日常使用管理員帳號(非 root)有安全風險嗎?

日常使用管理員帳號(非 root)有安全風險嗎?

我的管理員帳戶與普通帳戶的唯一區別是我的管理員帳戶是該sudo群組的成員並且可以運行sudo.使用我的管理員帳戶進行日常工作是否會不太安全?如果是,為什麼?

當然,假設我在輸入密碼時非常小心,並且在執行命令之前知道命令的作用。

如果我使用普通的非管理員帳戶作為我的日常帳戶,當我需要以 root 身分執行某些內容時,我會su進入我的管理員帳戶(而不是root,因為它沒有密碼並且被停用!),然後sudo在管理外殼;或者,我會以圖形方式切換使用者。因此,將運行的命令數量是相同的——使用普通帳戶僅意味著我在以 root 身份運行某些內容時必須輸入管理員密碼兩次。

那麼,高級用戶是否應該使用普通帳戶而不是管理員帳戶進行日常工作?為什麼或為什麼不呢?

請注意,「管理員帳戶」是指具有以 root 身分執行命令的權限的帳戶sudo,而不是 root 帳戶本身。我從來不以 root 身分登入。

答案1

可以 sudo 的帳戶在技術上與 root 帳戶一樣強大(假設預設sudoers配置行為),但兩者之間仍然存在很大差異一個帳戶可以sudo:

  • 不小心遺漏單一字元不會破壞 Ubuntu。大概。考慮嘗試刪除~/bin但實際上運行rm反對/bin。如果您不是 root,則風險較小。

  • sudo需要密碼,給您幾毫秒的時間來解決任何錯誤。這也意味著其他應用程式無法代表您執行根本操作。

這就是為什麼我們建議人們不要在日常工作中使用 root 帳號。


使自己絕緣其他中間「管理員」帳戶(並以無存取權限的使用者身分運作sudo)只是另一層。它也可能是不同的密碼。

但這是額外的大驚小怪,而且(根據您的問題條件)如果有人可以嗅出您的第一個密碼,他們可能也可以輕鬆獲得第二個密碼。如果您從未犯過錯誤,並且從未在其他任何地方使用這些強密碼(不可猜測或破解),則此解決方案可能不再安全。如果有人想要 root,他們會啟動進入恢復、chroot 或使用扳手


還有一個學派指出,【對於非企業桌上型用戶】沒什麼你價值受到保護,免受你的使用者。您的所有文件、照片、網頁瀏覽歷史記錄等均為您所有並可訪問由你或像你一樣運行的東西。就像您可以運行記錄所有內容的程式一樣你的擊鍵、檢視網路攝影機、監聽麥克風等。

簡而言之,惡意軟體不需要 root 即可破壞某人的生活或監視您。

答案2

未root無風險

根據我對管理員或sudo用戶的理解,它的工作方式就像普通桌面用戶一樣只要我們不說sudo- 所以不應該有額外的風險。

意外成為 root 的風險

確實,具有潛在管理員權限的用戶需要更仔細地留意他們在何時、何地或向誰洩露了密碼。

我可以想像(儘管我從未遇到過)一個邪惡的應用程式或腳本要求您輸入密碼而不告訴您其用途。它可能會使用 root 權限執行某些操作,因為否則它不需要您的密碼。如果我不知道這個應用程式的作用,我就不會向它提供我的 root 密碼。

我們也有責任在完成後再次取消 root 權限。在使用圖形應用程式(例如 Nautilus)時保持 root 狀態總是一個壞主意。

失去 root 存取權的風險

另一個「風險」可能是您對您的帳戶做了一些壞事,導致您無法登入。總是至少創建兩個管理員用戶任何我安裝 Ubuntu 的方塊。這是為了防止我的主帳戶被破壞的情況。

答案3

是的,存在風險。這些風險是否大到足以讓您關心取決於偏好和/或您的安全策略。

每當您使用計算機時,您總是面臨攻擊者的風險。即使您運行極其安全的設置,也無法防範未知的漏洞。

如果您使用的帳戶沒有 sudo 權限,且該帳戶因該使用而受到損害(例如鍵盤記錄器取得您的密碼),那麼這會增加對可能造成的損害的限制。如果攻擊者破壞了具有 sudo 權限的帳戶,那麼他們也會獲得這些權限。

在大多數系統上,使用 sudo 會導致預設記住您的密碼 15 分鐘,這是另一個風險因素,除非您更改該設定。

答案4

我完全是這樣跑的: 一位使用者負責我的使用者工作,另一位使用者我只負責管理工作而沒有使用者工作。甚至命令提示字元也不同:使用者有綠色提示符,管理員有紅色提示符!

為什麼?

對於我與管理員用戶分開使用的所有應用程序,該用戶都有自己的設置,這允許您:

  1. 調試問題是與使用者相關還是與系統相關
  2. 如果發生任何情況,請使用管理員帳戶作為備份使用者帳戶,而不是來賓帳戶和 root 帳戶真的錯了使用您的用戶設置,您將無法再登入。
  3. 將管理文件和使用者文件分開存放在各自的主目錄中如果你選擇這樣做
  4. sudo在指令前輸入臨時記號時沒有效果。
  5. 無法真正看到普通用戶不應該看到的內容。
  6. 無法解決使用者權限升級錯誤。 (過去有過一些)
  7. 做一個“普通用戶”就像您電腦上的所有其他使用者一樣並知道優點/缺點是什麼。

相關內容