Sicherheitsrisiko im täglichen Gebrauch eines Administratorkontos (nicht root)?

8

Das einzige, was mein Administratorkonto von normalen Konten unterscheidet, ist, dass mein Administratorkonto Mitglied der sudoGruppe ist und ausgeführt werden kann sudo. Ist es weniger sicher, mein Administratorkonto für die tägliche Arbeit zu verwenden? Wenn ja, warum?

Angenommen, ich bin sehr vorsichtig, wo ich mein Passwort eingebe und weiß, was ein Befehl tut, bevor ich ihn ausführe.

Wenn ich ein normales Nicht-Administratorkonto für mein tägliches Konto verwenden würde, wenn ich etwas als root ausführen müsste, würde ich suin mein Administratorkonto (nicht in root, da dieses kein Passwort hat und deaktiviert ist!) Und dort den sudoBefehl im ausführen Admin-Shell; oder ich würde Benutzer grafisch wechseln. Daher ist die Anzahl der Befehle, die ausgeführt werden, gleich. Wenn Sie ein normales Konto verwenden, muss ich mein Administratorkennwort nur zweimal eingeben, wenn ich etwas als root ausführen möchte.

Sollten fortgeschrittene Benutzer die tägliche Arbeit mit einem normalen Konto anstelle eines Administratorkontos erledigen? Und warum oder warum nicht?

Bitte beachten Sie, dass mit "Administratorkonto" ein Konto gemeint ist, das sudozum Ausführen von Befehlen als Root berechtigt ist - nicht das Root-Konto selbst. Ich melde mich nie als root an.

permissions login password sudo users Byte Commander
quelle

Antworten:

5

Kein Risiko ohne Wurzel

Nach meinem Verständnis für einen Administrator oder sudoBenutzer funktioniert es wie ein normaler Desktop-Benutzer , solange wir es nicht sagensudo - es sollte also kein zusätzliches Risiko bestehen.

Gefahr, versehentlich Wurzeln zu schlagen

Es ist auch richtig, dass ein Benutzer mit potenziellen Administratorrechten etwas genauer darauf achten muss, wo, wann oder wen er sein Passwort preisgibt.

Ich kann mir vorstellen (obwohl ich noch nie eine getroffen habe), dass eine böse Anwendung oder ein Skript Sie nach Ihrem Passwort fragt, ohne Ihnen zu sagen, wofür. Es wird wahrscheinlich etwas mit Root-Berechtigungen ausführen, da es sonst Ihr Passwort nicht benötigen würde. Wenn ich nicht weiß, was diese Anwendung tut, würde ich ihr einfach nicht mein Root-Passwort geben.

Wir sind auch dafür verantwortlich, die Root-Berechtigung nach Abschluss erneut zu verwerfen. Es ist immer eine schlechte Idee, bei der Arbeit mit einer grafischen Anwendung wie z. B. Nautilus root zu bleiben.

Risiko des Verlusts des Root-Zugriffs

Ein weiteres "Risiko" kann sein, dass Sie mit Ihrem Konto etwas Schlechtes tun, das Sie daran hindert, sich anzumelden. Daher erstelle ich auf jeder Box, auf der ich Ubuntu installiere, immer mindestens zwei Administratorbenutzer . Dies ist für den Fall, dass etwas mein Hauptkonto bricht.

Takkat
quelle
Die erste Antwort, die sich tatsächlich mit der Frage befasst. Vielen Dank! Wie gesagt, ich gehe (zumindest davon aus, dass ich) vorsichtig, wo ich meine Passwörter eingeben und welche Befehle ausgeführt werden sollen. Aber ich verstehe nicht, warum Sie zwei Administratorkonten benötigen, wenn es noch die Root-Shell im Wiederherstellungsmodus gibt?
Byte Commander
@ByteCommander Das funktioniert nur, wenn Sie physischen Zugriff auf den Computer haben.
Jon Bentley
@ JonBentley habe ich. In diesem Fall geht es um meinen Heimcomputer, dh ich habe nur physischen Zugriff.
Byte Commander
Äh, nein. Ich habe einen Angriff, um selbst Sudo-Berechtigungen zu erlangen, die von einem Konto ausgeführt werden, das sie verwendet.
Joshua
10

Ein Konto, das sudo kann, ist technisch genauso leistungsfähig wie das Root-Konto (unter der Annahme eines Standardkonfigurationsverhaltens sudoers), aber es gibt immer noch einen großen Unterschied zwischen root und einem Konto, das Folgendes kannsudo :

  • Das versehentliche Weglassen eines einzelnen Charakters zerstört Ubuntu nicht. Wahrscheinlich. Betrachten Sie versuchen , zu löschen , ~/binaber eigentlich läuft rmgegen /bin. Wenn Sie nicht root sind, besteht ein geringeres Risiko.

  • sudoerfordert ein Passwort, das Ihnen diese Millisekunden gibt, um Fehler zu beheben. Dies bedeutet auch, dass andere Anwendungen nicht in der Lage sind, Root-Aufgaben in Ihrem Namen auszuführen.

Aus diesem Grund empfehlen wir Personen, das Root-Konto nicht für die tägliche Arbeit zu verwenden.

Das Isolieren mit einem anderen zwischengeschalteten "Administratorkonto" (und das Ausführen als Benutzer ohne sudoZugriff) ist nur eine weitere Ebene. Es sollte wahrscheinlich auch ein anderes Passwort sein.

Es ist jedoch besonders viel Aufhebens und (gemäß Ihren Fragebedingungen) wenn etwas Ihr erstes Passwort herausschnüffeln kann, kann es wahrscheinlich das zweite genauso leicht bekommen. Wenn Sie nie Fehler gemacht haben und diese sicheren Passwörter nirgendwo anders verwenden (nicht erraten oder knackbar), ist diese Lösung wahrscheinlich nicht sicherer. Wenn jemand root will, bootet er in die Wiederherstellung, chroot oder benutzt einen Schraubenschlüssel .

Es gibt auch eine Denkschule, die darauf hinweist, dass [für Desktop-Benutzer außerhalb des Unternehmens] nichts, was Sie wertschätzen, vor Ihrem Benutzer geschützt ist . Alle Ihre Dokumente, Fotos, Webbrowser-Verlauf usw. sind Eigentum von Ihnen oder von Ihnen oder etwas, das gerade ausgeführt wird. So wie Sie etwas ausführen können, das alle Ihre Tastenanschläge protokolliert , Ihre Webcam anzeigt, Ihr Mikrofon abhört usw.

Einfach ausgedrückt, Malware braucht keine Wurzel, um jemandes Leben zu ruinieren oder Sie auszuspionieren.

Oli
quelle
1
Entschuldigung, Sie haben meine Frage nicht ganz richtig verstanden. Ich habe nie daran gedacht, mich als root anzumelden. Meine Optionen sind nur die Anmeldung als Administrator ( sudousw. Gruppenmitglied) - - oder - - Anmeldung als normaler / eingeschränkter Benutzer in der Regel und grafisch oder in einem Terminal durch suUmschalten auf den Administrator (Eingabe des Administratorkennworts) und anschließende Verwendung sudovon dort (Eingabe) Administratorkennwort erneut).
Byte Commander
Wenn Sie das zweite Passwort genauso einfach erhalten möchten, muss dies nicht der Fall sein. Ich verwalte meine Desktop-Computer mit Ansible, das über ssh eine Verbindung zu einem Administratorkonto herstellt. Die Benutzerkonten haben keine Sudo-Berechtigungen, und es ist nicht erforderlich, jemals ein Administratorkonto physisch auf dem Desktop zu verwenden (in der Tat ist dies unerwünscht, da ich nicht möchte, dass meine Computer einzeln durcheinander gebracht werden und nicht mehr mit dem synchronisiert werden sich ausruhen).
Jon Bentley
@ByteCommander Die zweite Hälfte der Antwort basiert auf dem, was Sie wollten, aber die Gründe dafür sind eine Extrapolation aus dem normalen Argument root-vs-admin. Es ist eine weitere Schicht derselben Sache.
Oli
2

Ja, es gibt Risiken. Ob diese Risiken groß genug sind, um sich um Sie zu kümmern, ist eine Frage der Präferenz und / oder Ihrer Sicherheitsrichtlinie.

Jedes Mal, wenn Sie einen Computer verwenden, sind Sie einem Risiko durch Angreifer ausgesetzt. Selbst wenn Sie ein äußerst sicheres Setup ausführen, können Sie sich nicht vor noch unbekannten Sicherheitslücken schützen.

Wenn Sie ein Konto ohne Sudo-Berechtigungen verwenden und dieses Konto aufgrund dieser Verwendung gefährdet ist (z. B. wenn ein Keylogger Ihr Kennwort abruft), wird der Schaden, der angerichtet werden kann, dadurch eingeschränkt. Wenn ein Angreifer ein Konto mit Sudo-Berechtigungen kompromittiert, erhält er auch diese Berechtigungen.

Auf den meisten Systemen wird bei Verwendung von sudo Ihr Kennwort standardmäßig 15 Minuten lang gespeichert. Dies ist ein weiterer Risikofaktor, sofern Sie diese Einstellung nicht ändern.

Jon Bentley
quelle
Wollte das Zwischenspeichern des Rechts auf Erhöhung als potenzielles Risiko erwähnen : Ein unbekanntes Skript könnte möglicherweise einen Sudo-Befehl enthalten, der unangefochten bleibt, es sei denn, der Verfasser könnte mäßig sicher sein, dass Sie kürzlich einen Sudo-Befehl ausgegeben haben Unter normalen Umständen wird nach dem Passwort gefragt, das eine rote Warnung sein sollte, dass etwas Seltsames passiert.
TripeHound
@TripeHound Alternativ können Sie sich für eine Toilettenpause vom Computer entfernen, nachdem Sie gerade einen Sudo-Befehl autorisiert haben, und jemand anderes greift ein. Ich sehe keinen Unterschied in den Risiken zwischen potenziell oder anderweitig - das Wort Risiko impliziert lediglich, dass es einen gibt eine Wahrscheinlichkeit ungleich Null für ein unerwünschtes Ergebnis. Ja, unter normalen Umständen würden Sie die Passwortanforderung bemerken. Interessiert es Ihren Angreifer, der dieses Skript auf 1000 Computern installiert hat und kein bestimmtes Ziel vor Augen hat?
Jon Bentley
0

Meine meinungsbasierte Antwort, denn alles müsste mathematisch bewiesen werden, und davon habe ich keine Ahnung. ;)

Zwei Konten, eines mit Gruppen admund sudo, bedeutet, dass ein Konto das Recht hat, Befehle mit sudoRechten auszuführen . Einer ohne diese Privilegien.

  • Wenn Sie das Kennwort für das nicht privilegierte Konto geknackt haben, müssen Sie das Kennwort für das privilegierte Konto jetzt noch knacken. -> Vorteil gegenüber nur einem Konto
  • Wenn Sie das privilegierte Konto geknackt haben. -> Kein Vorteil gegenüber nur einem Konto

Die Wahrscheinlichkeit beträgt 50%, wenn Sie die Intelligenz des Angreifers nicht respektieren.

Aus meiner Sicht ist es theoretisch ein sehr geringer Sicherheitsvorteil und gehört eher zum Bereich der Wahrscheinlichkeitstheorie. Aber der Verlust an Komfort steigt überproportional. Es hängt davon ab, wie schlau der Angreifer ist. Unterschätzen Sie diese Intelligenz nicht. Das ist ein falsches Sicherheitsgefühl.

Mit anderen Worten, nein, es bringt Ihnen keinen messbaren Nutzen, aber Sie verlieren viel Komfort. Am Ende muss jeder für sich selbst entscheiden.

AB
quelle
0

Ich laufe genau so: Ein Benutzer, bei dem ich meine Benutzeraufgaben erledige, und ein Benutzer, bei dem ich nur Verwaltungsaufgaben und keine Benutzeraufgaben erledige. Sogar die Eingabeaufforderungen sind unterschiedlich: Benutzer haben eine grüne Eingabeaufforderung und Administratoren eine rote!

Warum?

Der Benutzer hatte seine eigenen Einstellungen für alle Anwendungen, die ich verwende, getrennt vom Administrator, sodass Sie:

  1. Debuggen Sie, ob ein Problem benutzer- oder systembezogen ist
  2. Haben Sie das Admin - Konto als Backup - Benutzerkonto anstelle des Gastkontos und Root - Account , wenn alles geht wirklich falsch mit Ihren Benutzereinstellungen und Sie können sich nicht anmelden mehr.
  3. Halten Sie Administrator- und Benutzerdokumente in ihren jeweiligen Home-Verzeichnissen getrennt, wenn Sie dies wünschen .
  4. Keine Auswirkung beim Eingeben eines Versehens sudovor einem Befehl.
  5. Keine Möglichkeit, tatsächlich zu sehen, was ein normaler Benutzer nicht sehen soll.
  6. Keine Möglichkeit, einen Eskalationsfehler bei Benutzerrechten zu finden. (Es gab einige in der Vergangenheit)
  7. Seien Sie ein "normaler Benutzer" wie alle anderen Benutzer auf Ihrem Computer und kennen Sie die Vor- und Nachteile.
Fabby
quelle
Okay, aber "Admin-Dokumente" (die ich nicht wirklich habe) und "Benutzerdokumente" getrennt zu haben, ist meiner Meinung nach ein großer Nachteil, da ich immer alle meine Daten an einem Ort haben möchte (plus natürlich Backups). Gleiches gilt für Einstellungen. Sie sind im Grunde die gleichen, ich verwende sogar die gleichen Firefox / Thunderbird-Profile aus einem freigegebenen Verzeichnis. Und es gibt auch andere normale Benutzerkonten von anderen Familienmitgliedern usw., ich spreche nur über meine eigenen. Ich freue mich auf weitere Erklärungen wie in (4.) versprochen, aber Sie haben mich noch nicht wirklich überzeugt, eher das Gegenteil. : - /
Byte Commander
War mit RL beschäftigt. Scheint, als hätten Sie bereits eine akzeptierte Antwort, aber wie versprochen weitere Gründe hinzugefügt! ;-)
Fabby
1
Jetzt ist es einen Aufschwung wert! : D
Byte Commander