Domovská » jak » Proč byste se neměli přihlásit do vašeho systému Linux jako kořen

    Proč byste se neměli přihlásit do vašeho systému Linux jako kořen

    V systému Linux je kořenový uživatel ekvivalentní uživateli správce v systému Windows. Nicméně, zatímco Windows má již dlouho kultura průměrných uživatelů, kteří se přihlásí jako správce, neměli byste se přihlásit jako root na Linuxu.

    Společnost Microsoft se pokoušela zlepšit postupy zabezpečení systému Windows pomocí nástroje UAC - neměli byste se přihlásit jako root na Linux ze stejného důvodu, neměli byste zakázat UAC v systému Windows.

    Proč používá Ubuntu Sudo

    Odradit uživatele od běhu jako root je jedním z důvodů, proč Ubuntu používá sudo namísto su. Ve výchozím nastavení je rootové heslo uzamčeno v Ubuntu, takže průměrní uživatelé se nemohou přihlásit jako root, aniž by jeli z cesty, aby znovu povolili kořenový účet.

    Na jiných distribucích systému Linux je historicky možné přihlásit se jako root ze grafické přihlašovací obrazovky a získat kořenovou plochu, ačkoli mnoho aplikací se může stěžovat (a dokonce odmítnout spustit jako root, jak to dělá VLC). Uživatelé pocházející z systému Windows se někdy rozhodli přihlásit jako kořen, stejně jako používali účet správce v systému Windows XP.

    S příkazem sudo spustíte určitý příkaz (předpřipravený sudo), který získá oprávnění root. S su použijete příkaz su pro získání kořenového shellu, kde byste spustili příkaz, který chcete použít předtím (snad) opustit kořenový shell. Sudo pomáhá prosazovat osvědčené postupy a spouští pouze příkazy, které je třeba spouštět jako root (například příkazy k instalaci softwaru), aniž byste opustili kořenový shell, kde můžete zůstat přihlášeni nebo spustit jiné aplikace jako root.

    Omezení poškození

    Když se přihlásíte jako své vlastní uživatelské konto, spouštěné programy mají omezenou možnost zapisovat do zbytku systému - mohou psát pouze do domovské složky. Nemůžete modifikovat systémové soubory bez získání kořenových oprávnění. To pomáhá udržet váš počítač v bezpečí. Například pokud prohlížeč Firefox měl bezpečnostní otvor a spustil jste ho jako root, škodlivá stránka by mohla zapisovat do všech souborů ve vašem systému, číst soubory v domovských složkách jiných uživatelských účtů a nahradit systémové příkazy za ohrožené ty. Na rozdíl od toho, pokud jste přihlášeni jako omezený uživatelský účet, škodlivá webová stránka by nedokázala provést žádnou z těchto věcí - bude to možné pouze ve vaší domovské složce. Zatímco toto může stále způsobit problémy, je to mnohem lepší než ohrožení celého vašeho systému.

    To také pomáhá chránit vás před škodlivými nebo prostě buggymi aplikacemi. Pokud například spustíte aplikaci, která se rozhodne odstranit všechny soubory, do kterých má přístup (pravděpodobně obsahuje nepříjemnou chybu), aplikace vymaže náš domovský adresář. To je špatné, ale pokud máte zálohy (což byste měli!), Je snadné obnovit soubory ve své domovské složce. Pokud by však aplikace měla kořenový přístup, mohla by smazat každý jednotlivý soubor na pevném disku, což vyžaduje úplnou přeinstalaci.

    Jemné oprávnění

    Zatímco starší linuxové distribuce používaly všechny programy správy systému jako root, moderní desktopy Linux používají politiku PolicyKit pro ještě jemnější správu oprávnění, která aplikace přijímá.

    Aplikace pro správu softwaru by například mohla mít pouze oprávnění k instalaci softwaru ve vašem systému pomocí nástroje PolicyKit. Rozhraní programu by běželo s oprávněním omezeného uživatelského účtu, pouze část programu, ve kterém byl nainstalován software, by dostával zvýšená oprávnění - a ta část programu by byla schopna nainstalovat pouze software.

    Program by neměl úplný kořenový přístup k vašemu celému systému, který by vás mohl ochránit, pokud v aplikaci bude nalezen bezpečnostní otvor. PolicyKit také umožňuje omezené uživatelské účty provést některé změny správy systému bez získání úplného přístupu k serveru root, což usnadňuje běh jako omezený uživatelský účet s menšími potížemi.


    Linux vám umožní přihlásit se do grafické plochy jako kořen - stejně jako vám umožní vymazat každý soubor na vašem pevném disku, zatímco je váš systém spuštěn, nebo zapisovat náhodný šum přímo na pevný disk, čímž znemožníte souborový systém - ale to není Není to dobrý nápad. Dokonce i když víte, co děláte, systém není navržen tak, aby byl spuštěn jako root - obcházíte většinu bezpečnostní architektury, která zajišťuje, že Linux je tak bezpečný.