떤 사용자 계정이 손상되었는지를 보여주는 더 나은 감사 추적을 남길 수 있습니다.

Sudo를 사용하면 수퍼 유저 권한으로 단일 명령을보다 쉽게 ​​수행 할 수 있습니다. 루트 로그인을 사용하면 영구적으로 사용 종료해야하는 수퍼 유저 쉘에 남아 exit나 logout. 이로 인해 사람들이 로그 아웃했다가 나중에 로그인하는 것보다 편리하기 때문에 필요 이상으로 수퍼 유저 셸에 머무를 수 있습니다.

sudo를 사용하면 다음 명령으로 영구 (대화식) 수퍼 유저 셸을 열 수 있습니다.

sudo su

... 그리고 이것은 루트 암호 없이도 수행 할 수 있습니다. 왜냐하면 명령에 sudo슈퍼 유저 권한을 부여하기 때문 su입니다.

마찬가지로 su -로그인 쉘 대신 sudo su -또는 을 사용할 수도 sudo -i있습니다.

그러나 그렇게 할 때 모든 명령에 대해 수퍼 유저 역할을한다는 것을 알아야합니다. 실수로 시스템에 손상을 줄 가능성을 줄이기 위해 필요 이상으로 수퍼 유저로 머 무르지 않는 것이 좋은 보안 원칙입니다 (시스템 없이는 사용자 소유의 파일 만 손상시킬 수 있음).

다만, 명확하게 당신은 할 수 있습니다 당신이 선택하면 특별히 대신 물건이 방법을 수행하려는 경우, 루트 사용자에게 루트로 로그인을 허용하는 암호를 제공합니다. 우분투를 선호하는 우분투 협약에 대해 알려주고 sudo우분투가 그 접근법을 기본으로 선호하는 이유를 설명하고 설명하고 싶었습니다 .

SSH를 통한 루트 로그인을 허용하지 않는 이유는 무엇입니까?

루트 사용자가 경우에도 않는 루트로 로그인 할 수 있도록 암호가, 그러한 SSH와 같이 외부에서 직접 루트 로그인을 비활성화 할 수있는 좋은 보안 방법이 아직도있다. 사용자 는 최초 로그인 이후 su -또는 sudo이후 로그인해야합니다.

이것의 잠재적 이점은 주로 보안 관련입니다.

• 루트 암호를 원격으로 무차별 공격 할 가능성을 제거하여 공격 경로를 줄입니다. SSH를 통해 루트 암호를 무차별 강제로 시도하면 인터넷상의 서버가 끊임없이 방해를받는 것이 일반적입니다.

• 공격자 가 나중에 수퍼 유저 권한을 얻는 위반이 발생하더라도 액세스 권한을 얻는 데 사용 된 사용자 계정을 확인할 수 있도록 감사 추적 기능이 향상 되었습니다.

루트로 로그인하면 응용 프로그램, 스크립트 또는 명령 줄 명령을 사용하여 시스템을 손상시킬 수있는 소프트웨어의 민감한 부분에 액세스 할 수 있습니다. 이는 사용자 나 프로그래머가 경험하지 못했거나 악의적 인 숨겨진 코드 때문일 수 있습니다.

루트로 작동 할 때 너무 쉽게 엉망이됩니다. 하나의 명령으로 전체 시스템을 클로버 할 수 있습니다 ...

Windows의 Administrator와 Unix의 root 사이에 차이가 있다고 덧붙일 수 있습니다. 관리자는 여전히 루트가없는 시스템에 일부 제한이 어떤 제한을. Windows에서 올바른 루트 아날로그는 시스템 사용자입니다.

루트 / 시스템에서 PC를 사용하는 나쁜 점은 OS의 경고없이 실수로 모든 것을 파괴 할 수 있다는 것입니다.

루트를 사용하지 않는 이유 :

• 실수로 시스템 파일을 파괴 할 수 있음
• 감염 될 수 있습니다
• 작업을 기록하지 않습니다

루트를 사용하는 이유 :

• 입력 암호없이 모든 것에 액세스
• GUI, 시스템 파일 / 디렉토리 관리를위한 터미널 사용 안함

루트가 아닌 계정은 여전히 ​​루트 사용에 대한 이러한 이유의 희생양이 될 수 있습니다. 나는 당신이하고있는 일을 아는 한 루트를 사용하여 완벽하게 안전하다고 생각합니다. 나는 말했다.

응용 프로그램이 루트로 실행되는 경우 응용 프로그램이 실행되지 않을 것이라는 보장은 없습니다

rm -rf /

(이것은 실행 해서는 안되는 명령의 예입니다 .)

지식 및주의 사용자 감안할 때, 나는 모르겠어요 바로 답이 존재한다. 나는이 답변을 보지 못했기 때문에 나는 차임 할 것이라고 생각했다.

내가 싫어하는 것은 나중에 필요한 다중 사용자 시스템에서 의도하지 않은 권한 변경입니다 chmod. chmod after-the-fact를 통한 수정은 sudo가 필요한 것보다 훨씬 더 자극적이지만, 내가 계획 한 것에 달려 있습니다.

주의해서 사용하면 루트로 기록 할 위험이 없습니다.

나는 루트를 비활성화하는 것이 바람직한 해결책이라고 생각하지만 공격자가 무차별 적으로 강제 할 수 없기 때문입니다.

한 가지 해결책은 이름이 모호한 sudo 그룹에서 사용자를 작성 gamer하고 sudo를 사용하여 관리 태스크를 수행하는 것입니다.

따라서 공격자는 해당 관리 사용자의 비밀번호뿐만 아니라 그의 로그인 이름도 추측해야합니다. 사용자가 사용 sudo는이 같은 이름을 로그인 한 경우 어느 명확하지 않다 kitty거나 gamer또는 비슷한.

소프트웨어는 공유 라이브러리, 종속성, 구성 파일 등을 기반으로합니다.
대부분의 경우 응용 프로그램에서 한 번의 클릭으로 여러 위치의 "연쇄 반응"이 발생합니다.
이러한 변경 사항이 시스템 중요 설정에 영향을 미치면 사용자로서 알고있는 것이 좋습니다.
그렇기 때문에 루트 액세스가 좋은 보안 모델입니다.
시스템에 중요한 일이 발생하면 권한 상승을 요청하여 알림을받습니다.

하나 이상의 답변에 대한 두 가지 문제입니다.

현실에 대해서는 이것에 대해 항상 똑같지 만 오답을 확인하십시오.

desktop installations:

• 자신의 사용자와 필요한 경우 sudo를 사용하십시오. 그렇지 않으면 실제로 수행중인 작업을 알지 못하고 시스템이 손상되어 공격 벡터를 성공적으로 사용했습니다
• 대기업에서는 관리자 인 경우에도 주석 호일의 수에 따라 자신의 워크 스테이션에 대한 루트 권한이 없을 수도 있습니다.

server installations:

• 짧은 작업 세션을 루트로 합법적으로 수행하는 것 (암호가없는 로그인, 모든 서버에 대한 적절한 ssh 키 관리 및 모든 암호 로그인에 대해 fail2ban을 구성한 경우) 및 모든 데몬 / 서비스를 갖는 것에는 큰 차이가 있습니다. 자체 사용자 (필수)로 실행-대부분의 사람들은 차이를 깨닫지 못하는 것 같습니다.
  
• 재미를 위해 : 루트로 액세스하지 않고 버전 제어 구성 관리 도구 (git 서버의 파일과 함께 사용 가능 / 꼭두각시 / 소금 / 무엇이든)를 사용해보십시오. (이러한 특수 시스템과 모니터링 및 백업 시스템에 대해 AAA 형식이 있습니까?)
  
• 또한 : rm -rf /대부분의 주류 배포판 IIRC에서 기본값이 작동하지 않습니다 .
• 진지한 직장에는 서버 호스트에 액세스하기위한 점프 호스트 / 바스 티온 호스트가 있습니다.
  
• sudo가 있고 jumphost가없는 경우 호스트 로그를 수정하여 결국에는 미러링되지 않으면 호스트 로그를 수정할 수 있습니다.
• 또한 ssh 로그가 '정리'되면 네트워크 모니터링 시스템이 더 이상 존재하지 않으면 호스트에 있었음을 증명할 수 없습니다.

적절한 모니터링 / 백업 / 자동화 / 로깅 수단이없는이 두 극단 사이의 회사 규모 (읽기 : 정적 IP가있는 SOHO 일 가능성이 가장 높음)에 대해 서버에서 sudo 사용을 강제하는 것이 유용 할 수 있습니다. ( sudo su -연결 후 ASAP을 사용 하는 사람들이 우회하여 한 명의 루트 사용자가 로그인하자마자 악의적 인 의도 없이도 발생하는 모든 로깅 의도를 낭비 할 수 있습니다. 강제 절차를 통해이를 변경하고 드라코 니안으로 사람들을 치료하십시오. 규칙을 지키지 못하는 조치. 삶은 항상 길을 찾는다.)

그러나 암호 로그인을 보호하기 위해 적어도 fail2ban이없는 경우 (특히 인터넷 연결 시스템에 존재하는 경우) 올바른 암호 처리 (암호 관리 도구, 보존 정책, 마스터 암호 없음, 직원에 따라 처리) 변동 ...) 및 서버 집합에 대한 적절한 업데이트 관리 형식이 있으므로 모든 서버가 정기적으로 패치 되므로 언젠가는 내부 또는 외부에서 해킹 당할 수 있습니다.

그리고 항상 sudo종교적으로 사용하고 모든 사람들에게 그 사용을 강요했다고하더라도 그 경우에 많은 것을 소유 할 확률은 변하지 않을 것입니다.

궁극적으로 루트로 실행하는 데 아무런 해가 없습니다. OS를 다시 설치할 수 없다고 생각하는 것은 편집증 환자의 무리입니다. "누군가 프로그램을 손상시킬 수 있습니다."라는 주장은 무엇입니까? 그렇게하면 이미 암호를 키로그하거나 루트 암호 요청을 표시하여 암호를 제공 할 수 있습니다. /에서 모든 것을 선택하고 삭제하기 때문에 시스템을 날려 버립니까? 잘, 설치 프로그램을 꺼내고 다시 설치하십시오. 20 분도 걸리지 않으며 커피를 마시 며 차가워집니다. 루트는 괜찮습니다. 내가 기억할 수있는 한 루트를 실행 해 왔으며 그 기능을 알고 있습니까? 패키지 설치가 덜 골치 아프지 않습니다. 평소처럼 5 분마다 루트 암호를 입력하지 않아도됩니다. 시스템 설정 파일을 저장 / 편집하려고 할 때 문제가 발생하지 않습니다. 루트 권한 만 다시. 루트로 실행하는 것이 훨씬 쉽고 쉽습니다.