ssh এর জন্য রুট অ্যাক্সেসকে অক্ষম করা উচিত কেন? আমি সুরক্ষার কারণে সর্বদা শুনি। তবে আমি তা পাই না। নন-রুট হিসাবে লগইন করা এবং তারপরে কী আলাদা sudo su -? সুবিধাপ্রাপ্ত অনুমতিগুলির প্রয়োজন এমন কাজগুলি পরিচালনা করার পছন্দের উপায় কী?
ধন্যবাদ
টমাস
উত্তর:
সুডো হ'ল এটি আপনার পছন্দের উপায় যখন আপনার নিরীক্ষণযোগ্যতা এবং সমৃদ্ধ গ্রানুলারিটির কারণে আপনার যখন অ্যাডমিন টাস্কগুলি অর্পণ করতে হয়। সুডো সমস্ত কমান্ডগুলিকে লগ করার অনুমতি দেয় এবং প্রশাসককে ব্যক্তি বা গোষ্ঠীগুলির জন্য বিভিন্ন সুডো প্রোফাইল সেট আপ করার অনুমতি দেয়।
su বা মূল অ্যাক্সেস সব বা কিছুই নয়
sudo -sবা এর সাথে তুচ্ছ sudo bash। আপনি যদি কমান্ডের সেটকে সীমাবদ্ধ করার বিষয়ে কথা না বলছেন /etc/sudoers, যা আমি কখনও উত্পাদন পরিবেশে মোতায়েন করতে দেখিনি যেখানে sudo ইন্টারেক্টিভভাবে ব্যবহৃত হয়। যখন sudo সক্ষম করা থাকে, দূষিত সফ্টওয়্যার (যেমন টাইপ দ্বারা সম্পাদিত makeবা python setup.pyযে র্যান্ডম সংগ্রহস্থলে আপনি কেবল গিটহাব থেকে ক্লোন করেছেন) কার্যকরভাবে রুট অনুমতি রয়েছে has সেই দৃশ্যের সাথে তুলনা করুন যেখানে sudo অক্ষম করা হয়েছে এবং পরিবর্তে পৃথক এসএসএইচ সংযোগটি রুট হিসাবে আদেশগুলি কার্যকর করতে ব্যবহৃত হয় is
প্রতিটি একক ইউনিক্স মেশিনে চালু থাকার এবং সক্ষম করার গ্যারান্টিযুক্ত রুট এমন এক অ্যাকাউন্ট যার ফলে পাসওয়ার্ডটিকে নষ্ট করার চেষ্টা করার জন্য এটি কোনও মস্তিষ্কের নয়। বাহ্যিক সরঞ্জামগুলি ছাড়া (স্পষ্ট স্ক্যানারগুলিকে প্রবেশকারী মোড়কগুলি, প্রবেশপথ প্রতিরোধকারী ডিভাইসগুলি, এই জাতীয় জিনিস) পাসওয়ার্ডটি বের করার আগে এটি কেবল সময়ের বিষয়। এমনকি বাহ্যিক সরঞ্জামগুলি এই ধরণের আচরণ প্রতিরোধ করে, আগত ব্যবহারকারীদের একটি সাধারণ ব্যবহারকারীর হিসাবে লগ ইন করতে বাধ্য করা এবং তারপরে su / sudo / pfexec বর্ধিত বেসরকারীগুলিতে পরিণত করা এখনও একটি ভাল ধারণা। হ্যাঁ, এটি একটি অতিরিক্ত পদক্ষেপ এবং এর অর্থ আপনাকে রুট-ব্যবহারকারীদের মধ্যে ভাগ করা মেশিনগুলিতে ব্যবহারকারী অ্যাকাউন্ট তৈরি করতে হবে তবে এটি আক্রমণকারী এবং বাক্সের নিয়ন্ত্রণহীন নিয়ন্ত্রণের মধ্যে অন্য বাধা।
মূল পার্থক্য হ'ল আক্রমণকারীটিকে ব্যবহারকারীর নামটিও অনুমান করতে হয়। যদি আপনি রুটটিকে লগ ইন করতে দেন তবে তার পাসওয়ার্ডটি অনুমান করতে হবে।
এছাড়াও তিনি কোনও ব্যবহারকারীর ssh কী পেয়ে বা ম্যান-ইন-দ্য মিডল অ্যাপ্রোচ ব্যবহার করে ডেটা পুনঃ-প্রেরণ করার জন্য একটি লগইন প্রতারক করতে পারেন এবং পাসওয়ার্ড টাইপ না করে তিনি সিস্টেমে লগইন করতে পারেন। তবে যদি তিনি ব্যবহারকারী হিসাবে লগ ইন করেন তবে তাকে sudo-ize কমান্ড দিতে হবে এবং এভাবে সে নিজেই পাসওয়ার্ডটি টাইপ করতে বাধ্য হয়। যদি তিনি মূল হিসাবে লগইন হন তবে তাকে সুডো-আইজ জিনিসগুলির দরকার নেই, তাই সুরক্ষার এক কম পদক্ষেপ।
সেখানে কয়েক হাজার মেশিন এসএসডি এর জন্য স্ক্যান করছে এবং তাদেরকে জোর করে। "রুট" প্রথমে চেষ্টা করার জন্য একটি ভাল অ্যাকাউন্ট কারণ এটি যদি ভেঙে যায় তবে আপনার মেশিন সম্পূর্ণরূপে own এটি সমস্ত * নিক্স সিস্টেমে একটি সাধারণ অ্যাকাউন্ট, যদি না আপনি রুট লগইন অক্ষম করেন । এটি করা খুব ভাল সুরক্ষা অনুশীলন।
এর প্রধান সুবিধাটি হ'ল এটি আরও নমনীয় অ্যাক্সেস নিয়ন্ত্রণের অনুমতি দেয়: যদি কোনও ব্যবহারকারীর সুডোর মাধ্যমে মূল অধিকার থাকে তবে মূল অধিকার প্রদান করা বা প্রয়োজনীয় হিসাবে সেগুলি সরিয়ে নেওয়া সহজ। বিপরীতভাবে, আপনি যদি মানুষকে মূল রুটকে হস্তান্তর করেন তবে আপনি এটিকে হরণ করতে পারবেন না (যদি আপনি মেন ইন ব্ল্যাক ;-) না হন) তবে আপনি কেবল রুট pw পরিবর্তন করতে পারবেন, যা সকলকে প্রভাবিত করবে।
সেই প্রসঙ্গে, সরাসরি রুট লগইনগুলি অপ্রয়োজনীয় খ / সি হয় কারও কাছে রুট pw নেই।
(একক ব্যবহারকারীর মোডে কনসোলে জরুরি অ্যাক্সেসের জন্য আপনার এখনও রুট পিডব্লু প্রয়োজন হবে; তবে এর জন্য বিশেষ বিধান থাকা উচিত)।