প্রশাসনিক অ্যাকাউন্টের প্রতিদিন ব্যবহারে সুরক্ষা ঝুঁকি (মূল নয়)?

8

আমার অ্যাডমিন অ্যাকাউন্টকে সাধারণ অ্যাকাউন্ট থেকে আলাদা করার একমাত্র জিনিসটি হল আমার প্রশাসক অ্যাকাউন্টটি এই sudoগ্রুপের সদস্য এবং এটি চালাতে পারে sudo। প্রতিদিনের কাজের জন্য আমার প্রশাসক অ্যাকাউন্টটি ব্যবহার করা কি কম নিরাপদ? যদি হ্যাঁ, কেন?

ধরে নিন যে আমি আমার পাসওয়ার্ডটি যেখানে প্রবেশ করলাম সেখানে আমি খুব যত্নবান এবং অবশ্যই এটি কার্যকর করার আগে একটি আদেশ কী করে।

আমি যদি আমার প্রতিদিনের অ্যাকাউন্টের জন্য একটি সাধারণ অ-প্রশাসক অ্যাকাউন্ট ব্যবহার করি, যখন আমাকে রুট হিসাবে কিছু চালানোর দরকার হয় তখন আমি suআমার প্রশাসক অ্যাকাউন্টে প্রবেশ করতাম (রুটে নয়, যেটির কোনও পাসওয়ার্ড নেই এবং অক্ষম আছে!) এবং সেখানে sudoকমান্ডটি চালাও অ্যাডমিন শেল; বা, আমি গ্রাফিকভাবে ব্যবহারকারীদের স্যুইচ করব। সুতরাং, চালানো হবে এমন কমান্ডের পরিমাণ একই - একটি সাধারণ অ্যাকাউন্ট ব্যবহার করার অর্থ হ'ল রুট হিসাবে কিছু চালানোর সময় আমাকে দুবার আমার প্রশাসক পাসওয়ার্ড প্রবেশ করতে হবে।

সুতরাং, উন্নত ব্যবহারকারীরা কি প্রশাসনিক অ্যাকাউন্টের পরিবর্তে কোনও সাধারণ অ্যাকাউন্টে দৈনন্দিন কাজ করা উচিত? এবং কেন বা কেন নয়?

দয়া করে নোট করুন যে "অ্যাডমিন অ্যাকাউন্ট" দ্বারা আমি sudoরুট হিসাবে কমান্ড চালানোর জন্য বিশেষাধিকারযুক্ত অ্যাকাউন্টটি বোঝি - মূল অ্যাকাউন্টটি নয়। আমি কখনই মূল হিসাবে লগ ইন করি না।

permissions  login  password  sudo  users 
বাইট কমান্ডার
সূত্র

উত্তর:

5

রুট না থাকাকালীন কোনও ঝুঁকি নেই

প্রশাসক বা sudoব্যবহারকারীর জন্য আমার বোঝাপড়া থেকে এটি যতক্ষণ না আমরা বলি ততক্ষণsudo সাধারণ ডেস্কটপ ব্যবহারকারীর মতো কাজ করে - সুতরাং কোনও অতিরিক্ত ঝুঁকি থাকা উচিত নয় be

দুর্ঘটনাক্রমে মূল হয়ে যাওয়ার ঝুঁকি

এটিও সত্য যে সম্ভাব্য প্রশাসনিক প্রশাসকের অনুমতিপ্রাপ্ত ব্যবহারকারীকে কোথায়, কখন, বা কারা তাদের পাসওয়ার্ড দেয় তা কিছুটা কাছাকাছি দেখার দরকার।

আমি কল্পনা করতে পারি (যদিও আমি কখনই তার সাথে সাক্ষাত করি নি) একটি খারাপ অ্যাপ্লিকেশন বা কোনও স্ক্রিপ্ট যা আপনাকে কী বলা হচ্ছে তা না দিয়ে আপনার পাসওয়ার্ডের জন্য জিজ্ঞাসা করছে। এটি সম্ভবত রুট অনুমতি নিয়ে কিছু সম্পাদন করবে, কারণ এটি অন্যথায় আপনার পাসওয়ার্ডের প্রয়োজন হবে না। আমি যদি এই অ্যাপ্লিকেশনটি কী তা না জানি তবে আমি কেবল এটি আমার মূল পাসওয়ার্ডটি দেব না।

আমরা সমাপ্ত হওয়ার পরে আবারও রুট অনুমতি খারিজ করার জন্য আমরা দায়বদ্ধ। যেমন নটিলাসের মতো গ্রাফিকাল অ্যাপ্লিকেশন নিয়ে কাজ করার সময় সবসময় রুট থাকা খারাপ ধারণা।

রুট অ্যাক্সেস হারানোর ঝুঁকি

অন্য একটি "ঝুঁকি" হতে পারে যে আপনি নিজের অ্যাকাউন্টে এমন খারাপ কিছু করেছিলেন যা আপনাকে লগ ইন করতে বাধা দেয় Therefore সুতরাং আমি সর্বদা উবুন্টুকে যে কোনও বাক্সে ইনস্টল করি তাতে কমপক্ষে দু'জন প্রশাসক ব্যবহারকারী তৈরি করি। এটি কেসটির জন্য যা কিছু আমার প্রধান অ্যাকাউন্ট ভঙ্গ করে।

Takkat
সূত্র
প্রথম উত্তর যা আসলে প্রশ্নটিকে সম্বোধন করে। ধন্যবাদ! যেমনটি আমি বলেছি, আমি (কমপক্ষে অনুমান করি যে) আমার পাসওয়ার্ডগুলি কোথায় প্রবেশ করতে হবে এবং কোনটি চালানোর আদেশ দেয় তা সতর্ক। তবে এখনও যখন পুনরুদ্ধার-মোডের রুট শেলটি নেই তখন আপনার কেন দুটি অ্যাডমিন অ্যাকাউন্ট দরকার?
বাইট কমান্ডার
@ বাইটকম্যান্ডারটি কেবলমাত্র যদি আপনার কম্পিউটারে শারীরিক অ্যাক্সেস থাকে তবে তা কাজ করে।
জন বেন্টলে
@ জনবেন্টলি আমার কাছে আছে এটি এই ক্ষেত্রে আমার বাড়ির কম্পিউটার সম্পর্কে, তার মানে আমার কেবল শারীরিক অ্যাক্সেস আছে।
বাইট কমান্ডার
এরর, কোন। এগুলি ব্যবহার করে এমন অ্যাকাউন্ট থেকে নিজেকে চালিয়ে সুডোর অধিকার অর্জনের জন্য আমার আক্রমণ রয়েছে।
জোশুয়া
10

যে অ্যাকাউন্টটি sudo করতে পারে তা প্রযুক্তিগতভাবে রুট অ্যাকাউন্ট হিসাবে সক্ষম (ডিফল্ট sudoersকনফিগারেশন আচরণ অনুমান করে) তবে মূল এবং একটি অ্যাকাউন্টেরsudo মধ্যে এখনও বেশ বড় পার্থক্য রয়েছে :

  • ঘটনাচক্রে একটি একক চরিত্র বাদ দেওয়া উবুন্টুকে ধ্বংস করবে না destroy সম্ভবত। মুছে ফেলার চেষ্টা করে ~/binতবে এর rmবিরুদ্ধে চলতে বিবেচনা করুন /bin। আপনি যদি শিকড় না হন তবে ঝুঁকি কম থাকে।

  • sudoএকটি পাসওয়ার্ড প্রয়োজন, আপনাকে কোনও ভুল কাজ করার জন্য সেই মিলিসেকেন্ডগুলি দেয়। এর অর্থ হ'ল অন্যান্য অ্যাপ্লিকেশনগুলিতে আপনার পক্ষে মূল জিনিসগুলি করার ক্ষমতা নেই।

এজন্য আমরা লোকদের প্রতিদিনের কাজের জন্য মূল অ্যাকাউন্টটি ব্যবহার না করার পরামর্শ দিই।

নিজেকে অন্য কোনও মধ্যস্থতাকারী "অ্যাডমিন" অ্যাকাউন্টের সাথে অন্তরক করা (এবং sudoঅ্যাক্সেস ছাড়াই ব্যবহারকারী হিসাবে চালানো ) কেবল একটি অন্য স্তর। এটি সম্ভবত একটি আলাদা পাসওয়ার্ডও হওয়া উচিত।

যদিও এটি অতিরিক্ত গোলমাল করছে এবং (আপনার প্রশ্নের শর্তাদি অনুযায়ী) যদি কোনও কিছু আপনার প্রথম পাসওয়ার্ড স্নিগ্ধ করতে পারে তবে তারা সম্ভবত দ্বিতীয়টি ঠিক তত সহজেই পেতে পারে। আপনি যদি কখনও ভুল করেন না এবং এই শক্তিশালী পাসওয়ার্ড অন্য কোথাও কখনও ব্যবহার করেন না (অনুমানযোগ্য বা ক্র্যাকযোগ্য নয়) তবে এই সমাধান সম্ভবত আর নিরাপদ নয়। যদি কেউ রুট চান তবে তারা পুনরুদ্ধার, ক্রুট বা একটি রেঞ্চ ব্যবহার করবে

এমন একটি চিন্তাভাবনা স্কুল রয়েছে যা উল্লেখ করে যে [অ-এন্টারপ্রাইজ ডেস্কটপ ব্যবহারকারীদের জন্য] আপনার মূল্যমানের কোনও কিছুই আপনার ব্যবহারকারীর হাত থেকে সুরক্ষিত নয় । আপনার সমস্ত দস্তাবেজ, ফটো, ওয়েব ব্রাউজিং ইতিহাস ইত্যাদির মালিকানাধীন এবং অ্যাক্সেসযোগ্য আপনার বা আপনার মতো চলমান কিছু। যেমন আপনি এমন কিছু চালাতে পারেন যা আপনার সমস্ত কীস্ট্রোক লগ করে , আপনার ওয়েবক্যামটি দেখে, আপনার মাইক্রোফোনে শোনায় ইত্যাদি

সহজ কথায় বলতে গেলে ম্যালওয়্যার কারওর জীবন নষ্ট করতে বা আপনার কাছে গুপ্তচরবৃত্তির জন্য মূলের প্রয়োজন হয় না।

অলি
সূত্র
1
দুঃখিত, আপনি আমার প্রশ্ন পুরোপুরি সঠিক না বুঝতে পেরেছিলেন। আমি কখনই লগ ইনকে মূল হিসাবে বিবেচনা করি নি। আমার অপশনগুলি কেবল অ্যাডমিন হিসাবে লগইন করছে ( sudoইত্যাদি গ্রুপ সদস্য) - - অথবা - - সাধারণত / গ্রাফিকলি সাধারণত suঅ্যাডমিনে (অ্যাডমিনের পাসওয়ার্ড প্রবেশ করিয়ে) স্যুইচ করার মাধ্যমে এবং টার্মিনালে লগইন করে sudoএবং সেখান থেকে ব্যবহার করে (প্রবেশ করে) অ্যাডমিন পাসওয়ার্ড আবার)।
বাইট কমান্ডার
দ্বিতীয় পাসওয়ার্ডটি সহজেই পাওয়ার বিষয়ে আপনার বক্তব্যটি, এটি হওয়ার দরকার নেই। আমি উত্তর সহ আমার ডেস্কটপ মেশিনগুলি পরিচালনা করি, যা এসএসএসের মাধ্যমে প্রশাসক অ্যাকাউন্টের সাথে সংযুক্ত হয়। ব্যবহারকারীর অ্যাকাউন্টগুলিতে সুডোর সুবিধাগুলি নেই এবং ডেস্কটপে শারীরিকভাবে কোনও অ্যাডমিন অ্যাকাউন্ট ব্যবহার করার দরকার নেই (বাস্তবে এটি অনাকাঙ্ক্ষিত, কারণ আমি চাই না যে আমার মেশিনগুলি স্বতন্ত্রভাবে মেসে গেছে এবং এর সাথে সিঙ্কের বাইরে চলে যায়) বিশ্রাম).
জন বেন্টলে
@ByteCommander উত্তর দ্বিতীয়ার্ধে আপনি চেয়েছিলেন উপর ভিত্তি করে তৈরি কিন্তু কারণে জন্য এটা স্বাভাবিক রুট-বনাম-অ্যাডমিন যুক্তি থেকে একটি বহির্পাতন হয়। এটি একই জিনিসটির আরেকটি স্তর।
অলি
2

হ্যাঁ, ঝুঁকি আছে। আপনার পক্ষে সেই ঝুঁকিগুলির যত্ন নেওয়া যথেষ্ট বড় কিনা বা না তা পছন্দসই এবং / অথবা আপনার সুরক্ষা নীতি বিষয়।

আপনি যে কোনও সময় কম্পিউটার ব্যবহার করেন না কেন আপনি আক্রমণকারীদের থেকে সর্বদা ঝুঁকির মধ্যে থাকেন। এমনকি যদি আপনি একটি অত্যন্ত সুরক্ষিত সেটআপ চালান তবে আপনি এখনও অজানা দুর্বলতার বিরুদ্ধে সুরক্ষা দিতে পারবেন না।

আপনি যদি সুডো সুবিধা ব্যতীত কোনও অ্যাকাউন্ট ব্যবহার করছেন এবং সেই ব্যবহারের কারণে সেই অ্যাকাউন্টটি আপস করা হয়েছে (উদাহরণস্বরূপ কীলগার আপনার পাসওয়ার্ডটি ধরে ফেলবে), তবে এতে ক্ষতি হতে পারে এমন একটি সীমাবদ্ধতা যুক্ত করে। যদি কোনও আক্রমণকারী কোনও অ্যাকাউন্টে সুডোর সুবিধাগুলি নিয়ে আপস করে তবে তারাও সেই সুযোগগুলি অর্জন করে।

বেশিরভাগ সিস্টেমে, sudo ব্যবহার করা আপনার পাসওয়ার্ডটি ডিফল্টরূপে 15 মিনিটের জন্য মনে রাখে, যা আপনি সেটিংটি পরিবর্তন না করে অন্য ঝুঁকির কারণ।

জন বেন্টলি
সূত্র
সম্ভাব্য ঝুঁকি হিসাবে ডান-থেকে-উন্নতকরণের ক্যাচিংয়ের কথা উল্লেখ করা হয়েছিল : একটি অজানা স্ক্রিপ্টটিতে সম্ভবত একটি sudo কমান্ড থাকতে পারে যা অপরিবর্তিত থাকবে, তবে লেখকটি মাঝারিভাবে নিশ্চিত না হতে পারে যে আপনি সম্প্রতি একটি sudo কমান্ড জারি করেছেন, সাধারণ পরিস্থিতিতে এটি পাসওয়ার্ডের জন্য জিজ্ঞাসা করবে যা কোনও অদ্ভুত কিছু ঘটছে তা একটি লাল-সতর্কতা হওয়া উচিত।
ট্রিপহাউন্ড
@ ট্রাইপহাউন্ড বিকল্পভাবে, আপনি একটি বাথরুম বিরতির জন্য কম্পিউটার থেকে দূরে সরে এসেছেন, কেবল একটি সুডো কমান্ড অনুমোদিত করেছেন এবং অন্য কেউ পদক্ষেপ নিচ্ছেন potential আমি সম্ভাব্যতা বা অন্যথায় ঝুঁকির মধ্যে কোনও পার্থক্য দেখতে পাচ্ছি না - শব্দটি ঝুঁকি কেবল বোঝায় যে সেখানে আছে একটি অনাকাঙ্ক্ষিত ফলাফলের কিছু অ-শূন্য সম্ভাবনা। হ্যাঁ, সাধারণ পরিস্থিতিতে আপনি পাসওয়ার্ডের অনুরোধটি লক্ষ্য করবেন। আপনার আক্রমণকারী, যিনি সেই স্ক্রিপ্টটি 1000 কম্পিউটারে রোপণ করেছিলেন এবং মনে, যত্নের নির্দিষ্ট লক্ষ্য নেই?
জন বেন্টলে
0

আমার মতামত ভিত্তিক উত্তর, কারণ সবকিছু গাণিতিকভাবে প্রমাণিত হতে হবে এবং সেখান থেকে আমার কোনও ধারণা নেই। ;)

দুটি অ্যাকাউন্টে একটি গোষ্ঠী admএবং তার sudoঅর্থ একটি অ্যাকাউন্টে sudoঅধিকার সহ কমান্ড কার্যকর করার অধিকার রয়েছে। এই অধিকার ছাড়া একটি।

  • আপনি যদি অননুমোদিত অ্যাকাউন্টের জন্য পাসওয়ার্ডটি ক্র্যাক করে থাকেন তবে আপনাকে এখনও অধিকারযুক্ত অ্যাকাউন্টের জন্য পাসওয়ার্ডটি ক্র্যাক করতে হবে। -> একমাত্র অ্যাকাউন্টের সাথে তুলনায় সুবিধা
  • যদি আপনি সুবিধাযুক্ত অ্যাকাউন্টটি ক্র্যাক করে থাকেন। -> শুধুমাত্র একটি অ্যাকাউন্টের সাথে তুলনায় কোনও সুবিধা নেই

যদি আপনি আক্রমণকারীর বুদ্ধিমত্তাকে সম্মান না করেন তবে সম্ভাব্যতা 50%।

আমার দৃষ্টিকোণ থেকে, এটি তাত্ত্বিক একটি খুব সামান্য সুরক্ষা বেনিফিট এবং সম্ভাবনা তত্ত্বের ক্ষেত্রের সাথে আরও বেশি অন্তর্গত। তবে সুবিধার ক্ষতি হ'ল অসম্পূর্ণভাবে। এটি নির্ভর করে আক্রমণকারী কতটা স্মার্ট depends এই বুদ্ধি অবমূল্যায়ন করবেন না। এটি সুরক্ষার একটি মিথ্যা অনুভূতি।

অন্য কথায়, না, এটি আপনার কাছে কোনও পরিমাপযোগ্য সুবিধা দেয় না, তবে আপনি প্রচুর সুবিধাদি হারাবেন। শেষে প্রত্যেককে নিজের জন্য সিদ্ধান্ত নিতে হবে।

এবি
সূত্র
0

আমি ঠিক তার মতো চালাই: আমি যেখানে আমার ব্যবহারকারীর স্টাফ করি সেখানে একজন এবং আমি কেবল প্রশাসককে কোনও ব্যবহারকারীর স্টাফ করি না এমন এক ব্যবহারকারী। এমনকি কমান্ড প্রম্পটগুলি পৃথক: ব্যবহারকারীদের একটি সবুজ প্রম্পট থাকে এবং একটি লাল রঙের প্রশাসক থাকে!

কেন?

প্রশাসকের ব্যবহারকারীর থেকে পৃথক আমি যে সমস্ত অ্যাপ্লিকেশন ব্যবহার করি তার ব্যবহারকারীর নিজস্ব সেটিংস ছিল যা আপনাকে এগুলি করতে দেয়:

  1. কোনও সমস্যা ব্যবহারকারী-সম্পর্কিত বা সিস্টেম সম্পর্কিত কিনা তা ডিবাগ করুন
  2. কিছু যায় একটি ব্যাকআপ ব্যবহারকারী অ্যাকাউন্ট পরিবর্তে গেস্ট অ্যাকাউন্ট এবং মূল অ্যাকাউন্ট হিসেবে অ্যাডমিন অ্যাকাউন্ট আছে সত্যই কোনও গোলোযোগ আপনার ব্যবহারকারী সেটিংস এবং আপনি যে কোনো আরো অনেক কিছুতে লগইন করতে পারবেন না।
  3. যদি আপনি এটি করতে চান তবে প্রশাসক ডক্স এবং ব্যবহারকারী ডক্সকে তাদের নিজ নিজ হোম ডিরেক্টরিগুলিতে আলাদা করুন ।
  4. sudoকমান্ডের আগে দুর্ঘটনাক্রমে টাইপ করার সময় কোনও প্রভাব নেই ।
  5. সাধারণ ব্যবহারকারীর কী দেখার কথা নেই তা দেখার কোনও উপায় নেই।
  6. কোনও ব্যবহারকারীর সুবিধাগুলি বাড়ানোর বাগটিকে আঘাত করার কোনও উপায় নেই। (অতীতে কয়েকটি ছিল)
  7. আপনার কম্পিউটারের অন্যান্য ব্যবহারকারীর মতোই একজন "সাধারণ ব্যবহারকারী" হন এবং কী কী সুবিধা / অসুবিধাগুলি তা জানেন।
Fabby
সূত্র
ঠিক আছে, তবে "অ্যাডমিন ডকস" (যা আমার কাছে আসলে নেই) এবং "ব্যবহারকারী ডকস" আলাদা করা আমার মতে একটি বড় ক্ষতি, কারণ আমি সবসময় আমার সমস্ত ডেটা এক জায়গায় রাখতে চাই (অবশ্যই ব্যাকআপ অবশ্যই)। সেটিংসের জন্য একই। এগুলি মূলত একই, আমি এমনকি ভাগ করা ডিরেক্টরি থেকে একই ফায়ারফক্স / থান্ডারবার্ড প্রোফাইল ব্যবহার করি। এবং অন্যান্য পরিবারের সদস্যদের কাছ থেকে অন্যান্য সাধারণ ব্যবহারকারীর অ্যাকাউন্ট ইত্যাদি রয়েছে, আমি কেবল নিজের মালিকানার কথা বলছি। আমি প্রতিশ্রুতি অনুসারে আরও ব্যাখ্যার অপেক্ষায় রয়েছি (৪), তবে আপনি এখনও সত্যিই আমাকে রাজি করেননি, বরং বিপরীত। : - /
বাইট কমান্ডার
আরএল নিয়ে ব্যস্ত হয়ে পড়েছেন। দেখে মনে হচ্ছে আপনার ইতিমধ্যে একটি স্বীকৃত উত্তর রয়েছে তবে প্রতিশ্রুতি অনুসারে আরও কিছু কারণ যুক্ত করেছেন! ;-)
ফেব্বী
1
এখন এটি একটি upgoat মূল্য! : ডি
বাইট কমান্ডার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.