Anledningar till att inte alltid logga in som root på server?

Jag har fått liv i en Debianinstallation på en liten dator som enbart ska vara fil-, webb- och FTP-server. Enda gången jag loggar in på den blir i princip när jag ska lägga till en ny användare på FTP-servern eller ändra i någon konfigurationsfil. Hjärntvättad som jag blivit av alla Linuxtomtar så ville jag från början absolut inte köra som root om jag inte var tvungen, utan det skulle till sudo och rättigheter och fan vet vad. Men sen ställde jag mig frågan 'Varför?'. Finns det någon som helst anledning för mig att inte bara nöja mig med root när allt jag gör ändå kräver sudo?

Det går nog tillbaka till tiden när man lätt kunde sniffa telnet trafik. Då var det bättre att logga in med en vanlig användare och köra lite skräpkommandon och sen köra su, så fick förhoppningsvis en eventuell sniffer inte med rootlösenordet. Har kanske en viss relevans även idag ifall nån skulle ha bytt ut din sshklient mot en som loggar användarnamn/lösen, men det är väl upp till var och en om man orkar bry sig.

Well... eventuella rootkit och andra otrevligheter får ju så otroligt mycket frihet om dom får husera som Gud... och det vill du ju att dom ska får va?? *sarkasm*

Det handlar om säkerhet...

Läs mitt inlägg en gång till. Fundera igenom frågan och förutsättningarna. Kom gärna med ett nytt svar sen.

Grunden till det hela är att om man vill ha så god säkerhet som möjligt i sina system, så är en av åtgärderna att alltid jobba med ett användarkonto som har så lite rättigheter som möjligt. Detta gäller alla system, oavsett plattform. Det är ju t ex inte helt ovanligt att en nätverksbaserad attack utnyttjar något säkerhetshål i någon av tjänsterna som snurrar på din server, vilket kan göra att den som attackerar får samma rättigheter som den påloggade användaren.

Men när det gäller den typen av attacker är det enligt min mening snarare viktigare att dina servrar (ftp etc) inte körs som root, utan som något annat konto med mindre rättigheter, samt dessutom helst i ett s.k. "jail" så att man inte kan ta sig runt obehindrat i filsystemet efter lyckad attack.

Men om du som du skriver loggar in en gång i månaden för att lägga till en användare, så håller jag med dig om att det känns lite overkill att skapa ett extra konto bara för det, så att du från det kontot kan köra sudo. För man får ju ha i åtanke också att varje nytt användarkonto på ett system är ju även det en potentiell säkerhetsrisk.

Så det hela mynnar ut i en avvägning i hur "rätt" man orkar göra, samt vilka konsekvenser det får om något skulle hända.

///DM

Jag har inget emot att logga in som root, däremot låter jag ingen logga in som root genom ssh direkt, eftersom då har de redan användarnamnet färdigt (kanske är jag paranoid). Istället har jag en skituser som man loggar in på och sedan kör su.

Om jag kan göra det jag vill med sudo är det väl ändå lika dåligt som att logga in som root?

Nej, eftersom sudo kräver att du ger din användares lösenord igen. Något som elak kod troligen inte har tillgång till. Du kan ju även konfa din sudo så att du endast kan göra vissa saker. I fleranvändarsystem är vidare personliga konton + sudo att föredra, eftersom man då får en bättre spårbarhet i vem som gjort vad.

///DM

Jag är inte helt erfaren av sudo så rätta mig om jag har fel, men kräver inte sudo på samma sätt som su lösenord när man ska köra ett kommando. Skillnaden är att man måse skriva sudo innan varje kommand medans su ger dig ett bash?

Om elak kod inte har tillgång till användarens lösen så har den säkert inte tillgång till rootlösen vilket ger samma problem i att få ett lösen.

Jag kan förstå att det fungerar bättre med fleranvändarsystem eftersom man kan begränsa vad folk kan göra med sudo(antar jag), men om användaren är tillåten att köra sudo -s så kan han/hon ändra i log filen också?

Skillnaden är att lösenordet du ger är ditt eget och inte roots. Men självklart kräver sudo en noggrant uppsatt /etc/sudoers-fil för att man inte skall kunna köra vilka kommandon som helst genom sudo. Sudo är även praktiskt om du t ex har fler datorer med samma root-lösenord, och vill ge en person root-rättigheter på endast en av datorerna utan att berätta vad du har för root-lösen.

Vissa typer av elak kod kan utnyttja det shell du redan har igång. Om du i det shellet är root (id=0), så kommer den elaka koden att kunna göra mer än om du varit din egen användare.

///DM

Du kommer definitivt INTE få jobb som säkerhetskonsult med den inställningen...

Återigen, det handlar om säkerhet... det är riskabelt att låta hela världen ha root acc på sin burk... jämför gärna med Windows... hur mycket skit finns inte till Windows egentligen... och detta tack vare att per default så blir det första användarkontot lika med ett admin konto... dvs du kan installera precis vad som helst på ett användarkonto under Windows...

Inte i Vista...

///DM

Och du kommer definitivt inte heller att få det jobbet eftersom du inte begriper ett par meningar skriven text. Jag tar det en gång till så du får lite lättare.

• Linux-system.
• Enbart fil- webb- och FTP-server.
• Endast någon enstaka inloggning av mig själv vid de få tillfällen användare ska läggas till på FTP'n eller i Samba.
• Jag gör inget annat på servern.

Menar du att det är en oerhörd säkerhetsrisk att logga in som root - via SSH som enbart är möjligt från datorer innanför min router - och skriva
vim /etc/samba/smb.conf
knappa in ny katalog osv i config-filen, spara, och sen logga ut?
Jag låter inte hela världen ha root-access på servern. Enda användaren på hela servern är jag. Det enda 'världen' kommer åt på den är FTP-servern - vsftpd, och webbservern - lighttpd.