Root sa Linux: ano ito, para saan ito, at paano ito ligtas na gamitin

Informatec Digital » Kayamanan » Root sa Linux: ano ito, para saan ito, at paano ito ligtas na gamitin

Kung galing ka sa Windows (tanong mga account ng gumagamit sa WindowsKung gumagamit ka ng Linux, maaaring parang walang kwenta ang paggamit ng sikat na root user, ngunit ito talaga ang mahalagang bahagi na naghihiwalay sa isang matatag at ligtas na sistema mula sa isang ganap na sakuna. Ang Root ang "ganap na boss" ng sistema, ang kayang mag-install, magbura, masira, at ayusin ang halos anumang bagay nang hindi humihingi ng pahintulot.

Pag-unawa sa layunin ng root sa Linux, kung paano ito nauugnay sa sudo at su, at ang mga kaugnay na panganib nito Mahalaga ito para sa pamamahala ng iyong kagamitan, maging ito man ay laptop sa bahay o isang tagapagsilbi ng produksyonSa artikulong ito, makikita mo, nang detalyado at sa madaling maunawaang wika, kung ano ang root, kung paano ito ginagamit sa iba't ibang distribusyon (lalo na sa Ubuntu), kung ano ang mga panganib nito at kung ano ang mga pinakamahusay na kasanayan na dapat sundin upang maiwasan ang pagiging hindi magamit ng iyong makina.

Ano ang root user sa Linux at ano ang nagpapaespesyal dito?

Sa anumang sistemang GNU/Linux, mayroong isang gumagamit na may ganap na mga pribilehiyo na tinatawag na root, na kilala rin bilang superuser.Ang user na ito ay may UID 0 at hindi napapailalim sa karaniwang mga paghihigpit sa pahintulot sa file at proseso: maaari silang magbasa, magbago o magbura ng anumang file, mag-install o mag-uninstall ng software, magbago ng mga setting ng system, pamahalaan ang ibang mga user at hawakan ang mga mahahalagang serbisyo.

Kung ikukumpara mo ito sa Windows, ang root ay katumbas ng Administrator, ngunit mas malakas pa ito.Dahil sa Linux, mas pino ang modelo ng mga pahintulot at mas mahigpit ang paghihiwalay sa pagitan ng mga gumagamit at serbisyo. Habang ang isang normal na gumagamit ay limitado sa kung ano ang maaari nilang gawin sa mga path tulad ng /etc, /usr, /var o /bootAng root access ay nagbibigay-daan sa iyo na makapasok kahit saan nang hindi humihingi ng pahintulot.

Bukod sa mga regular na gumagamit at root, tinutukoy din ng Linux ang mga "system user" o mga service account. Ang (mga Daemon) na may napakalimitadong pahintulot ay ginagamit upang magpatakbo ng mga web server, database, o iba pang mga daemon. Nangangahulugan ito na kahit na ang isang serbisyo ay nakompromiso, ang umaatake ay hindi awtomatikong makakakuha ng ganap na access sa makina... maliban kung magagawa nilang i-eskala ang mga pribilehiyo upang mag-root.

Bilang default, ang isang karaniwang gumagamit ay hindi maaaring mag-install ng mga programa ng system, baguhin ang mga pandaigdigang file ng configuration, o lumikha ng mga direktoryo sa mga sensitibong lugar.Para maisagawa ang alinman sa mga gawaing ito, kakailanganin mong itaas ang mga pribilehiyo gamit ang mga tool tulad ng sudo o suna siyang mga karaniwang mekanismo para sa "pagtawag" sa superuser sa isang kontroladong paraan.

Sa maraming modernong distribusyon, lalo na ang Ubuntu at mga derivatives nito, hindi pinagana ang direktang root login.Sa halip, habang nag-i-install, isang normal na user ang nalilikha na kabilang sa grupo ng mga administrator (halimbawa, sudo o admin) at ang utos ay ginagamit sudo para magsagawa ng mga administratibong aksyon sa pamamagitan ng paghingi ng sarili mong password, hindi ang root password.

Pagkakaiba sa pagitan ng mga normal na gumagamit, root, at ang pangkat na sudo

Nagpapatupad ang Linux ng sistema ng mga pahintulot batay sa mga gumagamit at grupoSa pangkalahatan, maaari nating makilala ang tatlong pangunahing uri ng mga account na makakasalubong mo araw-araw kapag pinag-uusapan ang root:

Mga regular na gumagamitIto ang mga salaysay ng mga taong gumagamit ng sistema. Mayroon silang bahay Maaari silang mag-install ng mga programa sa sarili nilang direktoryo, magpatakbo ng mga desktop application, mag-save ng mga dokumento, atbp. Gayunpaman, Hindi nila kayang gampanan ang mga gawaing administratibo ng sistema kung paano mag-install ng mga pandaigdigang pakete, baguhin ang mga configuration sa /etc o pamahalaan ang ibang mga gumagamit, maliban kung gumagamit sila sudo o su.

Root na gumagamit: ay ang superuser na may ganap na kontrol. Hindi ito napapailalim sa mga paghihigpit sa pahintulot maliban sa mga ipinataw mismo ng kernel o mga advanced na mekanismo ng seguridad.Literal na kaya nitong "gawin at i-undo ang gusto nito," mula sa pagbura ng root directory hanggang sa pagpapalit ng mga pahintulot sa anumang file. Kaya nga hindi ito inirerekomenda para sa mga pang-araw-araw na gawain.

Mga gumagamit ng Administrator (sudoers): ay mga normal na gumagamit na kabilang sa isang espesyal na grupo (karaniwan sudo o admin) At Mayroon silang pahintulot na isagawa ang mga utos bilang root gamit ang sudoHalimbawa, para magdagdag ng user sa grupo sudo Maaari kang gumamit ng ganito:
sudo usermod -aG sudo nombreusuario

Kapag ang isang user ay bahagi na ng sudo group, maaari na nilang isagawa ang mga privileged command sa pamamagitan ng pag-prefix sudoHihingin ng sistema ang iyong password (hindi ang root password), at kung tama ito, isasagawa nito ang utos nang may mga pribilehiyo ng superuser. Nagbibigay ito ng mahusay na balanse sa pagitan ng seguridad at kaginhawahan.

Ano ang ugat sa pagsasagawa at para saan ito ginagamit?

Higit pa sa teorya, ang root user ay ang pagkakakilanlan na ginagamit ng sistema upang gumawa ng anumang malalalim na pagbabago.Maaari kang magpatuloy sa paggamit ng iyong normal na user account at gamitin lamang ang root kung kinakailangan. Tingnan natin ang ilan sa mga pangunahing gamit nito.

I-install o i-uninstall ang software ng systemMga tagapamahala ng pakete (tulad ng) apt, dnf o pacmanKailangan nilang sumulat sa mga protektadong landas, kaya Palagi silang tumatakbo gamit ang mga pribilehiyo sa ugatAng isang tipikal na halimbawa ay:
sudo apt install vlc

I-edit ang mga file ng configuration ng systemKaramihan sa mga serbisyo at programa ng sistema ay kino-configure sa pamamagitan ng mga text file sa mga direktoryo tulad ng /etcPara mabuksan ang mga ito gamit ang isang editor at mai-save, kailangan mo ng mga mataas na pribilehiyo. Halimbawa:
sudo nano /etc/hosts

Baguhin ang root password o iba pang password ng userAng mga operasyon tulad ng pagpapalit ng sariling password ng superuser, o ng ibang account, ay kinabibilangan ng pag-access sa database ng password ng system. Ang isang karaniwang utos ay:
sudo passwd root

Isagawa ang mga potensyal na mapanganib na utos. Mga tool tulad ng rm (tanggalin), chmod (baguhin ang mga pahintulot), chown (palitan ang may-ari) o mkfs Ang (pag-format) ay maaaring magdulot ng malaking pinsala kung gagamitin nang mali. Ang sistema ay nangangailangan ng mga pahintulot sa pag-root para sa mga operasyon na nakakaapekto sa mahahalagang file o device. upang maiwasan ang aksidenteng pagkasira ng sistema ng isang normal na gumagamit.

Pamahalaan ang pagsisimula, pagsasara, at pag-restart ng makina. Mga utos tulad ng reboot, poweroff o advanced na paghawak ng systemctl tungkol sa mga serbisyo ng sistema Nangangailangan din sila ng mga pribilehiyo ng superuser. Para sa karagdagang impormasyon sa systemd at ang pamamahala ng serbisyo nito Maaari mong tingnan ang espesyal na dokumentasyon. Kung hindi, maaaring i-restart ng sinumang user ang isang production server anumang oras nila gusto.

Sa pagsasagawa, kung may pumalya na may error na "permission denied" sa Linux, malamang na kailangan mo itong patakbuhin gamit ang mga pribilehiyong root. paggamit sudo o pansamantalang lumipat sa superuser gamit ang su.

mga utos ng sudo at su: kailan gagamitin ang bawat isa

Kapag naunawaan mo na ang root ang "may-ari" ng system, oras na para maunawaan kung paano makuha ang mga pribilehiyong iyon mula sa iyong normal na user account.Ang dalawang klasikong kagamitan para dito ay sudo y suna hindi eksaktong pareho ang ginagawa, bagama't maraming tao ang nagkakamali sa mga ito.

sudo ("superuser do") ay ginagamit upang isagawa ang isang utos na may mga pahintulot ng ibang gumagamit, karaniwang root.Hindi ka nagpapalit ng session, hindi ka nagiging root "para sa lahat"; tanging ang partikular na utos na iyon ang isinasagawa nang may mataas na pribilehiyo. Halimbawa:
sudo apt install gparted

Sa tuwing gagamitin mo sudo Hihingin ng system ang iyong password (kung hindi mo pa ito nailagay kamakailan).Pagkatapos ng ilang minutong hindi aktibo, mag-e-expire ang sudo na "ticket" at kakailanganin mong mag-authenticate muli, na nagdaragdag ng mahalagang layer ng seguridad.

su ("palitan ang gumagamit") ay nagbabago sa pagkakakilanlan ng iyong gumagamit sa loob ng parehong sesyonKung gagamitin mo ito nang walang mga argumento, ikaw ay magiging root (hihingi ito ng root password) at lahat ng kasunod na mga utos ay isasagawa gamit ang mga pribilehiyong iyon hanggang sa lumabas ka. exit. Halimbawa:
su
Contraseña:
whoami # devuelve 'root'

Maaari mo ring gamitin su nombreusuario para lumipat mula sa isang gumagamit patungo sa isa pabasta't alam mo ang password para sa destination account. Lubos nitong babaguhin ang environment sa environment ng bagong user (mga variable, bahayatbp.) inirerekomendang gamitin su - o su - nombreusuario.

Sa pangkalahatan, ito ay itinuturing na mas ligtas at mas ipinapayong gamitin sudo para sa mga partikular na utos at resort sa su kapag kailangan mo lang talaga ng matagal na root session (halimbawa, sa mga gawain sa pagbawi o kumplikadong maintenance).

Mga partikularidad ng root sa Ubuntu at mga derivative distribution

Ang Ubuntu at maraming distribusyon batay dito ay sumusunod sa isang malinaw na pilosopiya ng seguridad: umiiral ang root user, ngunit naharang sa direktang pag-login.Nangangahulugan ito na pagkatapos ng isang karaniwang instalasyon, hindi ka na maaaring mag-log in bilang root sa terminal o sa graphical environment gamit ang isang password, dahil wala itong nakatalagang password.

Sa halip, pinipili ng Ubuntu ang masinsinang paggamit ng sudoSa proseso ng pag-install, isang administrator user ang bubuo na kabilang sa grupo. sudoMula doon, ang anumang gawaing administratibo ay ginagawa gamit ang:
sudo comando

Kung kailangan mo ng "buong" root shell sa Ubuntu, mayroon kang ilang mga ligtas na opsyon.:
sudo -i # Magbukas ng sesyon ng pag-login sa ugat
sudo su - # Lumipat sa root gamit ang login environment

Ang parehong pamamaraan ay nag-iiwan sa iyo bilang root sa terminal na iyon hanggang sa lumabas ka gamit ang exitMakikita mo na ang prompt ay karaniwang nagbabago at nagtatapos sa # sa halip ng $Ito ay isang klasikong senyales na mayroon kang mga pribilehiyong superuser. Mahalagang tandaan ito upang maiwasan ang pagsasagawa ng mga mapanganib na utos kung saan hindi dapat.

Bagama't hindi inirerekomenda, maaari mong paganahin ang root user sa Ubuntu sa pamamagitan ng pagtatalaga nito ng password. na may:
sudo passwd root
Matapos ilagay at kumpirmahin ang bagong password, ang root ay "maa-unlock" at posible, halimbawa, na gamitin su nang walang paunang sudo o kahit na nagpapahintulot ng direktang pag-login sa pamamagitan ng TTY o SSH (isang bagay na lubos na hindi inirerekomenda sa mga nakalantad na server).

Mga totoong panganib ng hindi maingat na paggamit ng root

Ang pagtatrabaho bilang root nang hindi alam ang eksaktong ginagawa mo ay parang pagmamaneho ng trak nang paatras sa highway: maaaring maayos ang takbo nito, ngunit kung mawawala ka sa isang segundo, ang gulo ay magiging epiko.Ang Linux ay dinisenyo upang maging lubos na ligtas bilang default, ngunit sa sandaling itinaas mo ang mga pribilehiyo, maraming proteksyon ang nawawala.

Ang unang malaking panganib ay ang aksidenteng pagbura o pagsira sa file systemMga utos tulad ng:
rm -rf /
rm -rf /*
o kahit na mas banayad na mga konstruksyon tulad ng:
rm -rf "$directorio"/*
Kaya nilang sirain ang buong sistema sa loob lang ng ilang segundo kung patatakbuhin ang mga ito bilang root at ang landas ay hindi katulad ng iniisip mo.Minsan, ang kailangan lang ay isang walang laman na variable, isang maling slash, o isang maling tab key para gawing isang malaking sakuna ang isang tila inosenteng command.

Ang pangalawang pangunahing panganib ay ang pag-install ng malisyosong software na may ganap na mga pribilehiyoAng pag-download at pagpapatakbo ng mga script mula sa internet bilang root nang hindi tinitingnan ang code ay parang pagbibigay ng mga susi ng iyong bahay sa isang estranghero. Maaaring mag-install ang isang malisyosong script mga ugatMga keylogger o backdoor, pagbabago sa kernel, pag-eespiya sa lahat ng iyong ginagawa at pananatiling nakatago nang matagal na panahon.

Madali ring masira ang seguridad ng sistema sa pamamagitan ng pakikialam sa mahahalagang pahintulot ng file.Halimbawa, kung nagpapatakbo ka ng isang bagay tulad ng:
chmod 000 /etc -R
o babaguhin mo ang mga pahintulot ng /boot sa /etc/passwd nang hindi mo alam ang ginagawa mo, Maaari mong i-unboot ang makina o gawing imposible ang user authentication.Sa maraming pagkakataon, ang tanging solusyon ay ang paggamit ng LiveCD o kahit na muling i-install.

Mula sa pananaw ng seguridad, ang palaging pagpapatakbo bilang root ay ginagawang "isang punto ng pagkabigo" ang account na iyonKung ang isang attacker ay makakuha ng root access (sa pamamagitan ng brute force, phishing, malware, atbp.), mayroon silang kumpletong kontrol: maaari nilang i-encrypt ang mga disk, magnakaw ng data, sumali sa isang botnet, o gamitin ang iyong server upang atakihin ang mga third party. Upang mabawasan ang mga panganib na ito, dapat mong suriin nang mas malalim ang mga pamamaraan para sa pagpapatigas gamit ang SELinux at iba pang mekanismo ng proteksyon.

Bukod pa rito, ang masinsinang paggamit ng ugat ay nagpapahirap sa pagsubaybay.Kapag ang mga utos ay isinasagawa gamit ang sudoItinatala ng sistema kung sino ang naglunsad ng mga ito at kailan, samantalang kung ang lahat ay ginagawa bilang root, hindi malinaw kung sino ang nasa likod ng bawat aksyon, na nagpapakomplikado sa mga pag-audit at pag-diagnose ng problema.

Ipakita ang mga asterisk kapag nagta-type ng sudo password

Bilang default, kapag inilagay mo ang iyong sudo password sa maraming distribusyon (tulad ng Ubuntu) wala kang makikitang anumang tuldok o asterisk.Ito ay nilayon bilang isang hakbang pangseguridad upang maiwasan ang sinuman na mahulaan ang haba ng iyong password sa pamamagitan lamang ng pagtingin sa screen, ngunit sa pagsasagawa nito ay medyo abala ito: nagta-type ka at tila walang nangyayari.

Sa loob ng ilang panahon ngayon, pinayagan ng sudo ang pag-activate ng isang pag-uugali na tinatawag na pwfeedbackNagpapakita ito ng asterisk para sa bawat karakter na iyong tina-type. Hindi nito ipinapakita ang iyong password, ngunit kinukumpirma nito na tumutugon ang keyboard at tinutulungan kang matukoy ang mga typo.

Para ma-activate ito, kailangan mong i-edit ang sudo configuration gamit ang secure tool. visudoPinapatunayan nito ang syntax bago i-save upang maiwasan ang pagkawala ng mga pribilehiyo ng sudo dahil sa isang kalokohang pagkakamali. Ang mga hakbang ay:

1. Buksan ang mga setting ng sudo:
sudo visudo

2. Idagdag ang linya:
Defaults pwfeedback

3. I-save at lumabas sa editor

Mula sa sandaling iyon, sa tuwing ilalagay mo ang iyong sudo password, lilitaw ang mga asterisk.Kung sa anumang punto ay gusto mong bumalik sa orihinal na gawi, alisin lamang ang linyang iyon gamit ang `return`. visudo.

Huwag paganahin o harangan ang root account

Sa mga kapaligiran kung saan maraming tao ang may access sa iisang computer, ang root password ay maaaring mas madalas na maibahagi kaysa dati.Kung napakaraming tao ang nakakaalam ng key na iyan, sandali na lang bago may gumawa (o magdusa) ng gulo. Ang isang napaka-makatwirang solusyon ay ang i-disable ang root account at gumamit lamang ng sudo.

Kapag ni-lock mo ang root account, pinipigilan mo ang mga user na direktang mag-log in bilang user na iyon. at pinipigilan mo rin itong gamitin su Para makakuha ng root access gamit ang iyong password. Gayunpaman, Magagamit pa rin ng mga awtorisadong gumagamit ang sudo upang isagawa ang mga pribilehiyong utos.

Para i-lock ang root account sa maraming distro, patakbuhin lang:
sudo passwd -l root

"I-freeze" ng utos na ito ang root password para hindi ito magamit.Kung kailangan mo itong i-reactivate sa ibang pagkakataon, kakailanganin mong magtakda ng bagong password na may katulad na:
sudo passwd root

Ibalik o baguhin ang iyong root password kung nawala mo ito

Kung nakalimutan mo ang iyong root password o na-lock mo ang iyong account at kailangan mo itong i-recover, hindi pa pala nawala ang lahat.Nag-aalok ang Linux ng ilang paraan upang i-reset ito, kadalasan sa pamamagitan ng pag-boot ng system sa isang espesyal na mode o paggamit ng LiveCD.

Ang isang karaniwang opsyon ay ang gawin ito mula sa GRUB, gamit ang recovery mode.Maraming distribusyon ang may entry na "Advanced options" kung saan maaari kang pumili ng "Recovery mode". Ang pagpili nito ay naglo-load ng limitadong kapaligiran na may mga opsyon sa pagsagip.

Kung pipiliin mo ang opsyong kumuha ng root console sa recovery modeAng karaniwang daloy ay karaniwang:

1. I-mount ang file system na may mga pahintulot sa pagsulat:
mount -o rw,remount /

2. Magtakda ng bagong password para sa root:
passwd root

3. I-synchronize ang data at i-restart upang mailapat ang mga pagbabago:
sync
reboot

Ang isa pang pangunahing opsyon ay ang pag-boot mula sa isang LiveCD o LiveUSB ng isang distribusyon ng Linux. (halimbawa, ang Ubuntu sa mode na "Subukan nang hindi ini-install") at magtrabaho sa naka-install na system mula sa labas.

Sa isang karaniwang senaryo sa LiveCD, ang mga hakbang ay magiging:

1. Magbukas ng terminal at kumuha ng pansamantalang root shell:
sudo su

2. Tukuyin ang partisyon na naglalaman ng iyong Linux system gamit ang isang bagay tulad ng:
fdisk -l

3. I-mount ang partisyon na iyon sa isang gumaganang direktoryo (halimbawa gamit ang /dev/sda1):
mkdir /mnt/recover
mount /dev/sda1 /mnt/recover

4. Baguhin ang system root sa direktoryong naka-mount gamit ang chroot:
chroot /mnt/recover

5. Mula roon, gamitin passwd root para magtakda ng bagong password at, pagkatapos mag-log out at mag-restart, makakapag-log in ka ulit nang normal.

Ang /etc/sudoers file at kung paano ayusin ang mga pahintulot sa ugat

Isa sa mga pinakamalakas (at pinakamaselang) aspeto ng root management ay ang file /etc/sudoers, kung saan tinukoy kung sino ang maaaring gumamit sudoDito mo maaaring i-customize nang detalyado ang elevated privilege access, na tinutukoy kung saan at kung aling mga command ang isasagawa.

Napakahalaga: huwag kailanman i-edit /etc/sudoers direkta sa kahit sinong editorPalaging gamitin:
sudo visudo
dahil ang kagamitang ito Suriin ang syntax bago i-saveAng isang error sa file na ito ay maaaring pumigil sa iyo sa paggamit ng sudo, at kasama nito visudo Binabawasan mo ang panganib na iyon.

Karaniwang nilalaman ng /etc/sudoers Ang isang malinis na Ubuntu ay may kasamang mga linyang katulad ng:
root ALL=(ALL:ALL) ALL
%sudo ALL=(ALL:ALL) ALL

Ang una ay nagpapahiwatig na ang root user ay maaaring magpatupad ng anumang utos sa anumang host tulad ng anumang user at grupo.Ganun din ang gagawin ng pangalawa ngunit para sa lahat ng user sa grupo. sudoSa ganitong paraan, sinuman sa grupong iyon ay may ganap na kapangyarihan sa pamamagitan ng sudo.

Para sa mas advanced na mga configuration, pinapayagan ka ng sudoers na magtakda ng mga alias para sa mga user, command, at execution group., halimbawa:

User_Alias ADMINES = pepe, perico, andres
Cmnd_Alias POWER = /sbin/shutdown, /sbin/halt, /sbin/reboot, /sbin/restart
Runas_Alias WEB = www-data, apache

Gamit ang mga kahulugang ito, halimbawa, maaari mong bigyan ang mga ADMIN ng pahintulot na isara o i-restart ang sistema nang walang password. na may panuntunang tulad ng:
ADMINES ALL = NOPASSWD: POWER

Mga label tulad ng NOPASSWD Pinapayagan ka nitong isagawa ang ilang mga utos gamit ang sudo nang hindi kinakailangang i-type ang password.Ito ay lubhang kapaki-pakinabang sa mga automated script, integrasyon sa ibang mga sistema, o mga personal na computer kung saan ikaw lamang ang gumagamit.

Bilang isang pag-uusisa, mayroong isang opsyon na tinatawag na insults na, kung idadagdag mo ito sa mga linya DefaultsGinagawa nitong "insulto" ka ng sudo sa Ingles tuwing mali ang password na inilalagay mo.Hindi nito napapabuti ang kaligtasan, pero kahit papaano ay nakakapagpasaya ito sa iyo sa gitna ng trabaho.

Paggamit ng root upang pamahalaan ang mga file at pahintulot mula sa terminal

Sa pagsasagawa, ang malaking bahagi ng paggamit ng root ay nakatuon sa pamamahala ng mga file at pahintulot sa pamamagitan ng terminal.Gamit ang mga pribilehiyo ng superuser, maaari mong ilipat-lipat ang buong file system at baguhin ang anumang kailangan mo, habang palaging gumagawa ng matinding pag-iingat.

Ang ilang pangunahing utos ay nagiging sensitibo lalo na kapag ginamit bilang root. tunog:

ls: naglilista ng mga file at direktoryo. Bilang root, makikita mo rin ang mga file na hindi mailista ng ibang mga user.

cp y mvPara kumopya at maglipat ng mga file o direktoryo, gamitin ang `sudo`. Halimbawa, maaari mong gamitin ang `sudo` para maglipat ng font mula sa... Descargas pataas /usr/share/fonts/ para magamit ito ng buong sistema.

rm: binubura ang mga file at folder. Kasama ng -r y -f Lubhang mapanganib kung gagamitin mo ito bilang root nang hindi maayos na sinusuri ang path.

chmod y chownBinabago ng mga setting na ito ang mga pahintulot at pagmamay-ari. Mahalaga ang mga ito para sa pagbibigay ng access sa mga file sa mga partikular na user, ngunit ang maling paggamit ay maaaring maging sanhi ng kawalan ng seguridad o hindi magamit ng system.

Ang isang tipikal na halimbawa ng paggamit ng root upang mag-install ng system source ay:

sudo cp ~/Descargas/Underdog.ttf /usr/share/fonts/
sudo chmod 644 /usr/share/fonts/Underdog.ttf

Mode 644 Ipinapahiwatig nito na ang may-ari (ugat) ay maaaring magbasa at magsulat, habang ang grupo at iba pang mga gumagamit ay maaari lamang magbasa., sapat na para gumana ang font ngunit nang hindi pinapayagan ang mga aksidenteng pagbabago.

Mga pinakamahusay na kasanayan kapag nagtatrabaho gamit ang root, sudo, at su

Ang paggamit ng mga pribilehiyo ng superuser ay hindi dapat ipagwalang-bahala.Mayroong ilang mga alituntunin na, kung isasabuhay mo ang mga ito, ay makakapagtipid sa iyo ng maraming abala:

Bawasan ang oras na ginugugol mo bilang root. USA sudo comando Hangga't maaari, iwasan ang pagbubukas ng paulit-ulit na root session. Kung mas kaunting oras ang ginugugol mo nang may ganap na pribilehiyo, mas maliit ang posibilidad na magkamali ka.

Iwasan ang anumang gastos sa pagpapatakbo ng mga script mula sa mga kahina-hinalang mapagkukunan gamit ang sudoKung magda-download ka ng script mula sa internet at ang unang makikita mo ay "run this with sudo," buksan ito gamit ang text editor at basahin itong mabuti. Kung hindi mo maintindihan ang ginagawa nito, huwag mo itong patakbuhin.

Gumamit ng mga kapaligiran sa pagsubok (mga virtual na makina, mga lalagyan) upang mag-eksperimentoKung guguluhin mo ang mga sensitibong configuration, susubukan ang mga agresibong command, o magpapatakbo ng mga hindi malinaw na script, gawin muna ito sa isang system na ligtas mong mapapasok. Makakahanap ka ng mga gabay sa secure virtualization sa [link to guides]. mga virtual machine at container.

I-configure nang detalyado ang sudo kapag maraming administratorHindi ito pareho para sa isang user na kailangan lang i-restart ang isang serbisyo gaya ng para sa isang taong nangangailangan ng ganap na kontrol. Gamitin /etc/sudoers upang limitahan ang magagawa ng bawat tao.

Subaybayan ang mga log ng pagpapatotoo (/var/log/auth.log o journalctlNagbibigay-daan ito sa iyo na makita kung sino ang gumagamit ng sudo, saan nagmula, at anong mga utos ang ginagamit. Ito ay isang simpleng paraan upang matukoy ang hindi pangkaraniwang pag-uugali o pag-abuso sa pribilehiyo.

Huwag mag-browse sa internet, magbukas ng mga attachment, o magpatakbo ng mga desktop application bilang root.Kung ang isang graphical application ay nakompromiso habang pinapatakbo mo ito bilang isang superuser, ang attacker ay tatama sa jackpot.

Sa madaling salita, ang root sa Linux ay isang napakalakas na kagamitan na dapat gamitin nang may pag-iingat.Ang pag-unawa sa kung para saan ang sudo, kailan gagamitin ang sudo o su, kung paano i-recover o i-lock ang account, at kung paano isaayos ang mga sudoer ay magbibigay-daan sa iyong pamahalaan ang iyong system nang ligtas at may kumpiyansa, na lubos na sinasamantala ang kakayahang umangkop ng GNU/Linux nang hindi isinasapanganib ang iyong buhay sa tuwing bubuksan mo ang terminal.