Et liv som superbruger, er det farligt..?

[Jakob77]

Så vidt jeg ved, må det være muligt at logge sig på som permanent superbruger, når man booter op.

Det vil gøre mange ting nemmere, når man skal rode med systemet.

Men det giver også en forøget risiko.

Hvor stor er den risiko..?


Hvis nogen har lyst til på jævnt dansk at fortælle lidt om "sudo", "gksu", "gksudo" og andre kommandoer, som starter superbrugerniveau, så vil det glæde mig meget.

Er en superbruger helt den samme som "root"..?

[Warhawk]

Ubuntu har deaktiveret selve root-kontoen, så det er kun muligt at logge ind som almindelig bruger, hvor man så kan opnå superbrugerrettigheder når dette er nødvendigt.

Visse andre Linux distroer opretter både root og bruger ved installation. Det må stærkt frarådes at køre som root, da den mindste fejl fra din side kan få alvorlige konsekvenser for dit system. Desuden vil systemet også være mere sårbart overfor skadelig kode.

[cmay]

ja.
jacob77. i det udenlandske ubuntu forums vil man kunnne blive permant banned (smidt ud af forum) hvis man begyndte at overtale andre til at leve et liv som superbruger som du udtrykker det.

eller få en infraction(straffepoint ) hvis man nævner overfor nogen hvordan man kan gøre det for det BANDLYST i ubuntu forums.org som reglerne er lige nu med login som root tutorials og rådgivning..

hvis nogensinde du kommer til at ødelægge noget andet end dit eget $home /egen hjemmemappe så er det som superbruger.

dertil kommer at hvis andre vil have adgang til dit system så er det meget mere nemt hvis du køre som root eller superbruger som er det samme.

en gylden regel er at man ALDRIG laver nogen ændring i roots PATH fordi man kan trikse rootkits ind den vej.

en anden ting er man aldrig logger ind som root direkte og
man skal helst have en meget god grund til det.

forskellen på gksu gksudo og su og sudo er meget simplet.
gk su og gksu skal bruges til at starte grafiske programmer og sudo og su bruges til terminalen. lad være at bruge su men brug sudo eller gksudo.

og lad være med at søge mere information om hvordan du bliver superbruger permanent.

det ville være noget af det mest tvivlsomme du kunne gøre. istedet så kan man sige det på den måde at hvis du en dag får brug for at logge ind som root direkte uden om sudo så kendte du nok tilsystemet til at vide hvorfor og hvordan du skulle gøre dette. og så ville du heller ikke føle nogen trang til at gøre det medmindre det var højst på krævet.

venlig hilsen cmay:

EDIT:
jacob77 du må gerne benytte dig af pm systemet hvis der en gang imellem er spørgsmål om omkring linux (grundlæggende).
jeg skal nok besvare dem med tiden når jeg har den. så har du fået tilbuddet.

[Jakob77]

Ok, jeg forstår så, at det faktisk er temmelig farligt at være superbruger. Jeg ser også godt, at det øger risikoen for min hjemmemappe, som jo reelt er den eneste mappe, der indeholder noget, som er meget vigtigt for mig.

[Warhawk]

Godt at du forstår alvoren i det. Det du ville have gang i underminerer totalt sikkerheden - så kan du lige så godt vende tilbage til Windows.

Det er ikke for at være på nakken af dig, men lige dette emne er kontroversielt og du bør virkelig lytte til os og glemme alt om det. Men hvad du foretager dig på din egen maskine er jo dit valg.

[Jakob77]

Det er da helt ok, at I er på nakken af mig med gode argumenter, når jeg er på gale veje. Ellers lærer jeg jo for lidt.
Jeg vidste slet ikke, at emnet var kontroversielt. Men så er det da nok udmærket, at det også kommer op her, så flere kan se det.

Jeg mener at have lagt mærke til, at en "sudo"-kommando bliver hængende i systemet i nogle minutter efter den er brugt. Bør man ligefrem være off-line i den tid, og når kommandoen startes..?

[cmay]

godt at du forstår alvoren i det. Det du ville have gang i underminerer totalt sikkerheden - så kan du lige så godt vende tilbage til Windows.

du kan i værste fald ødelægge din harddisk med en simpel kommando.

windows yder dog givet vis lidt mere beskyttelse i forhold til det.

jeg har prøvet på en gammel testmaskine at lege med de forbudte kommandoer og faktum er at de virker faktisk.

også dem man laver ved en fejl. som man burde have set inden og ville kræve sudo for at udføre .

[cmay]

Det er da helt ok, at I er på nakken af mig med gode argumenter, når jeg er på gale veje. Ellers lærer jeg jo for lidt.
Jeg vidste slet ikke, at emnet var kontroversielt. Men så er det da nok udmærket, at det også kommer op her, så flere kan se det.

Jeg mener at have lagt mærke til, at en "sudo"-kommando bliver hængende i systemet i nogle minutter efter den er brugt. Bør man ligefrem være off-line i den tid, og når kommandoen startes..?

sudo virker i femten minutter på ubuntu hvilket mange også synes er for lang tid.

jeg laver kun mine administrator opgaver på en maskine som står tændt lige for det formål og slukker ned igen og så bruger jeg maskinen bagefter som normal bruger med en uprivilgeret bruger. fordi jeg betragter min administrator opgaver som en system administator på et flerbruger UNIX lignede system
og min almindelige konto som en bruger på dette system.

der er ingen grund til at have flere rettigheder end man aktuelt har brug for.

eller retter i linux er magt for at have magten i sig selv sjældent en god ide.

[laoshi]

Du kan deaktivere den såkaldte 'grace period' på 15 minutter hvor sudo virker ved at bruge kommandoen

Kode: Vælg alt

sudo -k

.
Hvis du vil gøre det til en permanent ordning kan du lave et alias:

Du skal først finde ~/.bash_aliases i filmanageren ved at taste ctrl+h for at se skjulte filer og så navigere ned til den. Hvis ~/.bash_aliases ikke allerede findes må du selv oprette den.
Du skal åbne filen i gedit og tilføje en ny linje som siger

Kode: Vælg alt

alias sudo='sudo -k'

Så skal du åbne ~/.bashrc i gedit. Her lokaliserer du de linjer som ser sådan ud:

Kode: Vælg alt

# Alias definitions.
# You may want to put all your additions into a separate file like
# ~/.bash_aliases, instead of adding them here directly.
# See /usr/share/doc/bash-doc/examples in the bash-doc package.

#if [ -f ~/.bash_aliases ]; then
#    . ~/.bash_aliases
#fi

her skal du fjerne # fra de 3 sidste linjer, så der kommer til at stå

Kode: Vælg alt

# Alias definitions.
# You may want to put all your additions into a separate file like
# ~/.bash_aliases, instead of adding them here directly.
# See /usr/share/doc/bash-doc/examples in the bash-doc package.

if [ -f ~/.bash_aliases ]; then
    . ~/.bash_aliases
fi

Gem og luk. Så bliver din .bash_aliases læst.
En sidste ting du skal gøre for at et permanent alias skal virke er at reloade .bash_aliases og .bashrc- det gør du med

Kode: Vælg alt

. .bash_aliases
. .bashrc

(dvs. punktum ophold punktum+filnavn)

[thj01]

Det er da helt ok, at I er på nakken af mig med gode argumenter, når jeg er på gale veje. Ellers lærer jeg jo for lidt.
Jeg vidste slet ikke, at emnet var kontroversielt. Men så er det da nok udmærket, at det også kommer op her, så flere kan se det.

Jeg mener at have lagt mærke til, at en "sudo"-kommando bliver hængende i systemet i nogle minutter efter den er brugt. Bør man ligefrem være off-line i den tid, og når kommandoen startes..?

øhhh på nakken??

det drejer sig om fornuft.

Du kan da også bare fjerne låsen din fordør - det gør det MEGET lettere at komme ind og ud med indkøbsposer.

Du kan også klæbe din kode på dit dankort - så er du fri for at huske det.

Nøjagtig af samme årsag, som du ikke gør ovenstående bør du heller ikke arbejde som administrator med mindre du skal lave administrator arbejde.

En af de store problemer med Windows er at mange programmer kører med admin rettigheder - og derfor kan man snyde disse programmer til at installere virus.

Så det drejer sig ikke om at det er kontroversielt - det er bare ufattelig dumt arbejde som superbruger hele tiden.

[Jakob77]

Jeg synes måske, at debatten får en lidt forkert klang, hvis man sidestiller et ønske om superbrugerrettigheder med at ville lade sin hoveddør stå åben eller at være magtbegærlig for magtens skyld.
Når jeg fik idéen, så er det udelukkende ud fra et ønske om at gøre tingene nemmere, så min computer bliver mere effektiv.

Med hensyn til at beskytte sig imod egen dumhed, så bør man heller ikke forledes til at tro, at man bor i en gummicelle, når man bare ikke er superbruger. Man har stadig fuld mulighed for at slette alle sine egne data blot ved et enkelt fejltryk på en tast.
Når man er bevidst om dette og har erkendt at de private data faktisk er det eneste, som man kærer sig om, så kan det være en naturlig reaktion at undre sig over, hvorfor systemet skal have så meget ekstra beskyttelse.
En hacker må IKKE kunne komme til mine private data, så jeg synes som udgangspunkt ikke, at noget andet skal have en større beskyttelse.

Men så er det bare lige, at man skal huske, at en virus i systemet netop betyder en øget risiko for de private data.

Der er åbenbart ikke en nem vej, og det er jo godt at vide, når man efterfølgende får 100 seje kampe for at gøre tingene ligeså nemme uden superbrugerrettigheder.

Men jeg vil nu stadig gerne have "exit" til at virke i et script.






laoshi


Tak for den gode kode:

Kode: Vælg alt

sudo -k

Den tror jeg da næsten, at jeg vil bygge ind i et par scripts.


Det er da også et lille perleindlæg, du fik lagt om alias.
Men du har vist glemt, at du i forvejen har givet mig specialundervisning i det, og jeg sov ikke i den time.
Jeg vover så at supplere dig med at sige, at man ikke må regne med alias i et script, så det er kun til terminalprompten.

Og hvis vi alle overgiver os til standardkonfigurationen (den påstået sikre) , hvor ~/bin er den private pathmappe, så må vi nok også til at vænne os til at angive absolut sti (full qualified path) i samtlige scripts for samtlige kommandoer, så der heller ikke er risiko for fejl på den konto.
Er vi stramme, eller er vi slappe..?

[cmay]

som jeg ser det så er der hvor det går galt med linux og almindelige bruger er at de ikke kan forstå at linux er en UNIX lignede system som er et flerebruger system .

når man bruger lnux er man således administator for et flerebruger system og samtidig almindelig bruger.

det er folk ikke vant til fra windows.

næste ting er at hvis en cracker som det hedder vil ind i en linux maskine så er en som køre med superbruger rettigheder meget nem at ramme i forhold til en som bruger de to roller man spiller på systemet skarpt adskilt som jeg gør det.

hvis man så hjælper skæbnen på vej og så downloadere og installer alt verdens ting og sager der kan lade sig gøre alle steder fra så skal det nok lykkes at blive kompomiteret på et tidspunkt. (jeg har selv prøvet at blive cracket på en bsd installation) selv om på linux skal man lede langt efter en decideret webside der har en skadelig .deb fil som man kan hente.
jeg er mere nervøs for de restrictive drivers som firmaer ikke lade ubuntus udvikler undersøge og forbedre end jeg er for craking via en trojaner eller malware som man kender det fra windows.



jeg har den første konto som har sudo rettigheder også på min debian selv om jeg selv skal ændre dette.

så har jeg en fuldstændig uprivilgeret konto til mit hverdags brug.

disse to ting er klart adskilt for mig.

og det er bare en vane sag.
(med tiden kommer man også til at føle sig meget godt tilpas med det system)

hvad angår virus på linux er det meget utænkeligt at man får det for der findes faktisk næsten ingen der kan ramme linux. der findes dog et par enkle men de er desinget mere for at bevise man kan .

mens hvis man ikke bare forstår at lade være med at pille i systemet og bruge sudo og root login til alt så skulle man være rimelig sikker,.

hvad angår at slette sine egne data så ja . linux/UNIX er meget brugervenligt men ikke begynder venligt.

da linux startede med de første versioner skulle man være programør for at kunne stille det op. det var ikke muligt at compilere linux kernen med mindre at man brugte minix og systemet kørte ikke helt selvstændigt. det var skrevet af en ung student som ville lære om sin proccesor type ved at skrive en terminal driver i assembler og c og linux er kommet meget langt siden da.
så langt at de oprindelige brugere ikke bruger det mere fordi at de ikke skal programmer deres egne drivers for at stille systemet op.

disse mennekser som holder så meget af at rode med programming kaldes hackers. det er ikke media billedet at IT kriminelle som de repræsentere og de hader crakere lige så meget som vi andre gør det.

men pointen er at linus skrev et styresystem som ligner et UNIX så godt udfra de standarder som unix standarden kræver. derfor er essensen af linux stadig et terminal baseret flerbruger system som forventer at man virkelig mener de ting man skriver i den her terminal.

en windows manager var oprindeligt ikke en del af hverken linux eller UNIX. det er udviklet sig sådan med tiden. og nu er linux også en desktop arbejdstation for almindelige folk. men problemet er at folk er bare ikke klar over det potentiale og ansvarlighed overfor sit system man har som linux bruger.

derfor er den magt som man har til at gøre alt hvad man gerne vil som bruger ikke altid en god ide at tilstræbe selv om mange der kommer fra windows er vant til at have den magt konstant. desværre er det netop grunden til at windows har malware og craking konstant hvor linux ikke har.