URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 30923
[ Назад ]

Исходное сообщение
"Здравствуйте почему нельзя как root"

Отправлено Дмитрий , 12-Июн-03 15:22 
Почему везде пишут не входите в систему как root
только в крайнем случае, что в этом плохого?
Не пойму

Содержание

Сообщения в этом обсуждении
"Здравствуйте почему нельзя как root"
Отправлено Иван , 12-Июн-03 15:30 
>Почему везде пишут не входите в систему как root
>только в крайнем случае, что в этом плохого?
>Не пойму

Потому что под рутом ты царь и бог, и элементарно что-нить случяйно напортить... (причем это верно не только для *никсов) Поэтому гааараздо лучше сидеть все время под нормальным пользватлейм, а когда надо что-то такое серьезное изменить, использовать команду su...


"Здравствуйте почему нельзя как root"
Отправлено Vladislav Lazarenko , 12-Июн-03 16:21 
Если Вы настолько неопытны, чтобы задать такой вопрос, то Вам тем более нельзя сидеть под эккаунтом с UID == 0.

"Здравствуйте почему нельзя как root"
Отправлено Дмитрий , 12-Июн-03 17:00 
>Если Вы настолько неопытны, чтобы задать такой вопрос, то Вам тем более
>нельзя сидеть под эккаунтом с UID == 0.

Неопытным себя не считаю А можно по подробнее
и без ... аргументированно


"Здравствуйте почему нельзя как root"
Отправлено Lola , 12-Июн-03 17:13 
этож как наклюкаться надо :) чтоб что-то испортить _СЛУЧАЙНО_.


"Здравствуйте почему нельзя как root"
Отправлено Michail , 12-Июн-03 18:03 
>этож как наклюкаться надо :) чтоб что-то испортить _СЛУЧАЙНО_.
Не надо наклюкиваться. Хватит просто незнания системы. Я однажды убивал КШ командой rm -r /. Не размонтировав ДОС раздел. Забыл! После этого я рутом только в крайней необходимости захожу. Причем сделать строго определенные действия. Кстати большинство портаков происходит именно _СЛУЧАЙНО_.

"Здравствуйте почему нельзя как root"
Отправлено vl , 13-Июн-03 08:40 
ну вот полезли вы в интернет,а в броузере скажем обнаружили уязвимость, которая позволяет удаленное выполнение команд - то бы они выполнялиь под обычным юзером и фатального вреда не нанесли,а то под рутом...

"Здравствуйте почему нельзя как root"
Отправлено uldus , 16-Июн-03 10:17 
>этож как наклюкаться надо :) чтоб что-то испортить _СЛУЧАЙНО_.

Знаю как минимум два факта порчи системы неправильным синтаксисом rm -rf,
первый раз человек пробел случайно в путь поставил, второй - начал набирать команду, отвлекли, затем случайно enter нажал при недонаброной команде.

Пользование su - тоже небезопасно, был случай когда один знакомый засветил рутовый пароль в IRC, т.е. стал набирать в IRC канале su перепутав shell с приглашением IRC клиента :-)


"Здравствуйте почему нельзя как root"
Отправлено Aleksey , 17-Июн-03 12:16 
>>этож как наклюкаться надо :) чтоб что-то испортить _СЛУЧАЙНО_.
>
>Знаю как минимум два факта порчи системы неправильным синтаксисом rm -rf,
> первый раз человек пробел случайно в путь поставил, второй - начал
>набирать команду, отвлекли, затем случайно enter нажал при недонаброной команде.
>
>Пользование su - тоже небезопасно, был случай когда один знакомый засветил рутовый
>пароль в IRC, т.е. стал набирать в IRC канале su перепутав
>shell с приглашением IRC клиента :-)


Пить меньше надо :)))
Или больше ... в смысле до такой степени ,что бы уже сил не было подойти к машине ...


"Здравствуйте почему нельзя как root"
Отправлено Nikolaev D. , 17-Июн-03 12:32 
>Почему везде пишут не входите в систему как root
Можно все. Только надо ответственность понимать. Когда у тебя 30 серверов разбросаны по городу, и ошибка совершенная тобой, когда ты root будет стоить пол-дня простоя в работе нескольких сотен человек + потеря информации + сильно подпортил имидж коноторы, т.к. невозможно выполнить запросы клиентов + потеря бабок + твоя ж"па в мыле: все это восстанавливать (если есть бэкап, а его вполне может не быть - а это потеря информационного продукта, который создавался в течении нескольких месяцев сотней людей). А потом разбор полетов начальством с соответствующими выводами. А если у тебя дома писюк, то потом будешь перествлять систему, что тоже не всегда интересно.

"Здравствуйте почему нельзя как root"
Отправлено uldus , 18-Июн-03 00:21 
>Или больше ... в смысле до такой степени ,что бы уже сил
>не было подойти к машине ...

Вообще-то нормальные админы из xterma рабочей машины всем управляют. В одном помещении с оборудованием (изолированном перегородкой) тех. суппорт сидит и за лампочками следит, трогать руками им что-либо не позволено.


"Здравствуйте почему нельзя как root"
Отправлено DogEater , 17-Июн-03 12:43 
>>этож как наклюкаться надо :) чтоб что-то испортить _СЛУЧАЙНО_.
>
>Знаю как минимум два факта порчи системы неправильным синтаксисом rm -rf,
> первый раз человек пробел случайно в путь поставил, второй - начал
>набирать команду, отвлекли, затем случайно enter нажал при недонаброной команде.
>
>Пользование su - тоже небезопасно, был случай когда один знакомый засветил рутовый
>пароль в IRC, т.е. стал набирать в IRC канале su перепутав
>shell с приглашением IRC клиента :-)

sudo всё таки лучше(наверное :-))


"Здравствуйте почему нельзя как root"
Отправлено DogEater , 17-Июн-03 12:41 
>Почему везде пишут не входите в систему как root
>только в крайнем случае, что в этом плохого?
>Не пойму

Как насчёт rm -rf / tmp/* (всего - то 1 пробел :))
Мне рассказывали про rm -f /dev/* на AIX. Весело было!
Кроме того ты не сможешь нормально "видеть" систему если тебе можно всё.


"Здравствуйте почему нельзя как root"
Отправлено Nikolaev D. , 17-Июн-03 12:47 
--Надоело наступать на одни и те же грабли !
--Точно! Давайте будем наступать на другие !
http://www.lib.ru/unixhelp/grabli.txt



"Здравствуйте почему нельзя как root"
Отправлено lavr , 17-Июн-03 12:55 
> --Надоело наступать на одни и те же грабли !
> --Точно! Давайте будем наступать на другие !
>http://www.lib.ru/unixhelp/grabli.txt

почти все расписано, только VI заменить на ED и будет почти полноценная
картина, ибо:

which vi - это usr, а which ed - это bin (набор утилит собранных статикой,
обычно есть на всех rescue floppy/cd)



"Здравствуйте почему нельзя как root"
Отправлено dl , 17-Июн-03 12:48 

Просто доп. мера безопасности - не более.
а помоему все от человека зависит.
Если у него случай, ум, бог весть что еще поможет сделать оплошность, так его ни рут ни су, ни судо не спасут. Нет защиты от дураков.

Если у меня есть сервера ремотные, и (в основном всегда ;) ) отдаю себе отчет что собираюсь сделать, то я не считаю обязательно входить под каким-то иным пользователем, что бы сделать некоторую копеечную ситуацию.

Тот факт что еще каким-то образом и пароль рутовый перехватят при таком заходе - так мне кажется поимев просто доступ к машине уже можно наворотить все что угодно необязательно под рутом...
Держать в голове тонну паролей - тоже не с руки.


"Здравствуйте почему нельзя как root"
Отправлено DogEater , 17-Июн-03 12:54 
кто - нибудь вообще видел в сети что-то вроде NOT-ROOT-HOWTO, где бы ясно и последовательно описывалось бы ПОЧЕМУ и главное КАК НАДО?

"Здравствуйте почему нельзя как root"
Отправлено lavr , 17-Июн-03 19:23 
>кто - нибудь вообще видел в сети что-то вроде NOT-ROOT-HOWTO, где бы
>ясно и последовательно описывалось бы ПОЧЕМУ и главное КАК НАДО?

нет

ПОЧЕМУ - уже ответили, а как - очень просто:

- не уверен в себе, в security - работай на бумаге, планчик - все расписать, убедиться в наличии или сделать backup и работа только
за консолью

- уверен в себе, но не уверен в security - работай из безопасного
места, в локалке по ssh или снова на консоли (планчик и backup в силе)

- уверен в себе и security - работай по ssh откуда хошь (планчик и
backup в силе, работа с firewall и ssh потребует внимательности, дабы
удаленно не отрубить самому себе доступ)

Как - вариантно, могу лишь свой подход обрисовать:

- все планируемое, предварительно проверяется и апробируется на своей
или тестовой машине
- далее под рядовым account'ом захожу на удаленную, проверяю и смотрю
что нужно и можно, затем если нужен root: su - toor и вперед.

ps. Все /etc/fstab, результаты fdisk/dislabel, firewall'ы и прочие
подобные вещи включая dmesg, хранятся для каждой машины в дубликатах
и доступных местах (невзирая на backup'ы).

Народная мудрость: семь раз отмерь, один отрежь. (жаль нельзя зряплату
отмерить семь раз и потом отрезать ;)


"Здравствуйте почему нельзя как root"
Отправлено LS , 18-Июн-03 03:17 
>Почему везде пишут не входите в систему как root
>только в крайнем случае, что в этом плохого?
>Не пойму


http://www.opennet.me/openforum/vsluhforumID1/31068.html


"Здравствуйте почему нельзя как root"
Отправлено AdVv , 18-Июн-03 16:22 
>>Почему везде пишут не входите в систему как root
>>только в крайнем случае, что в этом плохого?
>>Не пойму
>
>
>http://www.opennet.me/openforum/vsluhforumID1/31068.html

Очень интересный взгляд на проблему. И как потом админить ?
Ведь многие действия по администрированию доступны только для рута ?


"Здравствуйте почему нельзя как root"
Отправлено DogEater , 18-Июн-03 17:03 
>>>Почему везде пишут не входите в систему как root
>>>только в крайнем случае, что в этом плохого?
>>>Не пойму
>>
>>
>>http://www.opennet.me/openforum/vsluhforumID1/31068.html
>
>Очень интересный взгляд на проблему. И как потом админить ?
>Ведь многие действия по администрированию доступны только для рута ?


ИМХО следует разделить задачи администрирования: настройка и управление
Настройку (в идеале установку :-)) можно(нужно) делать один (ограниченное количество) раз.
Управление (ежедневные операции) делать только из под sudo раздавая полномочия ограниченному кругу лиц.


"Здравствуйте почему нельзя как root"
Отправлено AdVv , 18-Июн-03 19:48 
>>>>Почему везде пишут не входите в систему как root
>>>>только в крайнем случае, что в этом плохого?
>>>>Не пойму
>>>
>>>
>>>http://www.opennet.me/openforum/vsluhforumID1/31068.html
>>
>>Очень интересный взгляд на проблему. И как потом админить ?
>>Ведь многие действия по администрированию доступны только для рута ?
>
>
>ИМХО следует разделить задачи администрирования: настройка и управление
>Настройку (в идеале установку :-)) можно(нужно) делать один (ограниченное количество) раз.
>Управление (ежедневные операции) делать только из под sudo раздавая полномочия ограниченному кругу
>лиц.

На мой вкус так все это просто паранойя.
Тут вступает в жизнь вечное противоречие - безопасность/удобство.


"Здравствуйте почему нельзя как root"
Отправлено LS , 19-Июн-03 20:14 
>>>Почему везде пишут не входите в систему как root
>>>только в крайнем случае, что в этом плохого?
>>>Не пойму
>>
>>
>>http://www.opennet.me/openforum/vsluhforumID1/31068.html
>
>Очень интересный взгляд на проблему. И как потом админить ?
>Ведь многие действия по администрированию доступны только для рута ?

Не надо все выссказывания всерьез воспринимать ;)


"Здравствуйте почему нельзя как root"
Отправлено LS , 20-Июн-03 22:10 
>>>Почему везде пишут не входите в систему как root
>>>только в крайнем случае, что в этом плохого?
>>>Не пойму
>>
>>
>>http://www.opennet.me/openforum/vsluhforumID1/31068.html
>
>Очень интересный взгляд на проблему. И как потом админить ?
>Ведь многие действия по администрированию доступны только для рута ?

1) см. "#rm -rf /dir" - в вопросе
2) см. "PS" - в ответе


"Здравствуйте почему нельзя как root"
Отправлено LS , 20-Июн-03 22:29 
>1) см. "#rm -rf /dir" - в вопросе
>2) см. "PS" - в ответе

[syslha@localhost temp]$ whereis ls
ls: /bin/ls /usr/share/man/man1/ls.1.gz
[syslha@localhost temp]$ ls -ld /bin
drwxr-xr-x    2 root     root         2048 Май  9 20:52 /bin
[syslha@localhost temp]$ ls -l /bin/ls
-rwxr-xr-x    1 root     root        67668 Фев 18 20:19 /bin/ls
[syslha@localhost temp]$ cd ~/temp
[syslha@localhost temp]$ mkdir ./bin
[syslha@localhost temp]$ echo "blablabla">./bin/ls
[syslha@localhost temp]$ su
Password:
[root@localhost temp]# chown -R 0:0 ./bin
[root@localhost temp]# chmod 755 ./bin
[root@localhost temp]# chmod 755 ./bin/ls
[root@localhost temp]# exit
exit
[syslha@localhost temp]$ ls -ld ./bin
drwxr-xr-x    2 root     root         4096 Июн 20 22:22 ./bin
[syslha@localhost temp]$ ls -l ./bin/ls
-rwxr-xr-x    1 root     root           10 Июн 20 22:22 ./bin/ls
[syslha@localhost temp]$ rm -rf ./bin
rm: невозможно удалить `./bin/ls': Permission denied
[syslha@localhost temp]$ su
Password:
[root@localhost temp]# rm -rf ./bin
[root@localhost temp]# exit
exit
[syslha@localhost temp]$ ls -l ./bin/ls
ls: ./bin/ls: No such file or directory
[syslha@localhost temp]$


"Здравствуйте почему нельзя как root"
Отправлено Garry , 23-Июн-03 17:24 
>Почему везде пишут не входите в систему как root
>только в крайнем случае, что в этом плохого?
>Не пойму

Потому что эти рекомендации писались лет 10 назад. И вообще не уверен - не садись за комп :))