Root u Linuxu: što je to, čemu služi i kako ga sigurno koristiti

Informatec Digital » Sredstva » Root u Linuxu: što je to, čemu služi i kako ga sigurno koristiti

Ako dolazite iz Windowsa (upit korisnički računi u sustavu WindowsAko se odlučite za Linux, poznati root korisnik možda zvuči kao besmislica, ali on je zapravo ključni dio koji odvaja stabilan i siguran sustav od potpune katastrofe. Root je "apsolutni šef" sustava, onaj koji može instalirati, brisati, pokvariti i popraviti praktički sve bez traženja dopuštenja.

Razumijevanje svrhe root-a u Linuxu, kako se odnosi na sudo i su, te s tim povezani rizici To je ključno za upravljanje vašom opremom, bilo da se radi o kućnom prijenosnom računalu ili produkcijski poslužiteljU ovom ćete članku detaljno i lako razumljivim jezikom vidjeti što je root, kako se koristi u različitim distribucijama (posebno u Ubuntuu), koje opasnosti nosi i koje najbolje prakse treba slijediti kako biste izbjegli neupotrebljivost računala.

Što je root korisnik u Linuxu i što ga čini posebnim?

U svakom GNU/Linux sustavu postoji korisnik s punim privilegijama koji se zove root, također poznat kao superkorisnik.Ovaj korisnik ima UID 0 i nije podložan uobičajenim ograničenjima dopuštenja za datoteke i procese: može čitati, mijenjati ili brisati bilo koju datoteku, instalirati ili deinstalirati softver, mijenjati postavke sustava, upravljati drugim korisnicima i dodirivati ​​kritične usluge.

Ako ga usporedite s Windowsima, root bi bio ekvivalent administratoru, ali s još više moći.Jer je u Linuxu model dozvola profinjeniji, a razdvajanje korisnika i usluga mnogo strože. Dok je običan korisnik ograničen u onome što može učiniti u putovima poput /etc, /usr, /var o /bootRoot pristup vam omogućuje pristup bilo gdje bez traženja dopuštenja.

Uz obične korisnike i root-a, Linux definira i "korisnike sustava" ili servisne račune. (Daemoni) s vrlo ograničenim dozvolama koriste se za pokretanje web poslužitelja, baza podataka ili drugih daemona. To znači da čak i ako je usluga kompromitirana, napadač ne dobiva automatski puni pristup računalu... osim ako ne uspije eskalirati privilegije do root-a.

Prema zadanim postavkama, standardni korisnik ne može instalirati sistemske programe, mijenjati globalne konfiguracijske datoteke ili stvarati direktorije u osjetljivim područjima.Za izvršavanje bilo kojeg od ovih zadataka, morat ćete povećati privilegije pomoću alata kao što su sudo o sušto su upravo uobičajeni mehanizmi za kontrolirano "pozivanje" superkorisnika.

U mnogim modernim distribucijama, posebno Ubuntuu i njegovim derivatima, izravna prijava roota je onemogućena.Umjesto toga, tijekom instalacije se stvara običan korisnik koji pripada administratorskoj grupi (na primjer, sudo o admin) i koristi se naredba sudo za izvršavanje administrativnih radnji traženjem vlastite lozinke, a ne root lozinke.

Razlika između običnih korisnika, root korisnika i sudo grupe

Linux implementira sustav dozvola temeljen na korisnicima i grupamaOpćenito govoreći, možemo razlikovati tri glavne vrste računa s kojima ćete se svakodnevno susresti kada govorimo o root-u:

Redovni korisniciOvo su računi ljudi koji koriste sustav. Imaju dom Mogu instalirati programe u vlastiti direktorij, pokretati desktop aplikacije, spremati dokumente itd. Međutim, Ne mogu obavljati zadatke administracije sustava kako instalirati globalne pakete, mijenjati konfiguracije u /etc ili upravljati drugim korisnicima, osim ako ne koriste sudo o su.

Korijenski korisnik: je superkorisnik s apsolutnom kontrolom. Ne podliježe ograničenjima dozvola osim onih koje nameće sama jezgra ili napredni sigurnosni mehanizmi.Doslovno može "raditi i poništavati što mu se prohtije", od brisanja korijenskog direktorija do promjene dozvola za bilo koju datoteku. Upravo se zato ne preporučuje za svakodnevne zadatke.

Administratorski korisnici (sudoers): su normalni korisnici koji pripadaju posebnoj skupini (obično sudo o admin) Y Imaju dozvolu za izvršavanje naredbi kao root koristeći sudoNa primjer, za dodavanje korisnika u grupu sudo Možete koristiti nešto ovako:
sudo usermod -aG sudo nombreusuario

Nakon što korisnik postane dio sudo grupe, može izvršavati privilegirane naredbe dodavanjem prefiksa sudoSustav će tražiti vašu lozinku (ne root lozinku) i ako je ispravna, izvršit će naredbu s privilegijama superkorisnika. To pruža dobru ravnotežu između sigurnosti i praktičnosti.

Što je korijen u praksi i za što se koristi?

Izvan teorije, root korisnik je identitet koji sustav koristi za bilo kakve dubinske promjene.Možete nastaviti raditi sa svojim uobičajenim korisničkim računom i koristiti root samo kada je to potrebno. Pogledajmo neke od glavnih upotreba.

Instaliranje ili deinstaliranje sistemskog softveraUpravitelji paketa (kao što su) apt, dnf o pacmanMoraju pisati u zaštićene putanje, dakle Uvijek rade s root privilegijamaTipičan primjer bi bio:
sudo apt install vlc

Uredite datoteke konfiguracije sustavaVećina sistemskih usluga i programa konfigurira se putem tekstualnih datoteka u direktorijima kao što su /etcDa biste ih otvorili u editoru i spremili, potrebne su vam povišene ovlasti. Na primjer:
sudo nano /etc/hosts

Promijenite root lozinku ili lozinke drugih korisnikaOperacije poput promjene lozinke superkorisnika ili lozinke drugog računa uključuju pristup bazi podataka lozinki sustava. Tipična naredba bila bi:
sudo passwd root

Izvršavanje potencijalno opasnih naredbi. Alati poput rm (izbrisati), chmod (promjena dozvola), chown (promjena vlasnika) ili mkfs (formatiranje) može uzrokovati mnogo štete ako se nepravilno koristi. Sustav zahtijeva root dozvole za operacije koje utječu na kritične datoteke ili uređaje. kako bi se spriječilo da običan korisnik slučajno uništi sustav.

Upravljajte pokretanjem, gašenjem i ponovnim pokretanjem strojaNaredbe poput reboot, poweroff ili napredno rukovanje systemctl o sistemskim uslugama Također zahtijevaju privilegije superkorisnika, Za više informacija o systemd i upravljanje njegovim uslugama Možete konzultirati specijaliziranu dokumentaciju. Inače, bilo koji korisnik može ponovno pokrenuti produkcijski poslužitelj kad god poželi.

U praksi, ako nešto ne uspije s greškom "dozvola odbijena" u Linuxu, vrlo je vjerojatno da ćete to morati pokrenuti s root privilegijama. pomoću sudo ili privremeno prebacivanje na superkorisnika s su.

sudo i su naredbe: kada koristiti svaku od njih

Nakon što shvatite da je root "vlasnik" sustava, vrijeme je da shvatite kako dobiti te privilegije s vašeg uobičajenog korisničkog računa.Dva klasična alata za to su sudo y sukoji ne rade potpuno istu stvar, iako ih mnogi ljudi miješaju.

sudo („superuser do“) koristi se za izvršavanje jedne naredbe s dozvolama drugog korisnika, obično root-a.Ne mijenjate sesije, ne postajete root "za sve"; samo se ta specifična naredba izvršava s povišenim privilegijama. Na primjer:
sudo apt install gparted

Svaki put kada koristite sudo Sustav će vas tražiti lozinku (ako je niste nedavno unijeli).Nakon nekoliko minuta neaktivnosti, sudo "ticket" istječe i morat ćete se ponovno autentificirati, što dodaje važan sloj sigurnosti.

su („promjena korisnika“) mijenja vaš korisnički identitet unutar iste sesijeAko ga koristite bez argumenata, postat ćete root (tražit će root lozinku) i sve sljedeće naredbe će se izvršavati s tim privilegijama dok ne izađete. exit, Na primjer:
su
Contraseña:
whoami # devuelve 'root'

Također možete koristiti su nombreusuario prebacivanje s jednog korisnika na drugogpod uvjetom da znate lozinku za odredišni račun. To će potpuno promijeniti okruženje u ono novog korisnika (varijable, domitd.) preporučuje se korištenje su - o su - nombreusuario.

Općenito se smatra sigurnijim i preporučljivijim koristiti sudo za određene naredbe i pribjegavaju su samo kada vam je stvarno potrebna produžena root sesija (na primjer, kod zadataka oporavka ili složenog održavanja).

Posebnosti roota u Ubuntuu i izvedenim distribucijama

Ubuntu i mnoge distribucije temeljene na njemu slijede prilično jasnu sigurnosnu filozofiju: root korisnik postoji, ali mu je blokirana izravna prijava.To znači da se nakon standardne instalacije ne možete prijaviti kao root ni u terminal ni u grafičko okruženje pomoću lozinke, jer ona nije dodijeljena.

Umjesto toga, Ubuntu se odlučuje za intenzivno korištenje sudoTijekom procesa instalacije stvara se administratorski korisnik koji pripada grupi sudoOdatle se svaki administrativni zadatak obavlja pomoću:
sudo comando

Ako vam je potrebna "puna" root ljuska u Ubuntuu, imate nekoliko sigurnih opcija.:
sudo -i # Otvorite root sesiju prijave
sudo su - # Prebacite se na root s okruženjem za prijavu

Obje metode vas ostavljaju kao root u tom terminalu dok ne izađete s exitVidjet ćete da se upit obično mijenja i završava u # umjesto da $Ovo je klasičan znak da imate privilegije superkorisnika. Važno je imati to na umu kako biste izbjegli izvršavanje opasnih naredbi tamo gdje ne bi trebale.

Iako se ne preporučuje, root korisnika u Ubuntuu možete omogućiti dodjeljivanjem lozinke. s:
sudo passwd root
Nakon unosa i potvrde nove lozinke, root će biti "otključan" i bit će moguće, na primjer, koristiti su bez prethodnog sudo-a ili čak dopuštanja izravne prijave putem TTY-a ili SSH-a (nešto što se strogo ne preporučuje na izloženim poslužiteljima).

Pravi rizici nepažljivog korištenja roota

Raditi kao root, a ne znati točno što radiš, je kao voziti kamion u rikverc na autocesti: možda će proći dobro, ali ako na sekundu izgubiš fokus, kaos je epski.Linux je po defaultu dizajniran da bude prilično siguran, ali čim povećate privilegije, mnoge zaštite nestaju.

Prvi veliki rizik je slučajno brisanje ili oštećenje datotečnog sustavaNaredbe kao što su:
rm -rf /
rm -rf /*
ili čak suptilnije konstrukcije kao što su:
rm -rf "$directorio"/*
Mogu uništiti cijeli sustav u nekoliko sekundi ako se pokrenu kao root, a putanja nije onakva kakvu mislite.Ponekad je sve što je potrebno prazna varijabla, krivo postavljena kosa crta ili krivo postavljena tipka Tab da se naizgled nevina naredba pretvori u katastrofu.

Druga velika opasnost je instaliranje zlonamjernog softvera s punim privilegijamaPreuzimanje i pokretanje skripti s interneta kao root bez gledanja koda je kao davanje ključeva od kuće strancu. Zlonamjerna skripta može se instalirati rootkitaKeyloggeri ili backdoori, modificiranje kernela, špijuniranje svega što radite i dugotrajno skrivanje.

Također je relativno lako ugroziti sigurnost sustava mijenjanjem dozvola kritičnih datoteka.Na primjer, ako pokrenete nešto poput:
chmod 000 /etc -R
ili promijenite dozvole za /boot na /etc/passwd bez da znaš što radiš, Možete onemogućiti pokretanje uređaja ili onemogućiti autentifikaciju korisnika.U mnogim slučajevima, jedino rješenje je korištenje LiveCD-a ili čak ponovna instalacija.

Sa sigurnosnog stajališta, stalno korištenje root računa pretvara taj račun u "jedinstvenu točku kvara"Ako napadač dobije root pristup (putem grube sile, phishinga, zlonamjernog softvera itd.), ima potpunu kontrolu: može šifrirati diskove, ukrasti podatke, pridružiti se botnetu ili koristiti vaš poslužitelj za napad na treće strane. Kako biste ublažili te rizike, trebali biste dublje istražiti tehnike za... ojačavanje pomoću SELinuxa i druge zaštitne mehanizme.

Nadalje, intenzivna upotreba korijena otežava sljedivost.Kada se naredbe izvršavaju s sudoSustav bilježi tko ih je pokrenuo i kada, dok ako se sve radi kao root nije jasno tko stoji iza svake radnje, što komplicira revizije i dijagnosticiranje problema.

Prikaži zvjezdice prilikom tipkanja sudo lozinke

Prema zadanim postavkama, kada unesete svoju sudo lozinku u mnogim distribucijama (kao što je Ubuntu), ne vidite nikakve točke ili zvjezdice.Ovo je bila sigurnosna mjera kako bi se spriječilo da itko zaključi duljinu vaše lozinke samo gledajući u ekran, ali u praksi je prilično nezgodno: tipkate i čini se da se ništa ne događa.

Već neko vrijeme sudo omogućuje aktivaciju ponašanja koje se zove pwfeedbackPrikazuje zvjezdicu za svaki znak koji upišete. Ne otkriva vašu lozinku, ali potvrđuje da tipkovnica reagira i pomaže vam u otkrivanju tipografskih pogrešaka.

Za aktivaciju morate urediti konfiguraciju sudo naredbe pomoću sigurnog alata. visudoOvo provjerava sintaksu prije spremanja kako biste spriječili gubitak sudo privilegija zbog glupe pogreške. Koraci bi bili sljedeći:

1. Otvorite postavke sudo naredbe:
sudo visudo

2. Dodajte redak:
Defaults pwfeedback

3. Spremi i izađi iz uređivača

Od tog trenutka nadalje, svaki put kada unesete svoju sudo lozinku, pojavljivat će se zvjezdice.Ako u bilo kojem trenutku želite vratiti izvorno ponašanje, jednostavno uklonite taj redak pomoću naredbe `return`. visudo.

Onemogućite ili blokirajte root račun

U okruženjima gdje više ljudi ima pristup istom računalu, root lozinka može se dijeliti češće nego inače.Ako previše ljudi zna taj ključ, samo je pitanje vremena kada će netko napraviti (ili pretrpjeti) nered. Vrlo razumno rješenje je onemogućiti root račun i raditi samo sa sudo naredbom.

Kada zaključate root račun, sprječavate korisnike da se izravno prijave kao taj korisnik. a također sprječavate njegovu upotrebu su Da biste dobili root pristup sa svojom lozinkom. Međutim, Ovlašteni korisnici će i dalje moći koristiti sudo izvršavati privilegirane naredbe.

Za zaključavanje root računa u mnogim distribucijama, jednostavno pokrenite:
sudo passwd -l root

Ova naredba "zamrzava" root lozinku tako da se ne može koristitiAko ga kasnije trebate ponovno aktivirati, morat ćete postaviti novu lozinku, nešto poput:
sudo passwd root

Oporavite ili promijenite root lozinku ako ste je izgubili

Ako ste zaboravili root lozinku ili zaključali račun i trebate ga oporaviti, nije sve izgubljeno.Linux nudi nekoliko načina za resetiranje, obično pokretanjem sustava u posebnom načinu rada ili korištenjem LiveCD-a.

Vrlo uobičajena opcija je to učiniti iz GRUB-a, koristeći način oporavkaMnoge distribucije imaju stavku "Napredne opcije" gdje možete odabrati "Način oporavka". Njegovim odabirom učitava se ograničeno okruženje s opcijama spašavanja.

Ako odaberete opciju dobivanja root konzole u načinu oporavkaStandardni protok je obično:

1. Montirajte datotečni sustav s dozvolama pisanja:
mount -o rw,remount /

2. Postavite novu lozinku za root:
passwd root

3. Sinkronizirajte podatke i ponovno pokrenite računalo da biste primijenili promjene:
sync
reboot

Druga glavna opcija je pokretanje s LiveCD-a ili LiveUSB-a Linux distribucije. (na primjer, Ubuntu u načinu rada "Isprobaj bez instaliranja") i radi na instaliranom sustavu izvana.

U tipičnom scenariju s LiveCD-om, koraci bi bili:

1. Otvorite terminal i nabavite privremenu root ljusku:
sudo su

2. Identificirajte particiju koja sadrži vaš Linux sustav nečim poput:
fdisk -l

3. Montirajte tu particiju u radni direktorij (primjer pomoću /dev/sda1):
mkdir /mnt/recover
mount /dev/sda1 /mnt/recover

4. Promijenite korijenski direktorij sustava u direktorij montiran s chroot:
chroot /mnt/recover

5. Odatle, koristite passwd root postaviti novu lozinku i, nakon odjave i ponovnog pokretanja, moći ćete se normalno prijaviti.

Datoteka /etc/sudoers i kako precizno podesiti root dozvole

Jedan od najmoćnijih (i najosjetljivijih) aspekata upravljanja korijenskim direktorijima je upravljanje datotekama. /etc/sudoers, gdje je definirano tko može koristiti sudoOvdje možete detaljno prilagoditi pristup s povećanim privilegijama, navodeći gdje i za izvršavanje kojih naredbi.

Vrlo važno: nikada ne uređujte /etc/sudoers izravno s bilo kojim urednikomUvijek koristite:
sudo visudo
jer ovaj alat Provjerite sintaksu prije spremanjaGreška u ovoj datoteci može vas spriječiti u korištenju sudo-a, a s visudo Taj rizik minimizirate.

Tipičan sadržaj /etc/sudoers čisti Ubuntu uključuje linije slične ovim:
root ALL=(ALL:ALL) ALL
%sudo ALL=(ALL:ALL) ALL

Prvi označava da root korisnik može izvršiti bilo koju naredbu na bilo kojem hostu kao bilo koji korisnik i grupa.Drugi radi isto, ali za sve korisnike u grupi. sudoNa taj način, svatko u toj grupi ima potpunu moć putem sudo.

Za naprednije konfiguracije, sudoers vam omogućuje definiranje aliasa za korisnike, naredbe i izvršne grupe., na primjer:

User_Alias ADMINES = pepe, perico, andres
Cmnd_Alias POWER = /sbin/shutdown, /sbin/halt, /sbin/reboot, /sbin/restart
Runas_Alias WEB = www-data, apache

S ovim definicijama možete, na primjer, dati ADMINISTRATORIMA dopuštenje za gašenje ili ponovno pokretanje sustava bez lozinke. s pravilom poput:
ADMINES ALL = NOPASSWD: POWER

Oznake poput NOPASSWD Omogućuju vam izvršavanje određenih naredbi pomoću sudo naredbe bez potrebe za upisivanjem lozinke.Ovo je vrlo korisno u automatiziranim skriptama, integracijama s drugim sustavima ili osobnim računalima gdje ste jedini korisnik.

Kao zanimljivost, postoji opcija tzv. insults da, ako to dodate u retke DefaultsZbog toga vas sudo "vrijeđa" na engleskom svaki put kad unesete pogrešnu lozinku.Ne poboljšava sigurnost, ali barem vam izmami osmijeh na lice usred posla.

Korištenje roota za upravljanje datotekama i dozvolama iz terminala

U praksi, velik dio korištenja roota usmjeren je na upravljanje datotekama i dozvolama putem terminala.S privilegijama superkorisnika možete se kretati po cijelom datotečnom sustavu i mijenjati što god vam je potrebno, uvijek poduzimajući ekstremne mjere opreza.

Neke osnovne naredbe postaju posebno osjetljive kada se koriste kao root. zvuk:

ls: navodi datoteke i direktorije. Kao root vidjet ćete čak i datoteke koje drugi korisnici ne mogu navesti.

cp y mvZa kopiranje i premještanje datoteka ili direktorija koristite `sudo`. Na primjer, možete koristiti `sudo` za premještanje fonta iz... Descargas gore /usr/share/fonts/ tako da bude dostupan cijelom sustavu.

rm: briše datoteke i mape. U kombinaciji s -r y -f Izuzetno je opasno ako ga koristite kao root bez pravilne provjere putanje.

chmod y chownOve postavke mijenjaju dozvole i vlasništvo. Bitne su za odobravanje pristupa datotekama određenim korisnicima, ali zlouporaba može učiniti sustav nesigurnim ili neupotrebljivim.

Tipičan primjer korištenja roota za instalaciju izvornog koda sustava bio bi:

sudo cp ~/Descargas/Underdog.ttf /usr/share/fonts/
sudo chmod 644 /usr/share/fonts/Underdog.ttf

način 644 To označava da vlasnik (root) može čitati i pisati, dok grupa i ostali korisnici mogu samo čitati., dovoljno da font radi, ali bez dopuštanja slučajnih promjena.

Najbolje prakse pri radu s root, sudo i su naredbama

Rad s privilegijama superkorisnika nije nešto što treba shvatiti olako.Postoji niz smjernica koje će vam, ako ih internalizirate, uštedjeti mnogo problema:

Minimizirajte vrijeme koje provodite kao root. SAD sudo comando Kad god je moguće, izbjegavajte otvaranje trajne root sesije. Što manje vremena provedete s punim privilegijama, manja je vjerojatnost da ćete pogriješiti.

Izbjegavajte pod svaku cijenu pokretanje skripti iz sumnjivih izvora pomoću sudo naredbe.Ako preuzmete skriptu s interneta i prvo što vidite je "pokreni ovo sa sudo naredbom", otvorite je u uređivaču teksta i pažljivo pročitajte. Ako ne razumijete što radi, nemojte je pokretati.

Koristite testna okruženja (virtualne strojeve, kontejnere) za eksperimentiranjeAko ćete se petljati s osjetljivim konfiguracijama, testirati agresivne naredbe ili pokretati nejasne skripte, prvo to učinite na sustavu u koji možete sigurno provaliti. Vodiče o sigurnoj virtualizaciji možete pronaći na [link to guides]. virtualni strojevi i kontejneri.

Granulirano konfigurirajte sudo kada postoji više administratoraNije isto za korisnika koji samo treba ponovno pokrenuti uslugu i za nekoga kome je potrebna potpuna kontrola. Koristite /etc/sudoers ograničiti što svaka osoba može učiniti.

Praćenje zapisnika autentifikacije (/var/log/auth.log o journalctlOvo vam omogućuje da vidite tko koristi sudo, odakle i s kojim naredbama. To je jednostavan način za otkrivanje neobičnog ponašanja ili zloupotrebe privilegija.

Nemojte pregledavati internet, otvarati privitke ili pokretati desktop aplikacije kao root.Ako je grafička aplikacija kompromitirana dok je pokrećete kao superkorisnik, napadač osvaja jackpot.

Ukratko, root u Linuxu je izuzetno moćan alat s kojim se mora pažljivo rukovati.Razumijevanje čemu služi sudo, kada koristiti sudo ili su, kako oporaviti ili zaključati račun i kako prilagoditi sudoer naredbe omogućit će vam sigurno i pouzdano upravljanje sustavom, iskorištavajući u potpunosti fleksibilnost GNU/Linuxa bez riskiranja života svaki put kada otvorite terminal.