Jebkurā GNU/Linux sistēmā root lietotājs Tā ir figūra, ko visi respektē (un no viņas vajadzētu mazliet baidīties). Tā ir līdzvērtīga "administratoram" citās sistēmās, ar atšķirību, ka šeit atļaujas ir tik plašas, ka slikti ierakstīta komanda var sagraut sistēmu dažu sekunžu laikā. Lai pilnībā izprastu, kas ir root, kas ir root privilēģijas un kā tās pārvaldīt Tā ir atšķirība starp stabilu sistēmu un tādu, kas sabrūk pie mazākās problēmas.
Turklāt katram izplatījumam ir īpašs veids, kā rīkoties ar šīm privilēģijām. Ubuntu, Debian, Void, openSUSE un citas distribūcijas Tie nedarbojas tieši tāpat ar root kontu, ar tādām grupām kā stūre vai ar failu sudoersJa pārvaldāt serverus (VPS, mākoņdatošanas vai dedikētus) vai vienkārši vēlaties ērti pārvaldīt savu Linux sistēmu, jums būs jāsaprot, kā darbojas root lietotājs un komanda `root`. sudo, lietošana su un administratīvo atļauju pārvaldība.
Kas īsti ir root lietotājs Linux sistēmā?
Linux un citās UNIX līdzīgās sistēmās lietotājs root ir konts ar UID 0Īpašais identifikators, kas piešķir pilnīgu kontroli pār sistēmu. Šis konts parasti ir saistīts arī ar GID 0 (galvenā grupa) root), kas ļauj bez ierobežojumiem lasīt, modificēt vai dzēst jebkuru failu, pārvaldīt procesus, mainīt atļaujas un pieskarties jebkurai failu sistēmas sadaļai.
Kad mēs runājam par “būt saknei”, mēs domājam piesakieties vai iegūstiet čaulu kas darbojas ar UID 0. Tā nav vienkārši "vairāk atļauju": tā izmanto kontu, kuram ir absolūta vara pār sistēmuViss, ko darāt zem šīs identitātes, tiek izpildīts bez šķēršļiem.
Tā ir cita lieta. ir root privilēģijasTas nozīmē, ka jūsu parastais lietotājs (piemēram, ar UID 1000) var, izmantojot tādus rīkus kā sudoTas ļauj izpildīt noteiktas komandas "it kā jūs būtu root lietotājs", nemainot sesijas identitāti. Praksē jūs varat veikt tos pašus administratīvos uzdevumus, bet kontrolētākos laika posmos un ar labāku izsekojamību.
Atšķirība starp root statusu un root privilēģiju iegūšanu
Ir svarīgi skaidri nodalīt jēdzienus, jo Pieslēgšanās kā root nav tas pats, kas palaist kaut ko ar root privilēģijām.Šeit tiek izmantoti gan UID 0 konta, gan privilēģiju eskalācijas mehānismi (sudo, su, grupas, piemēram, wheel utt.).
Kad Jūs esat root lietotājs (UID 0, GID 0) un jūs veicat idJūs redzēsiet kaut ko līdzīgu šim:
uid=0(root) gid=0(root) groups=0(root)
Tas norāda, ka pašreizējā sesija pieder root lietotājam un ka visam, ko izpildīsiet, būs šīs atļaujas. Nav nepieciešams neko rakstīt. sudo nekā priekšā: jebkurai komandai ir brīva vaļaTāpēc ir tik bīstami pārāk ilgi uzturēties sakņu čaulā.
Tomēr, kad jūs lietojat sudoParasti jūs joprojām būsiet tavs "parastais" lietotājs (piemēram, UID 1000), bet komanda īslaicīgi darbosies kā UID 0. Ja to darīsiet:
sudo apt update
Jūsu sesija paliek jūsu lietotāja sesija, bet tikai šī konkrētā komanda Tas darbojas ar administratora privilēģijām. Tas pats attiecas uz gadījumiem, ja palaižat:
sudo systemctl restart apache2
Abos gadījumos autentifikācijas žurnālos redzamā identitāte norāda, kurš lietotājs ir izmantojis sudo, kas veicina izsekojamība un individuālā atbildība.
Wheel, Sudoers un vadības grupu gadījums
Dažās distribūcijās (piemēram, Void Linux vai daudzos BSD atvasinājumos) ir grupa stūre, kas tiek izmantots kontrolēt, kas var izmantot sudoCitās versijās (piemēram, Ubuntu un Debian to tipiskajā konfigurācijā) tiek izmantota grupa. sudo lai piešķirtu šo iespēju. Katrs distribūcija to organizē savā veidā, taču ideja ir viena: privilēģijas var piešķirt tikai lietotāji, kas pieder noteiktām grupām.
Ja Void Linux liek jums pievienot savu lietotāju stūreParasti būtu palaist kaut ko līdzīgu:
sudo usermod -aG wheel tu_usuario
Tad, darot idRiteņu grupai vajadzētu būt redzamai apakšgrupu sarakstā. Ja tā neparādās, iespējams, ka Izmaiņas netiks pielietotas, kamēr neiziesiet no sistēmas.vai arī sistēma pārvalda piekļuvi nedaudz citādā veidā (piemēram, paļaujoties uz PAM vai noteiktu konfigurāciju sudo o su kas ne vienmēr prasa iekļaut riteni).
Sistēmās, piemēram, Ubuntu vai Debian, atslēgu grupa parasti ir sudoLai pievienotu lietotāju:
sudo adduser nombre_de_usuario sudo
Vislabākā kontroles pakāpe tiek panākta, rediģējot failu. / etc / sudoers (vai faili mapē /etc/sudoers.d/) vienmēr lietojot visudolai jūs varētu definēt, kuras precīzas komandas katrs lietotājs vai grupa var izpildīt. ar root privilēģijām, nevis dodot pilnīgu brīvību.
Sakne Ubuntu: drošības politika un sudo izmantošana
Ubuntu ievēro diezgan skaidru filozofiju: Saknes konts pastāv, bet tas netiek izmantots tiešai pieteikšanās.Pēc sistēmas instalēšanas root lietotājam ir UID 0, tāpat kā jebkurā UNIX sistēmā, taču tam netiek piešķirta izmantojama parole pieteikšanās veikšanai. Tā vietā intensīva sudo.
Tas nozīmē, ka pēc noklusējuma Jūs nevarat ieiet TTY vai grafiskajā saskarnē kā root lietotājs ar paroli.jo šim lietotājam nav konfigurēta parole. Šis lēmums samazina uzbrukuma virsmu pret brutāla spēka mēģinājumiem un neļauj lietotājiem nevajadzīgi pavadīt visu dienu, strādājot kā root lietotājam.
"Parastā" Ubuntu plūsma ir šāda: jūs piesakāties ar savu lietotājvārdu, un šis lietotājs pieder grupai. sudoUn, kad jums ir jāveic kāda administrēšana, jūs palaižat komandu ar sudo un tu raksti savu parolinevis root konts. Tādā veidā sistēma reģistrē, kas ko darīja, kad un ar kādu komandu.
Ja kādā brīdī vēlaties pilnu čaulu kā root (piemēram, lai veiktu virkni uzdevumu pēc kārtas), varat izmantot:
sudo -i
sudo su -
Abi tev pa vienam dos interaktīva saknes čaulaParasti tas ielādē lietotāja pieteikšanās vidi. Lai izietu no šī režīma, vienkārši palaidiet exit vai nospiediet Ctrl + D.
Vai root lietotājs vienmēr ir pieejams?
Sadalījumam nav nozīmes: Saknes konts vienmēr pastāv iekšēji jo tas ir tas, kura UID ir 0. Atkarībā no distro mainās tas, vai šim kontam ir derīga parole, vai ir atļauta tieša pieteikšanās un ar kādiem nosacījumiem to var izmantot.
OpenSUSE gadījumā (piemēram, Tumbleweed) instalēšanas laikā jūs tehniski varat atstāt root paroli tukšu vai konfigurēt sistēmu tā, lai parastajam lietotājam būtu administratora privilēģijas, izmantojot sudoTas var izraisīt Neesmu pārliecināts, vai root ir “aktīvs” Vai arī nē. Bet pats root konts vienmēr ir tur; vienkārši tā... jūs nevarat ar to autentificēties jo parole nav iestatīta vai sistēma to bloķē, izmantojot PAM vai pieteikšanās politikas.
kad lietojat su Lai pārslēgtos uz root kontu un ievadītu savu lietotāja paroli root paroles vietā, parasti jums būs jāveic šādas darbības: nestrādātja vien distro to nav konfigurējis su pieņemt sudoer lietotāja paroli root paroles vietā (retāk). Visbiežāk su Tas prasīs mērķa lietotāja paroli, tas ir, root paroli, ja veicat vienkāršu darbību. su.
Turklāt, ja, to darot, pamanāt, ka su Lai kļūtu par root lietotāju, jūsu čaula turpina lasīt funkcijas vai aizstājvārdus no jūsu parastā lietotāja; jūs varat izmantot tādu variantu kā su bez defises (su priekšā su -), kas to padara Saknes pieteikšanās vide netiek pilnībā ielādētaTāpēc jūs varat turpināt lietot savu .bashrc vai jūsu zsh konfigurācijā, radot kļūdas funkcijās, kas nepastāv root kontam.
Attālā piekļuve kā root, izmantojot SSH
Daudzos serveros, īrējot VPS vai speciālu serveri, pakalpojumu sniedzējs jums sniedz SSH piekļuve tieši kā rootar paroli vai, vēl labāk, ar SSH atslēgu. No Linux sistēmas savienojums ir pavisam vienkāršs:
ssh root@IP-del-servidor
Sistēmā Windows ir ierasts izmantot klientu, piemēram, PuTTYJums vienkārši jāievada servera IP adrese attiecīgajā laukā. Uzņēmēja nosaukums, klikšķiniet uz atvērts un, kad parādās termināļa logs, Piesakieties kā root ar norādīto paroli vai ar konfigurēto atslēgu.
Varat arī izveidot savienojumu ar jebkuru citu lietotāju serverī, un, kad esat tajā nonācis, pāriet uz root piekļuvi, izmantojot sudo vai su ja šis lietotājs pieder atbilstošajām grupām vai tam ir atbilstoša konfigurācija /etc/sudoersTādā gadījumā jūs strādājat ar ierobežotām atļaujām, līdz jums ir jāveic konkrēts administratīvs uzdevums.
Riski, kas saistīti ar saknes neuzmanīgu lietošanu
Saknes privilēģijas ir neticami noderīgas, taču tās ir arī divvirzienu zobens. Jebkādas drukas kļūdas vai nepareizi saprastas komandas Tas var izraisīt pilnīgu datu zudumu, sistēmas nestabilitāti vai drošības caurumus, kas padara jūsu ierīci neaizsargātu.
Viena no acīmredzamākajām briesmām ir nejauši izdzēšot vai modificējot sistēmas failusKā root lietotājam nav ne "Vai esat pārliecināts?", ne atkritnes. Šāda komanda:
sudo rm -rf /
vai arī nepareizi uzrakstīts variants (ar nepareizu ceļu, lieku atstarpi, nepareizi novietotu aizstājējzīmi…) var Izdzēsiet pusi no failu sistēmas, neprasot apstiprinājumuUn atveseļošanās, ja tā vispār ir iespējama, parasti ir sarežģīta un ļoti daļēja.
Pastāv arī izpildes jautājums skripti, kas lejupielādēti no interneta ar root atļaujāmJa skripts ir ļaunprātīgs vai slikti programmēts, tas var bez jūsu ziņas izdzēst sensitīvus failus, mainīt kritiskus iestatījumus, instalēt ļaunprogrammatūru, atspējot aizsardzību vai pievienot aizmugurējās durvis. Un, ja jūs to palaidāt ar sudoJūs viņam esat devis neierobežotas atļaujas.
Vairāku serveru vidēs (ražošanas, testēšanas, izstrādes) darbs kā root vairākos termināļos vienlaikus palielina risku, ka izpildīt komandu nepareizajā datorāVienkārša restartēšana vai dzēšana, kas veikta ražošanas vidē kļūdas dēļ, var izslēgt pakalpojumu un radīt nopietnu problēmu.
Vēl ļaunāk, kad pierod vienmēr strādāt kā root lietotājs, ir viegli kļūt pārāk atslābinātam un nepārbaudīt divreiz to, ko rakstiLai izvairītos no kļūdām, ir ļoti svarīgi samazināt laiku, ko pavadāt ar paaugstinātām privilēģijām, un rūpīgi pārskatīt komandas pirms Enter nospiešanas.
Sakne un drošība: uzbrukumi, žurnāli un audits
No drošības viedokļa root ir viena kļūmes punktaJa uzbrucējs iegūst root privilēģijas (vai nu zogot akreditācijas datus, izmantojot ievainojamību, vai arī apmānot jūs, lai palaistu kaut ko ļaunprātīgu), viņš iegūst pilnīgu kontroli pār datoru.
Serveros, kas ir atvērti internetam, tiešas root piekļuves iespējošana, izmantojot SSH, izmantojot tikai paroli, paver durvis uz nepārtraukti brutāla spēka uzbrukumiAutomatizēti roboti mēģina pieteikties kā root Pastāvīgi testējam paroļu kombinācijas. Ja parole ir vāja vai atkārtoti izmantota citos pakalpojumos, jums vairs nav jāmeklē.
Turklāt, ja vienmēr strādājat kā root lietotājs, jebkura neaizsargāta lietojumprogramma, kas darbojas ar šo identitāti (pārlūkprogramma, nepareizi konfigurēts tīmekļa serveris utt.), var kalpot kā ieejas punkts. Tiklīdz šī lietojumprogramma tiek apdraudēta, uzbrucējs manto visas atļaujas.
Vēl viena svarīga problēma ir izsekojamības trūkumsIzmantojot sudo, tiek reģistrētas administratora darbības. /var/log/auth.log vai žurnālā (journalctl): kurš lietotājs palaida kuru komandu un kad. Savukārt, ja visi piesakās tieši kā root lietotājs, žurnālos tiek norādīts tikai "root to izdarīja", nespējot noteikt, kas patiesībā aiz tā stāvēja.
Vidēs, kur nepieciešami drošības standarti (ISO 27001, PCI DSS un līdzīgi), šī izsekojamība un individuālā atbildība ir ļoti svarīga. Vienmēr strādājot kā root, neizmantojot sudo, auditi kļūst sarežģītāki.Tas sarežģī problēmu risināšanu un bieži vien ir pretrunā ar labāko praksi, ko pieprasa daudzas atbilstības sistēmas. Turklāt drošas aparatūras, piemēram, dev-tpm0 un TPM Tas var stiprināt sistēmas integritāti un auditējamību.
Veidi, kā iegūt root privilēģijas
Praksē lielākā daļa mūsdienu izplatījumu izmanto trīs galvenos mehānismus, lai piekļūtu administratora privilēģijām: sudo, su un tieša pieteikšanās (lokāla vai attāla). Katram ir savs konteksts un riski.
Lai izpildītu vienu komandu ar root privilēģijām, visizplatītākais veids ir izmantot:
sudo comando argumentos
Piemēram:
sudo apt update
sudo apt install firefox
sudo systemctl restart apache2
sudo nano /etc/ssh/sshd_config
Ar šo, Jūs nemaināt lietotājus neatgriezeniskiTikai šī komanda darbojas ar UID 0, un tā reģistrē, kas to palaida. Lielākajai daļai ikdienas administratīvo uzdevumu šī ir drošākā iespēja.
Ja jums ir nepieciešama noturīgāka root sesija, jo jūs gatavojaties palaist vairākas komandas pēc kārtas, varat izmantot:
sudo -i
sudo su -
Šīs komandas nodrošina root čaulu, parasti ielādējot root pieteikšanās vidi (mainīgos, PATH utt.). Tas ir ļoti ērti noteiktiem ilgstošiem uzdevumiem, taču Vislabāk ir atteikties no šī režīma, tiklīdz esat pabeidzis. ar exitJo mazāk laika pavadīsiet kā root lietotājs, jo mazāka iespēja pieļaut kļūdu.
Iespējot un pārvaldīt root paroli
Ubuntu un citos distribūcijās, lai gan tas nav ieteicams, jūs varat piešķirt paroli root kontam lai to varētu izmantot tieši. Tipiska komanda ir:
sudo passwd root
Sistēma vispirms pieprasīs jūsu lietotāja paroli (lai apstiprinātu lietošanu) sudo) un pēc tam tas divreiz lūgs jums ievadīt jauno paroli, kuru vēlaties piešķirt root lietotājam. No šī brīža, root lietotājam būs definēta parole Un, ja autentifikācijas politikas to atļauj, varat pieteikties lokāli vai izmantot su ievadot šo atslēgu. Piemēram, tādās ierīcēs kā Raspberry Pi ieteicams mainīt noklusējuma paroli.
Ja kādā brīdī vēlaties bloķēt root pieteikšanos Neizdzēšot kontu, jūs varat:
sudo passwd -l root
Tas atspējo paroli (to pilnībā nenoņemot), novēršot tiešu piekļuvi. Lai to atjaunotu:
sudo passwd -u root
Jebkurā gadījumā, īpaši ar Ubuntu, vispārējais ieteikums ir Neizmantojiet root ar paroli ikdienas lietošanaiDaudz saprātīgāk ir turpināt strādāt ar savu parasto lietotāja kontu un nepieciešamības gadījumā izmantot sudo.
SSH konfigurācija, lai atļautu vai liegtu root piekļuvi
Drošības apsvērumu dēļ daudzas serveru instalācijas ietver root pieteikšanās, izmantojot SSH, ir atspējotaLai mainītu šo darbību (lai gan tā nav ideāla), jums ir jārediģē OpenSSH konfigurācijas fails: /etc/ssh/sshd_config.
Tipiskā procedūra ir šāda:
- Pārliecinieties, vai root lietotājam ir parole Ja plānojat izmantot šo autentifikācijas metodi:
sudo passwd root. - Rediģēt SSH iestatījumus ar root privilēģijām:
sudo nano /etc/ssh/sshd_config - Atrodiet (vai pievienojiet) direktīvu
PermitRootLoginun iestatiet toyesja vēlaties atļaut tiešu root piekļuvi ar paroli. - Restartējiet SSH pakalpojumu lai piemērotu izmaiņas:
sudo systemctl restart ssh(osshd(atkarībā no izplatīšanas).
Ja nepieciešama zināma elastība, neatverot durvis pārāk plaši, vissaprātīgākais risinājums ir izmantot PermitRootLogin aizliegtā parole lai tikai tie, kas pieņem atslēgas autentifikācija un nevis ar paroli. Pat ja tā, parasti ieteicamākā iespēja ir pieteikties kā parastam lietotājam un pēc tam izmantot sudo.
Ja vēlaties pastiprināt drošību, vienkārši veiciet šīs darbības apgrieztā secībā: sshd_config ponijas PermitRootLogin no, restartējiet pakalpojumu un, ja vēlaties, bloķējiet root kontu ar sudo passwd -l rootTas viņus piespiež Visa attālā administrēšana jāveic caur konkrētiem lietotājiem ar sudo privilēģijām.Kā papildu pasākumu apsveriet iespēju izmantot dm-verity operētājsistēmā Linux lai aizsargātu sistēmas integritāti.
Rediģēt sudoerus un piešķirt root atļaujas citiem lietotājiem
Ir reizes, kad ir nepieciešams jaunizveidots lietotājs, lai varētu palaist komandas kā rootPiemēram, iedomājieties, ka esat izveidojis lietotāju testftp ar useradd o adduserBet, kad jūs mēģināt izmantot sudo Jūs redzēsiet šādu ziņojumu: testftp is not in the sudoers file.
Daudzos Debian/Ubuntu balstītos izplatījumos "ātrākais" veids ir pievienot lietotāju grupai. sudo:
sudo adduser testftp sudo
Citās vidēs vai ja vēlaties precīzāku kontroli, varat rediģēt failu. /etc/sudoers (vai pievienojiet konkrētu failu /etc/sudoers.d/) vienmēr lietojot:
sudo visudo
Iekšpusē varat pievienot rindu, kas kopē saknes veidni, bet šim lietotājam:
testftp ALL=(ALL:ALL) ALL
Ar šo, testftp varēs izpildīt jebkuru komandu kā root lietotājs. Izmantojot sudo, tāpat kā root (bet ar izsekojamību). Ja nepieciešami stingrāki ierobežojumi, varat ierobežot atļautās komandas, pieprasīt TTY, piespiest paroles ievadi utt.
Jutīgākos serveros ir ierasta prakse nepiešķirt "pilnas pilnvaras" nevienam lietotājam sudo grupā, bet gan definēt tās sudoers tieši tā ko var un ko nevar izdarītPiemēram, ļaujot pārvaldīt tikai konkrētu pakalpojumu vai noteiktus administratīvos skriptus.
Pēc rediģēšanas un saglabāšanas ar visudoSkartajam lietotājam vairs nevajadzētu redzēt kļūdu "nav sudoers failā", un viņš varēs kontrolēti palielināt privilēģijas.
Labākā prakse, lietojot root un sudo
Darbs ar root privilēģijām nozīmē ne tikai zināt, kuras komandas izmantot, bet arī pieņemt saprātīgus drošības ieradumusDaži pamata ieteikumi, kurus ir vērts iekļaut:
Vispirms mēģiniet Izmantojiet sudo tikai noteiktām komandām Kad vien iespējams. Jo mazāk laika pavadāt root čaulā, jo mazāka iespēja pieļaut nopietnu kļūdu. Īsa komandu virkne ar `sudo` parasti ir drošāka nekā root sesijas atvēršana un aizmirstība atteikties.
Ja jums ir nepieciešams izmantot sudo -i o sudo su -Dariet to, kad esat pārliecināts, ka gatavojaties izpildīt administratīvo uzdevumu grupu vienu pēc otra. Tiklīdz esat pabeidzis, izejiet no root piekļuves. ar exitSaknes sesijas atstāšana atvērtā fonā, īpaši koplietotā datorā vai pieejamā darbvirsmā, ievērojami palielina risku.
Nekad neatveriet pārlūkprogrammu, e-pasta klientu vai aizdomīgus dokumentus no saknes sesijas. Jebkāda šo lietojumprogrammu ietekmēšana var būt bīstama. Tas mantos tā konta atļaujas, kas tās izpilda.Ikreiz, kad mijiedarbojaties ar neuzticamu saturu, rīkojieties kā parasts lietotājs.
Vēl viens būtisks jautājums ir Nelietojiet nezināmus skriptus ar sudo vispirms tos neizlasot. Ja kāds jums liek "ielīmēt šo čokurošanās kodu | sh ar sudo", un jūs to izdarāt, neskatoties, jūs viņam dodat atslēgas uz savu sistēmu. Atveriet skriptu teksta redaktorā, pārbaudiet, ko tas dara, no kurienes tas nāk, un, ja jūs to nesaprotat vai neuzticaties tam, nepalaidiet to.
Kad vien iespējams, lejupielādējiet programmatūru un skriptus no oficiāli vai ļoti cienījami avotiPārbaudiet kontrolsummas, ja tādas ir pieejamas, un, ja rodas šaubas, vispirms pārbaudiet virtuālajā mašīnā vai konteinerā, kuru varat atmest, ja kaut kas noiet greizi.
Visbeidzot, izmantojiet arhīva priekšrocības /etc/sudoers piemērot mazāko privilēģiju principsTas katram lietotājam piešķir tikai nepieciešamās atļaujas, ne vairāk, un reģistrē visas darbības ar sudo, lai problēmas gadījumā varētu pārskatīt katras personas rīcību.
Izpratne par to, kas ir root lietotājs, kā root privilēģijas atšķiras no UID 0 konta privilēģijām, un tādu rīku izmantošana kā sudo, su, administratora grupas un SSH konfigurācijaJebkuru Linux sistēmu ir iespējams pārvaldīt ar daudz lielāku drošību un sirdsmieru, izvairoties no nevajadzīgām bailēm un vienmēr zinot, kas ko ir izdarījis un ar kādām atļaujām.
