Risco de segurança no uso diário de uma conta de administrador (não raiz)?

8

A única coisa que distingue minha conta de administrador das contas normais é que ela é membro do sudogrupo e pode ser executada sudo. É menos seguro usar minha conta de administrador para o trabalho diário? Se sim, por que?

Suponha que eu tenha muito cuidado ao digitar minha senha e saiba o que um comando faz antes de executá-lo, é claro.

Se eu usasse uma conta normal de não administrador para a minha conta diária, quando precisasse executar algo como root, faria suna minha conta de administrador (não no root, pois isso não tem senha e está desabilitado!) E execute o sudocomando no shell de administração; ou, eu trocaria os usuários graficamente. Assim, a quantidade de comandos que seriam executados é a mesma - usar uma conta normal significa apenas que eu tenho que digitar minha senha de administrador duas vezes ao executar algo como root.

Portanto, os usuários avançados devem trabalhar todos os dias em uma conta normal em vez de uma conta de administrador? e por que ou por que não?

Observe que, por "conta de administrador", quero dizer uma conta com privilégio de usar sudopara executar comandos como root - e não a própria conta root. Eu nunca entro como root.

Byte Commander
fonte

Respostas:

5

Sem risco enquanto não raiz

Pelo meu entendimento, para um administrador ou sudousuário, ele está funcionando como um usuário normal da área de trabalho , desde que não o digamossudo - portanto, não haverá riscos adicionais.

Risco de acidentalmente se tornar raiz

Também é verdade que um usuário com permissões potencialmente de administrador precisa observar um pouco mais perto de onde, quando ou a quem ele dará sua senha.

Eu posso imaginar (embora nunca tenha encontrado um) um aplicativo ou script mal solicitando sua senha sem lhe dizer para que. Provavelmente ele executará algo com permissões de root, pois, caso contrário, não precisaria da sua senha. Se eu não souber o que esse aplicativo faz, simplesmente não daria minha senha de root.

Também somos responsáveis ​​por dispensar a permissão root novamente após o término. Sempre é uma má idéia permanecer root enquanto trabalha com um aplicativo gráfico como, por exemplo, o Nautilus.

Risco de perda de acesso root

Outro "risco" pode ser o fato de você fazer algo ruim com a sua conta que o impede de fazer login. Portanto, eu sempre crio pelo menos dois usuários administradores em qualquer caixa em que instalo o Ubuntu. É nesse caso que algo quebra minha conta principal.

Takkat
fonte
A primeira resposta que realmente aborda a questão. Obrigado! Como eu disse, eu (pelo menos assumo que sou) sou cuidadoso onde inserir minhas senhas e quais comandos executar. Mas não entendo por que você precisa de duas contas de administrador quando ainda existe o shell raiz do modo de recuperação?
Byte Commander
@ByteCommander Isso funciona apenas se você tiver acesso físico ao computador.
Jon Bentley
@ JonBentley eu tenho. Neste caso, trata-se do meu computador doméstico, o que significa que tenho apenas acesso físico.
Byte Commander
Err, não. Eu tenho um ataque por obter privilégios de sudo, rodando de uma conta que os use.
Joshua
10

Uma conta que pode sudo é tecnicamente tão capaz quanto a conta raiz (assumindo um sudoerscomportamento de configuração padrão ), mas ainda existe uma grande diferença entre raiz e uma conta que podesudo :

  • A omissão acidental de um único personagem não destruirá o Ubuntu. Provavelmente. Considere tentando excluir ~/bin, mas na verdade correndo rmcontra /bin. Se você não é root, há menos riscos.

  • sudorequer uma senha, fornecendo a você esses milissegundos para solucionar quaisquer erros. Isso também significa que outros aplicativos não têm a capacidade de fazer coisas raiz em seu nome.

É por isso que recomendamos que as pessoas não usem a conta raiz para o trabalho diário.


Isolar-se com outra conta "admin" intermediária (e executar como usuário sem sudoacesso) é apenas outra camada. Provavelmente também deve ter uma senha diferente.

No entanto, é muito barulhento e (de acordo com as condições da sua pergunta) se algo puder cheirar sua primeira senha, provavelmente poderá obter a segunda com a mesma facilidade. Se você nunca cometeu erros e nunca usa essas senhas fortes em nenhum outro lugar (impossível de adivinhar ou quebrar), essa solução provavelmente não é mais segura. Se alguém quer fazer root, ele inicializa em recuperação, chroot ou usa uma chave inglesa .


Há também uma escola de pensamento que aponta que [para usuários de desktops não corporativos] nada que você valoriza está protegido contra seu usuário . Todos os seus documentos, fotos, histórico de navegação na web etc. são de propriedade e acessíveis a você ou a algo em execução como você. Assim como você pode executar algo que registra todas as teclas digitadas, visualiza sua webcam, ouve no microfone, etc.

Simplificando, o malware não precisa de raiz para arruinar a vida de alguém ou espioná-lo.

Oli
fonte
1
Desculpe, você entendeu minha pergunta não totalmente correta. Eu nunca considerei fazer login como root. Minhas opções são apenas logon como administrador ( sudoetc. membro do grupo) - - ou - - logar como usuário normal / restrito normalmente e graficamente ou em um terminal, sualternando para o administrador (digitando a senha do administrador) e usando a sudopartir daí (digitando senha de administrador novamente).
Byte Commander
No que diz respeito a obter a segunda senha com a mesma facilidade, isso não precisa ser o caso. Eu gerencio minhas máquinas desktop com o Ansible, que se conecta a uma conta de administrador via ssh. As contas de usuário não têm privilégios de sudo e nunca é necessário usar uma conta de administrador fisicamente na área de trabalho (na verdade, é indesejável, porque eu não quero que minhas máquinas sejam prejudicadas individualmente e estejam fora de sincronia com o descansar).
Jon Bentley
@ByteCommander A segunda metade da resposta é baseada no que você queria, mas as razões para isso são uma extrapolação do argumento root-vs-admin normal. É outra camada da mesma coisa.
Oli
2

Sim, existem riscos. Se esses riscos são grandes o suficiente para você se preocupar é uma questão de preferência e / ou sua política de segurança.

Sempre que você usa um computador, você sempre corre o risco de atacar. Mesmo se você executar uma configuração extremamente segura, não poderá se proteger contra vulnerabilidades ainda desconhecidas.

Se você estiver usando uma conta sem privilégios de sudo e essa conta for comprometida devido a esse uso (por exemplo, um keylogger pega sua senha), isso adiciona uma limitação aos danos que podem ser causados. Se um invasor compromete uma conta com privilégios sudo, também obtém esses privilégios.

Na maioria dos sistemas, o uso do sudo fará com que sua senha seja lembrada por 15 minutos por padrão, o que é outro fator de risco, a menos que você altere essa configuração.

Jon Bentley
fonte
Mencionaria o armazenamento em cache do direito de elevar como um risco potencial : um script desconhecido poderia conter um comando sudo que não será contestado, mas, a menos que o gravador tenha a certeza moderada de que você emitiu um comando sudo recentemente, em Em circunstâncias normais, solicitava a senha, que deveria ser um alerta vermelho de que algo estranho está acontecendo.
TripeHound
@TripeHound Como alternativa, você se afasta do computador para uma pausa no banheiro, tendo acabado de autorizar um comando sudo, e outra pessoa intervém. Não vejo distinção entre riscos entre potencial ou não - a palavra risco simplesmente implica que existe alguma probabilidade diferente de zero de um resultado indesejável. Sim, em circunstâncias normais, você notaria a solicitação de senha. Seu invasor, que plantou esse script em 1000 computadores e não tem um alvo específico em mente, se importa?
Jon Bentley
0

Minha resposta baseada em opinião, porque tudo teria que ser provado matematicamente, e daí não tenho idéia. ;)

Duas contas, uma com grupos adme sudo, significa que uma conta tem o direito de executar comandos com sudodireitos. Um sem esses privilégios.

  • Se você quebrou a senha da conta não privilegiada, ainda precisa quebrar a senha da conta privilegiada agora. -> Vantagem em comparação com apenas uma conta
  • Se você violou a conta privilegiada. -> Nenhuma vantagem em comparação com apenas uma conta

A probabilidade é de 50% se você não respeitar a inteligência do atacante.

Na minha perspectiva, é um benefício de segurança muito pouco teórico e pertence mais ao domínio da teoria das probabilidades. Mas a perda de conveniência aumenta desproporcionalmente. Depende de quão inteligente o atacante é. Não subestime essa inteligência. Essa é uma falsa sensação de segurança.

Em outras palavras, não, ele não traz benefícios mensuráveis, mas você perde muita conveniência. No final, todos devem decidir por si mesmos.

AB
fonte
0

Eu corro exatamente assim: um usuário onde eu faço minhas coisas de usuário e um usuário onde eu faço apenas coisas de administrador e não de usuário. Até os prompts de comando são diferentes: os usuários têm um prompt verde e os administradores um vermelho!

Por quê?

O usuário tinha suas próprias configurações para todos os aplicativos que eu uso separadamente do usuário administrador, o que permite:

  1. Depurar se um problema está relacionado ao usuário ou relacionado ao sistema
  2. Tenha a conta de administrador como uma conta de usuário de backup em vez da conta de convidado e conta root, se algo der realmente errado nas configurações do usuário e você não puder mais fazer logon.
  3. mantenha os documentos do administrador e do usuário separados em seus respectivos diretórios pessoais, se você optar por fazê-lo .
  4. Sem efeito ao digitar um sinal acidental sudo antes de um comando.
  5. Não há como realmente ver o que um usuário normal não deve ver.
  6. Não há como encontrar um bug de escalação de privilégios de usuário. (houve alguns no passado)
  7. Seja um "usuário normal", como todos os outros usuários do seu computador, e saiba quais são as vantagens / desvantagens.
Fabby
fonte
Tudo bem, mas ter "admin docs" (que eu realmente não tenho) e "user docs" separados é uma grande desvantagem na minha opinião, pois sempre quero ter todos os meus dados em um só lugar (além de backups, é claro). O mesmo para as configurações. Eles são basicamente os mesmos, eu até uso os mesmos perfis Firefox / Thunderbird de um diretório compartilhado. E há outras contas de usuários normais de outros membros da família, etc. também, estou apenas falando sobre as minhas. Estou ansioso por mais explicações, como prometido em (4.), mas você realmente não me convenceu ainda, pelo contrário. : - /
Byte Commander
Estive ocupado com RL. Parece que você já tem uma resposta aceita, mas adicionou mais alguns motivos, conforme prometido! ;-)
Fabby
1
Agora vale uma atualização! : D
Byte Commander