উবুন্টুর কেন অক্ষম রুট অ্যাকাউন্ট রয়েছে?


57

উবুন্টু "সুরক্ষা কারণে" রুট লগইন অক্ষম করে। তবে এটি আমার কাছে মনে হয় এটি সুরক্ষার সাথে মোটেই সহায়তা করে না।

যদি কোনও অনুপ্রবেশকারী উবুন্টুর জন্য আপনার লগইন পাসওয়ার্ডটি পরিচালনা করে তবে তার সাথে অতি-ব্যবহারকারীর পাসওয়ার্ডও রয়েছে, কারণ এটি লগইন পাসওয়ার্ডের মতো।

তবে যদি রুট পাসওয়ার্ডের প্রয়োজন হয়, তবে কেবল লগইন থাকলে অনুপ্রবেশকারীকে খুব বেশি সহায়তা করা যায় না - ঠিক তাই না?

সুতরাং মূলত, আমি যা জানতে চাই তা হল: উবুন্টু কেন রুট পাসওয়ার্ডটি অক্ষম করতে বেছে নিয়েছিল? সুরক্ষার কারণগুলি কী কী?

আপনি যে কারণটি "মনে করেন" তার কারণ অনুসারে দয়া করে উত্তর দিবেন না - আমি সরকারী উত্স থেকে উত্তর খুঁজছি, বা তাদের সাথে লিঙ্ক করেছি।


6
দেখুন এই সাহায্য করে কিনা ।
মিচ

5
সুডো ব্যবহারের কারণগুলি সুডো প্রথম স্থানে তৈরি হওয়ার কারণ হিসাবে একই।
থরবজর্ন রাভন অ্যান্ডারসন

2
ক্যানোনিকাল মনে করেন যে এটি উইন্ডোজ এবং ওএসএক্স ব্যবহারকারীদের সিস্টেম প্রশাসনের কোনও পটভূমি নেই তাদের ব্যবহারযোগ্যতা এবং সুরক্ষার মধ্যে সবচেয়ে কাছের ভারসাম্য। একটি ডেস্কটপ ডিস্ট্রো থাকার পুরো বিষয়টি হ'ল এমন লোকদের কাছে আবেদন করা যারা লিনাক্স সম্পর্কে শিখতে চান না , তবে তারা যে জিনিসগুলি চালাতে চান সেগুলি সন্ধান করতে, তাদের ক্লিক করতে, এবং তাদের চালানোর জন্য সক্ষম হতে চান। যে মুহুর্তে একজন "সাধারণ" ব্যবহারকারী কেবল ওয়েব / মেল / প্রিলন / গেমসের চেয়ে বেশি কিছু করার বিষয়ে আগ্রহী হবেন, হঠাৎ করে উবুন্টু যে শীতল ইউনিক্সির বিষয়ে শুনেছেন তাদের "প্রবেশদ্বার" মূল সক্ষম সহ এটির প্রবেশদ্বার হতে পারে - এটি সর্বদা সেখানে ছিল , চেষ্টা করুন sudo su)।
zxq9

1
যদি কেউ আপনার অ্যাকাউন্টটি বন্ধ করে দেয় তবে আপনি suনিজের অ্যাকাউন্ট থেকে রুটে গেলে যদি আপনি এটি টাইপ করেন তবে তারা রুট পাসওয়ার্ডটি ক্যাপচার করতে পারে। সুবিধাগুলি বৃদ্ধির বিষয়ে আপনার বক্তব্যটি কেবলমাত্র তখনই প্রযোজ্য যদি আপনি পৃথক কনসোলে রুট হিসাবে লগইন করেন এবং কখনও কখনও রুট হিসাবে এমন কিছু করেন না যা আপনার সাধারণ অ্যাকাউন্টে লেখার অ্যাক্সেসের কোনও ফাইলকে বিশ্বাস করে। বিদ্যমান উত্তরগুলি যেমন বলেছে, এর প্রধান কারণগুলির মধ্যে নতুনদেরকে একটি অ্যাকাউন্ট হিসাবে রুট ভাবনা থেকে নিরুৎসাহিত করা আপনার লগ ইন এবং ব্যবহার করা উচিত।
পিটার কর্ডস

2
এছাড়াও দেখুন মূল অধিকারগুলি পাওয়ার সবচেয়ে নিরাপদতম উপায়: সুডো, সু বা লগইন? ইউনিক্স / লিনাক্স স্ট্যাক এক্সচেঞ্জ এ।
mattdm

উত্তর:


81

মিচ মন্তব্যটিতে একটি ভাল লিঙ্ক পোস্ট করেছে: রুট হিসাবে লগইন করা কেন খারাপ? এবং ডেবিয়ান সাইটের তাদের উইকিতে তালিকাভুক্ত মূল সুবিধা রয়েছে :

কেন sudo?

sudoবিভিন্ন কারণে মূল হিসাবে একটি অধিবেশন খোলার চেয়ে ব্যবহার ভাল (নিরাপদ), যার মধ্যে রয়েছে:

  • রুট পাসওয়ার্ডটি sudoকারওই জানতে হবে না ( বর্তমান ব্যবহারকারীর পাসওয়ার্ডের জন্য অনুরোধ জানানো হয়)। অতিরিক্ত ব্যবহারকারীদের অস্থায়ীভাবে পৃথক ব্যবহারকারীদের মঞ্জুরি দেওয়া যেতে পারে এবং তারপরে পাসওয়ার্ড পরিবর্তনের প্রয়োজন ছাড়াই সরিয়ে নেওয়া হয়।

  • কেবলমাত্র সেই আদেশগুলি চালানো সহজ যেগুলির মাধ্যমে বিশেষ সুবিধাগুলি প্রয়োজন sudo; বাকি সময়, আপনি একটি অনিবদ্ধ ব্যবহারকারী হিসাবে কাজ করেন, যা ভুলগুলির ফলে ক্ষতি হ্রাস করে।

  • নিরীক্ষণ / লগিং: একটি sudoকমান্ড কার্যকর হলে মূল ব্যবহারকারী নাম এবং কমান্ডটি লগ হয় are

উপরের কারণগুলির জন্য, sudo -i(বা sudo su) ব্যবহার করে রুটে স্যুইচিং সাধারণত অবহিত হয় কারণ এটি উপরের বৈশিষ্ট্যগুলি বাতিল করে।

উবুন্টু সম্পর্কিত আমাদের সুবিধাগুলি এবং অসুবিধাগুলি আমাদের উইকিতে তালিকাবদ্ধ রয়েছে :

সুডো ব্যবহারের সুবিধা

ডিফল্টরূপে রুট লগইনগুলি অক্ষম রেখে উবুন্টুর বেশ কয়েকটি সুবিধা রয়েছে:

  • ইনস্টলারটির কাছে জিজ্ঞাসার জন্য কম প্রশ্ন রয়েছে। ব্যবহারকারীদের মাঝে মাঝে ব্যবহারের জন্য অতিরিক্ত পাসওয়ার্ড মনে রাখতে হবে না (যেমন মূল পাসওয়ার্ড)। যদি তারা তা করে থাকে তবে তারা এটিকে ভুলে যাওয়ার সম্ভাবনা রয়েছে (বা এটিকে অনিরাপদভাবে রেকর্ড করুন, যে কেউ সহজেই তাদের সিস্টেমে ক্র্যাক করতে দেয়)।

  • এটি ডিফল্টরূপে "আমি কিছু করতে পারি" ইন্টারেক্টিভ লগইন এড়িয়ে চলে। বড় পরিবর্তনগুলি হওয়ার আগে আপনাকে একটি পাসওয়ার্ডের জন্য অনুরোধ জানানো হবে, যা আপনাকে কী করছে তার পরিণতি সম্পর্কে ভাবতে বাধ্য করা উচিত।

  • উবুন্টু কমান্ড (গুলি) রান (ইন একটি লগ এন্ট্রি যোগ /var/log/auth.log)। আপনি যদি বিশৃঙ্খলা সৃষ্টি করেন, আপনি ফিরে যেতে পারেন এবং কোন আদেশগুলি চালিত হয়েছিল তা দেখতে পারেন।

  • একটি সার্ভারে, প্রতিটি ক্র্যাকার তাদের উপায়টিকে জোর করে চাপিয়ে দেওয়ার চেষ্টা করছে তা জানতে পারবে এটির রুট নামের একটি অ্যাকাউন্ট রয়েছে এবং এটি প্রথমে চেষ্টা করবে। আপনার অন্যান্য ব্যবহারকারীর নাম কী তা তারা জানে না। যেহেতু মূল অ্যাকাউন্টের পাসওয়ার্ডটি লক করা আছে, এই আক্রমণটি মূলত অর্থহীন হয়ে যায়, যেহেতু প্রথম স্থানে ক্র্যাক বা অনুমান করার কোনও পাসওয়ার্ড নেই।

  • গোষ্ঠী থেকে ব্যবহারকারীদের যোগ করে এবং অপসারণ করে প্রশাসকের অধিকারগুলির জন্য সহজ স্থানান্তরকে মঞ্জুরি দেয়। আপনি যখন একটি একক রুট পাসওয়ার্ড ব্যবহার করেন, তখন ব্যবহারকারীদের ডি-অনুমোদিত করার একমাত্র উপায় হ'ল রুট পাসওয়ার্ড পরিবর্তন করা।
  • সুডো আরও অনেক সূক্ষ্ম সুরক্ষা নীতি নিয়ে সেটআপ করা যায়। রুট অ্যাকাউন্টের পাসওয়ার্ড প্রত্যেককেই সিস্টেমের সাথে কিছু প্রকার প্রশাসনিক টাস্ক (পূর্ববর্তী বুলেটটি দেখুন) সম্পাদন করতে হবে এমন ব্যক্তির সাথে ভাগ করে নেওয়া দরকার না।

  • প্রমাণীকরণ স্বল্প সময়ের পরে স্বয়ংক্রিয়ভাবে মেয়াদ শেষ হবে (যা পছন্দসই হিসাবে কম সেট করা যেতে পারে বা 0); সুতরাং আপনি sudo ব্যবহার করে রুট হিসাবে কমান্ড চালানোর পরে যদি টার্মিনাল থেকে দূরে চলে যান তবে আপনি কোনও রুট টার্মিনাল অনির্দিষ্টকালের জন্য খোলা রাখবেন না।

সুডো ব্যবহারের ডাউনসাইডস

যদিও ডেস্কটপগুলির জন্য সুডো ব্যবহারের সুবিধাগুলি দুর্দান্ত, তবে সম্ভাব্য সমস্যা রয়েছে যা লক্ষ করা দরকার:

  • সুডোর সাথে পরিচালিত কমান্ডগুলির আউটপুট পুনর্নির্দেশের জন্য আলাদা পদ্ধতির প্রয়োজন। উদাহরণস্বরূপ বিবেচনাগুলি sudo ls > /root/somefile কাজ করবে না কারণ এটি শেল যা সেই ফাইলটিতে লেখার চেষ্টা করে। আপনি ls | sudo tee -a /root/somefileসংযোজন করতে, বা ls | sudo tee /root/somefileসামগ্রীগুলি ওভাররাইট করতে ব্যবহার করতে পারেন । আপনি সম্পূর্ণ কমান্ডটি sudo এর অধীনে চালিত শেল প্রক্রিয়াতে পাস করতে পারতেন, যেমন রুট অনুমতি সহ ফাইলটি লিখিত থাকে sudo sh -c "ls > /root/somefile"

  • বেশিরভাগ অফিসে পরিবেশে কোনও সিস্টেমে কেবলমাত্র স্থানীয় ব্যবহারকারীই মূল। অন্যান্য সমস্ত ব্যবহারকারী এনএসএস-এলডিএপ জাতীয় এনএসএস কৌশল ব্যবহার করে আমদানি করা হয়। একটি ওয়ার্কস্টেশন সেট আপ করতে, বা এটি ঠিক করতে, কোনও নেটওয়ার্ক ব্যর্থতার ক্ষেত্রে যেখানে এনএসএস-এলডিপটি নষ্ট হয়েছে, রুট প্রয়োজন। এটি ক্র্যাক না হওয়া পর্যন্ত সিস্টেমটিকে অকেজো ব্যবহার করে। একটি অতিরিক্ত স্থানীয় ব্যবহারকারী বা একটি সক্ষম রুট পাসওয়ার্ড এখানে প্রয়োজন। স্থানীয় ব্যবহারকারী অ্যাকাউন্ট একটি স্থানীয় ডিস্কে তার $ হোম থাকা উচিত, নাএনএফএসে (বা অন্য কোনও নেটওয়ার্কযুক্ত ফাইল সিস্টেম), এবং একটি। প্রোফাইল / .bashrc যা এনএফএস মাউন্টগুলিতে কোনও ফাইল রেফারেন্স করে না। এটি সাধারণত মূলের ক্ষেত্রে হয়, তবে যদি কোনও শিকড়বিহীন উদ্ধার অ্যাকাউন্ট যুক্ত করা হয় তবে আপনাকে এই সতর্কতাগুলি ম্যানুয়ালি নিতে হবে। তবে সুডো সহ স্থানীয় ব্যবহারকারীকে ব্যবহার করার সুবিধাটি হ'ল উপরের সুবিধাগুলিতে বর্ণিত কমান্ডগুলি সহজেই ট্র্যাক করা যায়।

এবং আমাদের সর্বদা এটি ছিল (খুব প্রথম প্রকাশ থেকে)।


আমার পাওয়া প্রাচীনতম রেফারেন্সটি প্রায় 4.10 সম্পর্কে বলে যা "sudo" রয়েছে

শাটলওয়ার্থ দেবিয়ান ভিত্তিক উবুন্টু লিনাক্স চালু করে

... দেবিয়ান-ভিত্তিক উবুন্টু লিনাক্সে জিনোম ২.৮, কার্নেল ২.6.৮.১, ওপেনঅফিস.আর.আর ১.১.২ রয়েছে এবং এটি একটি পাঠ্য-ভিত্তিক, তবে সহজ, ইনস্টলেশন পদ্ধতি সহ আসে। উবুন্টু ম্যাক ওএসএক্সের মতো সুডো ব্যবহার পছন্দ করে মূল ব্যবহারকারীকে অক্ষম করেছে ...


থেকে নিরাপত্তা বৈশিষ্ট্য একটি দম্পতি নিখোঁজ সুবিধা (গুই জন্য) কেউই 'উঁচু বিশেষাধিকার' লাভ করতে পারেন (ঝ।): ছাড়া ইন্টারেক্টিভ স্থানীয় অ্যাক্সেস (কীবোর্ড পাসওয়ার্ড টাইপ); (ii।) প্রদত্ত 'উন্নত সুবিধাপ্রাপ্তি' কেবল sudo'd কমান্ড (গুলি) এর জন্য, ব্যবহারকারীর (বা মূল) কোনও কাজ / থ্রেড নয় ।
ডেভিড 6

এটি মূল প্রশ্নের উত্থাপিত পয়েন্টগুলি উপেক্ষা করে এবং অন্যান্য অনেক তথ্যের সাথে এটি অস্পষ্ট বলে মনে হচ্ছে কেন এটি ভাল?
পল 23

6

আমি বিশ্বাস করি যে সহায়তা পৃষ্ঠায় যা লেখা আছে তা যথেষ্ট এবং পর্যাপ্ত উদ্দেশ্য সাফ।

উবুন্টু "সবার জন্য" এবং যদিও আপনি যথেষ্ট ভাল তবে আপনার কম্পিউটারের ক্ষতি করতে আপনার রুট অ্যাক্সেসের প্রয়োজন নেই, একই সময়ে আপনার এটির মোটেও প্রয়োজন হয় না (এবং কীভাবে সহজে এটি সক্ষম করবেন তা আপনি জানেন)।
সুতরাং সমস্যাটি "যথেষ্ট ভাল" লোকদের ক্ষেত্রে নয়, তবে সবার জন্য, এটি অন্য কম্পিউটারের কম্পিউটার থেকে লিনাক্সে আসতে পারে এবং প্রথম প্রভাবটি উবুন্টুর সাথে হয় (এবং আমরা অনেক)।

আপনি যদি বিশেষজ্ঞ না হন rootএবং সঠিকভাবে কীভাবে পরিচালনা করতে হয় তা সঠিকভাবে জানেন না, তবে আপনি এটি সক্ষম করতে চান না বা প্রয়োজনও নয় (এবং ঝুঁকি, উদাহরণস্বরূপ, এটির সাথে একটি গ্রাফিক লগইন করা)।
নিরাপদ দিক থেকে কীভাবে কাজগুলি করা যায় এবং তারপরে আরও শক্ত এবং আরও বিপজ্জনক পথে এগিয়ে যাওয়া আরও বেশি ভাল, সরাসরি সরাসরি শুরু করার চেয়ে এবং আপনার ইনস্টলেশন / ওয়ার্কস্টেশনকে ক্ষতিগ্রস্ত করা, হতাশ হয়ে পড়া এবং সম্ভবত পুরোপুরি কাজ সেরে উঠতে অক্ষম পদ্ধতি.
সাধারণভাবে, প্রতিরোধ করা নিরাময়ের চেয়ে অনেক ভাল।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.