web-dev-qa-db-fra.com

Risque de sécurité dans l'utilisation quotidienne d'un compte administrateur (pas root)?

La seule chose qui distingue mon compte administrateur des comptes normaux est que mon compte administrateur est membre du groupe Sudo et peut exécuter Sudo. Est-il moins sûr d'utiliser mon compte administrateur pour le travail quotidien? Si oui pourquoi?

Supposons que je fais très attention à l'endroit où j'entre mon mot de passe et que je sais ce que fait une commande avant de l'exécuter, bien sûr.

Si j’utilisais un compte normal non administrateur pour mon compte quotidien, lorsque j’avais besoin d’exécuter quelque chose en tant que root, je devais su dans mon compte admin (pas dans root, car il n’était pas associé à un mot de passe et était désactivé!) Et il y exécutez la commande Sudo dans le shell d'administrateur; ou, je changerais les utilisateurs graphiquement. Ainsi, le nombre de commandes à exécuter est le même: utiliser un compte normal signifierait simplement que je devrais entrer mon mot de passe administrateur deux fois pour exécuter quelque chose en tant que root.

Ainsi, les utilisateurs avancés devraient-ils travailler quotidiennement sur un compte normal au lieu d'un compte administrateur? Et pourquoi ou pourquoi pas?

Veuillez noter que par "compte administrateur", j'entends un compte avec le privilège d'utiliser Sudo pour exécuter des commandes en tant que root - et non pour le compte root lui-même. Je ne me connecte jamais en tant que root.

8
Byte Commander

Aucun risque tant que vous n'êtes pas root

D'après ce que j'ai compris pour un administrateur ou un utilisateur Sudo, il fonctionne comme un utilisateur de bureau normal tant que nous ne disons pas Sudo - il ne devrait donc pas y avoir de risque.

Risque de devenir accidentellement racine

Il est également vrai qu'un utilisateur ayant potentiellement des autorisations d'administrateur doit surveiller de plus près à quel endroit, quand et à qui il donne son mot de passe.

Je peux imaginer (bien que je n'en aie jamais rencontré) une application diabolique ou un script vous demandant votre mot de passe sans vous dire pourquoi. Cela fonctionnera probablement avec les autorisations root, car il n'aurait pas besoin de votre mot de passe autrement. Si je ne sais pas ce que fait cette application, je ne lui donnerais tout simplement pas mon mot de passe root.

Nous sommes également responsables de rejeter à nouveau l'autorisation root après avoir terminé. C'est toujours une mauvaise idée de rester root tout en travaillant avec une application graphique telle que, par exemple. Nautile.

Risque de perte de l'accès root

Un autre "risque" peut être que vous fassiez quelque chose de mal avec votre compte qui vous empêche de vous connecter. Par conséquent, je toujours crée au moins deux utilisateurs administrateurs sur toute j'installe Ubuntu à. C'est pour le cas quelque chose casse mon compte principal.

5
Takkat

Un compte qui peut Sudo est techniquement aussi capable que le compte root (en supposant un comportement de configuration par défaut de sudoers), mais il existe encore une grande différence entre root et un compte pouvant Sudo:

  • Omettre accidentellement un seul caractère ne détruira pas Ubuntu. Probablement. Essayez d’essayer de supprimer ~/bin mais en exécutant réellement rm contre /bin. Si vous n'êtes pas root, il y a moins de risque.

  • Sudo requiert un mot de passe, ce qui vous donne ces millisecondes pour corriger d'éventuelles erreurs. Cela signifie également que d’autres applications n’ont pas la capacité de créer des racines pour votre compte.

C'est pourquoi nous recommandons aux utilisateurs de ne pas utiliser le compte root pour le travail quotidien.


S'isoler avec un autre compte intermédiaire "admin" (et s'exécuter en tant qu'utilisateur sans Sudo accès) est juste une autre couche. Il devrait également s'agir probablement d'un mot de passe différent.

Cependant, il est très compliqué et (selon les conditions de votre question) si quelque chose peut renifler votre premier mot de passe, ils peuvent probablement obtenir le second tout aussi facilement. Si vous n'avez jamais commis d'erreurs et n'utilisez jamais ces mots de passe forts ailleurs (sans que vous puissiez les deviner ou les craquer), cette solution n'est probablement plus sécurisée. Si quelqu'un veut root, il démarrera la récupération, le chroot ou tilisez une clé .


Il y a aussi une école de pensée qui souligne que [pour les utilisateurs de bureau non-entreprises] rien ne vous valeur est protégé de votre utilisateur . Tous vos documents, photos, historiques de navigation sur le Web, etc., sont la propriété de votre site et sont accessibles ou quelque chose qui fonctionne comme vous. De même que vous pouvez exécuter quelque chose qui enregistre toutes vos frappes de touche, affiche votre webcam, écoute sur votre microphone, etc.

En termes simples, les logiciels malveillants n'ont pas besoin de root pour gâcher la vie de quelqu'un ou pour vous espionner.

10
Oli

Oui, il y a des risques. Que ces risques soient suffisamment importants ou non pour que vous en teniez compte est une question de préférence et/ou de votre politique de sécurité.

Chaque fois que vous utilisez un ordinateur, vous êtes toujours exposé aux attaques des attaquants. Même si vous exécutez une configuration extrêmement sécurisée, vous ne pouvez pas vous protéger contre des vulnérabilités encore inconnues.

Si vous utilisez un compte sans privilèges Sudo et que ce compte est compromis en raison de cette utilisation (par exemple, un enregistreur de frappe saisit votre mot de passe), cela ajoute une limitation des dommages pouvant être causés. Si un attaquant transforme un compte doté des privilèges Sudo, il les obtient également.

Sur la plupart des systèmes, l'utilisation de Sudo entraînera la mémorisation de votre mot de passe 15 minutes par défaut, ce qui constitue un autre facteur de risque, à moins que vous ne changiez ce paramètre.

2
Jon Bentley

Je cours exactement comme ça: Un utilisateur où je fais mes choses utilisateur et un utilisateur où je ne fais que des choses admin et non utilisateur. Même les invites de commande sont différentes: les utilisateurs ont un invite vert et les administrateurs un message rouge!

Pourquoi?

L'utilisateur avait ses propres paramètres pour toutes les applications que j'utilise séparément de l'utilisateur admin, ce qui vous permet de:

  1. Déboguer si un problème est lié à l'utilisateur ou au système
  2. Avoir le compte administrateur en tant que compte utilisateur de sauvegarde au lieu du compte invité et du compte root si quelque chose ne va pas avec vos paramètres utilisateur et vous ne pouvez pas vous connecter plus.
  3. conservez les documents d'administration et les documents de l'utilisateur séparés dans leurs répertoires respectifs si vous le souhaitez .
  4. Aucun effet lorsque vous tapez un Sudo accidentel avant une commande.
  5. Pas moyen de voir ce qu'un utilisateur normal n'est pas supposé voir.
  6. Pas moyen de frapper un bogue d'escalade de privilèges d'utilisateur. (il y en a eu quelques-uns dans le passé)
  7. Soyez un "utilisateur normal" comme tous les autres utilisateurs de votre ordinateur et connaissez les avantages/inconvénients.
0
Fabby

Ma réponse basée sur une opinion, parce que tout devrait être prouvé mathématiquement, et de cela je n'ai aucune idée. ;)

Deux comptes, l'un avec les groupes adm et Sudo, signifie qu'un compte a le droit d'exécuter des commandes avec les droits Sudo. Un sans ces privilèges.

  • Si vous avez déchiffré le mot de passe du compte non privilégié, vous devez tout de même craquer maintenant le mot de passe du compte privilégié. -> avantage en comparaison avec un seul compte
  • Si vous avez craqué le compte privilégié. -> pas d'avantage en comparaison avec un seul compte

La probabilité est de 50% si vous ne respectez pas l'intelligence de l'attaquant.

De mon point de vue, il s’agit théoriquement d’un très faible avantage en matière de sécurité et appartient plus au domaine de la théorie des probabilités. Mais la perte de commodité augmente de manière disproportionnée. Cela dépend de l'intelligence de l'attaquant. Ne sous-estimez pas cette intelligence. C'est un faux sentiment de sécurité.

En d'autres termes, non, cela ne vous apporte aucun avantage mesurable, mais vous perdez beaucoup de commodité. À la fin, tout le monde doit décider par lui-même.

0
A.B.