چرا نباید با root وارد سیستم شوید؟ توصیه هایی برای امنیت بیشتر.توصیه شما چیه؟

[milad.fashi]

سلام
تنبلی رو کنار گذاشتم و کمی مطالعه کردم و برآیند اون رو اینجا نوشتم

چرا Login کردن با کاربر Root گناه کبیره است؟
۱-ممکنه شما خودتون به اشتباه لینوکس رو خراب کنید.و به محتویات فایل های سیستم عامل در پارتیشن روت آسیب بزنید.
۲-دیگران (هکرها و بد افزار ها) از بیرون ممکن است به روت حمله کنند.امن ترین سیستم سیستمی است که با جهان بیرون ارتباط ندارد.اما این غیرممکن است و شما احتیاج به استفاده از اینترنت و فلش دیسک ها و DVD و ... دارید.و این ها ممکن است حاوی اسکریپت یا ویروس هایی باشند که به راحتی میتوانند به محتویات پارتیشن روت دسترسی پیداکنند و آنجا را خراب کنند.برای امنیت لینوکس اکثرا میگویند که شما اگر هسته لینوکس رو آپدیت نگه دارید نیاز به آنتی ویروس ندارید.خود لینوکس هم فایروال دارد.همراه با لینوکس یک سیستم دیواره آتشین کامل موثر و کارا موسوم به Netfilter/iptables ارائه می شود. قسمت Netfilter بیانگر سیستم دیواره آتشین است که در سیستم عامل از پیش کار گذاشته می شود. یعنی در هسته لینوکس و iptables رابطی است که آن را کنترل می کند. البته در کرنل جدید  NFTables  جایگزین میشود.NFTablesیک موتور فیلترینگ زیرسیستم/بسته فایروال برای کرنل لینوکس است که آماده است تا جایگزین Iptables شود. NFTables برای سال‌ها توسط نویسنده Netfilter در حال توسعه بوده. این سیستم nftables جدید برای ادغام در کرنل لینوکس ۳.۱۳ آمده شده است. NFTables سال‌ها تحت توسعه بوده تا با ارائه یک کرنل ABI ساده‌تر، کاهش کد‌های حشو، گزارش خطای بهبود یافته و فراهم کردن پشتیبانی کارآمدتر از قوانین فیلترینگ جایگزین IPTables شود.

یکی از دلایلی که لینوکس به طور ذاتی امن است ("inherently secure") این است که همه کاربران آن از User Account ای استفاده میکنند که محدود( limited privileges) است.یکی از دلایل اصلی که ویندوز نا امن و insecure است این است که اغلب کاربران با اختیارات Administrator از ویندوز استفاده میکنند. اما در لینوکس شما فقط به پارتیشن Home خود دسترسی دارید و برای اجرای دستورات و کارهای سیستمی احتیاج به رمز روت دارید و باید از دستوراتی مثل Sudo استفاده کنید.البته در ویندوز هم برای بالا بردن امنیت از User Account Control استفاده شده است و شدیدا توصیه میشود که UAC رو غیر فعال نکنید.البته در ویندوز از شما رمز نمیخواهد.و فقط یک سوال میپرسد و میتونید با دکمه yes جواب مثبت بدید.و همین به نظرمن ضعف بزرگی است.چون ممکن است که خود شخص پشت سیستم نباشد! و براحتی از سد UAC هم میگذرد.البته در ویندوز هم پیشنهاد شده که برای استفاده از کاربر معمولی(  standard userیا Limited) استفاده کنید و با استفاده از Run as Administrator و وارد کردن رمز نرم افزار ها را نصب کنید.ولی معمولا اکثر افراد این کار رو انجام نمیدهند و براحتی نرم افزار های مخرب میتونند به ویندوز دسترسی داشته باشند و اون رو خراب کنند.اغلب کاربران به این موضوع توجهی ندارند و ندانسته از Admin استفاده میکنند و در ویندوز استفاده از کاربر ادمین رفته رفته تبدیل به یک فرهنگ شده!!! یک فرهنگ استفاده غلط.ولی در لینوکس به طور پیش فرض مجبورید که از کاربری به غیر از root استفاده کنید.مگر اینکه خودتان اصرار داشته باشید و دوست داشته باشید خطر کنید و لینوکس رو ناامن کنید!!!

توصیه : به جای استفاده از دستور su در ترمینال از دستور sudo استفاده کنید.شدیدا توصیه میشود که از su استفاده نکنید.ولی اگر استفاده کردید حتما باید با استفاده از exit خارج شوید.(su=super user=root)

اما گاهی لازم است تغییراتی در پارتیشن روت ایجاد کنیم.برای ایجاد این تغییرات حق نداریم با root وارد سیستم شویم.چون امنیت ندارد.(استفاده از su مجاز نیست)
فرض کنید میخواهیم یک پوسته ساعت (skin) یا یک فایل کدک صوتی و تصویری یا هر فایل دیگری رو دستی به پارتیشن روت منتقل کنیم.چه کار باید انجام دهیم ؟؟؟
میتونیم یکی از انتخاب های زیر رو داشته باشیم:
۱- میتوانیم از دستور gksudo nautilus استفاده کنیم.و این دستور به خاطر داشتن محیط گرافیکی کار ما را خیلی راحت و سریع میکند.
۲-میتوانیم از دستور  gksu nautilus استفاده کنیم.(در محیط KDE از دستور kdesu nautilus)در این صورت تفاوت این دستور با دستور بالایی چیست؟؟؟ آیا این دستور یا دستور بالایی مشکل امنیتی نخواهد داشت؟؟؟
3-میتوانیم از دستور sudo nautilus هم استفاده کنیم.که البته توصیه شده که برای برنامه های گرافیکی از دستورات ۲و۱ استفاده بشه.و برای برنامه های متنی و تحت ترمینال از sudo استفاده بشه.ولی درظاهر تفاوت gksudo nautilus با sudo nautilus اینه که با اجرای gksudo برنامه nautilus‌به صورت یک فرآیند جدید و مستقل از پدر ایجاد میشود.ولی با اجرای sudo nautilus در واقع nautilus فرزند terminal میشود.(مثل دستور fork که فرزند عین خودش تولید میکنه و بعد با execve خودش رو به ناتیلوس تغییر میده).مثلا وقتی شما پنجره ترمینال رو میبندید ناتیلوس هم بسته میشه.چون پدر که کارش به پایان میرسه فرزند هم با اون سیستم رو ترک میکنه.ولی دستور ۱ و ۲ یعنی استفاده از gksudo یا gksu این طور نیست.و با بستن terminal و به پایان رسیدن اون nautilus همچنان به کارش ادامه میده.
۴-میتونیم از ترمینال و دستورات اون استفاده کنیم.که برخی از دوستان اعتقاد دارند روش های ۱و۲و۳ امن نیستند و روش ۴ امن است.یعنی از ترمینال و دستورات cp و mv برای انتقال فایل یا دایرکتوری(که در واقع همون فایله.اینجا همه چیز یه چیزه اونم فایل) استفاده بشه بهتره.چون یکی از ناظرانجمن به اسم  "nixoeen"در همین سایت عقیده داشت: فقط روش ۴ امن است و استفاده از دیگر روش ها کفر است.و برای اثبات حرف هایش دلیلی نگفت.ولی  فایل PDF زیر را معرفی کرد.من نگاهی به این فایل انداختم ولی نمیدونم رابطه اش با این بحث چیه!!! چون ظاهرا فایل مربوط به خطرات Thumbnail در ویندوز XP  هستش و سواد کم من نمیتونه اون رو در لینوکس و این موضوع درک کنه!!!

A Vulnerability in My Heart

 

دوست دارم نظر دوستان با تجربه لینوکسی رو بدونم.و بتونیم بحث مفیدی در مورد امنیت در لینوکس در اینجا داشته باشیم.
نظر شما کدام گزینه است؟ دلیل شما چیست؟
به قول سیاست مدارا : گزینه روی میز شما چیه؟؟؟

[سیروس]

هیچ کدام از دستورات 1.2 در اپن سوزه کار نمیکند.دستور 3 هم این پیغام رو میده که آدم رو به تردید میاندازه

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

root's password:
البته با بودن yast نیازی به ترمینال نیست ولی من همیشه از su استفاده میکنم

[milad.fashi]

یعنی دستورات ۱و۲و۳ فقط مخصوص اوبونتو هستند؟؟؟
توزیع های دیگر لینوکس مثل دبیان که اوبونتو بر پایه اون هسست این دستورات رو نداره؟

[jackshepherd]

یعنی دستورات ۱و۲و۳ فقط مخصوص اوبونتو هستند؟؟؟
توزیع های دیگر لینوکس مثل دبیان که اوبونتو بر پایه اون هسست این دستورات رو نداره؟

احتمالش هست.ولی به نظر من سوزه خیلی قدره و با امنیت و با ثبات هستش.به طور پیش فرض این دستورات کامل حذف شده(با توجه به پیغام دستور اخری که دوستمون تو سوزه اجرا کرده و با تجربه شخصی خودم میگم.)
بین خودمون باشه به نظر من نگاهی که دوستان سوزه کار به ابونتو کارها دارند مثل نگاه ابونتو کارها به ویندوزی ها هستش.(منظورم بی احترامی نبود.من خودم ابونتو رو از 10.10 به بعد دارم استفاده میکنم.و از اون جایی که سیستم عامل اورجینال لپ تاب من سوزه هستش برای یادگیری اون اقدام کردم که به این نتیجه گیری رسیدم.)

[milad.fashi]

البته اوبونتو و openSuse هردو روی هسته لینوکس هستند.پس در ظاهر متفاوتند.ولی در باطن همه توزیع ها یکی هستند.(شاید این نگاه تا حدی درست نباشد).
اوبونتو و دبیان که دیگه خیلی به هم نزدیک اند.و من نمیدونم چرا باید اوبونتو امن نباشه و دبیان و امثالهم امن باشه!!!؟؟؟ کاربرای OpenSuse با کلاس اند.چون سیستم عامل امن رو انتخاب کردند و اوبونتویی ها چون گرایش به محیط گرافیکی دارند بی کلاس اند و سیستم عامل ناامنی رو انتخاب کردند! این نگرش درسته؟؟؟ ولی من اوبونتو رو انتخاب کردم چون تازه واردم.و اوبونتو پشتیبانی بهتری داره.و انجمن های اون توی اینترنت هم زیاده.و برای حل مسایل و مشکلاتت راحت تر و سریع تر به جواب میرسی.

برای اینکه از بحث اصلی خارج نشیم و سراغ حاشیه نریم.باز هم میخوام بدونم نظر شما در مورد پست اول چیه؟ و نیم نگاهی هم به امنیت و تفاوت های امنیتی توزیع های مختلف داشته باشیم. البته هر کسی نظر آزاد خودش رو میتونه اینجا بده.حتی اگر نظرش درست نباشه.ولی با بحث در اینجا با نظرهای کامل و درست و امنیتی آشنا میشنویم.

[jackshepherd]

دوست عزیز ممنون از شما که یک مطلب جامع تو این مورد پست کردید.راستش من هم جسته و گریخته در مورد کلیات مطلب تون چیزهایی شنیده بودم.(نه به کاملی پست شما)
درسته که بهتره که از سه روش پیشنهادی شما(اگه امنیت سیستم برامون مهمه)استفاده نشه.به نظر من بهتر نیست به جای لاقین کردن به روت تو یوزر معمولی سیستم با تنظیمات زیر به روت مستقیم لاقین کنیم وتنظیمات مورد نظر رو اعمال کنیم.

کد: [انتخاب]

#Enable root account by giving a password:
sudo passwd root

-----------------------------
#Enable Login as Root account in LightDM:
gksudo gedit /etc/lightdm/lightdm.conf

------------------------------
#Then add this line to the end and save the file.
greeter-show-manual-login=true

-------------------------------
Now restart your computer, choose Login and type in root and password to login as root.

[پیام]

من دارم از کالی استفاده می کنم و تا اونجایی که میدونم خود این سیستم عامل سرشار از عوامل خطرناکه در ثانی این سیستم عامل جوری طراحی شده که باید حتما با روت وارد سیستم شد چون بعضی یا خیلی از نرم افزار های مربوطه رو توزیع باید با کاربری روت استفاده بشه


البته تو سیستم های حساس با سطح کاربری که قابلیت sudo داشته باشن جزو ملزوماته چون مدیر سیستم وظایف و اختیارات خودشوداره و نباید اجازه بده که یه کاربر میهمان و سرگردان تو سیستم به قسمت های مهم سیستم با سطح دسترسی روت لوگین بشه

[milad.fashi]

توصیه : به جای استفاده از دستور su در ترمینال از دستور sudo استفاده کنید.شدیدا توصیه میشود که از su استفاده نکنید.ولی اگر استفاده کردید حتما باید با استفاده از exit خارج شوید.(su=super user=root)

همانطور که در پست اول گفتم.برای امنیت در لینوکس نباید با Super user‌ یا همون روت Login کرد.حالا این Login کردن در محیط ترمینال باشه یا گرافیکی باشه فرق نمیکنه.مخصوصا در سیستم سرور یا سیستم های نظامی و خاص منظوره و ... که حساس تره اصلا نباید این ریسک رو انجام داد.البته این حرف من نیست.این قانون لینوکسه.و فرهنگ درست استفاده از لینوکس استفاده از کاربر معمولی خودتونه.و نباید سراغ root user برید.

ولی جالب اینجاست که در لینک زیر اوبونتو امن ترین OS معرفی شده است!!! پس اوبونتویی های این سایت خوشحال باشید و سیستم عاملتون رو دست کم نگیرید.خصوصا در نسخه ۱۴.۴ به مراتب امنیت ارسال اطلاعات و دریافت اطلاعات و رمزنگاری قوی تر در اوبونتو ایجاد میشود.
بر اساس گزارشی که از طرف سازمان امنیت انگلیس (GCHQ) شاخه امنیت اطلاعات الکترونیکی (CESG) در تاریخ ۱۸ نوامبر ۲۰۱۳ بر دستگاه های موبایل و Desktop انجام شد؛ اوبونتو امن ترین سیستم عامل شناخته شد.

https://www.gov.uk/government/collections/end-user-devices-security-guidance--2

اگه حوصله انگلیسی ندارید اینم لینک فارسی :

Linuxreview_Ubuntu securtiy

[jackshepherd]

یه سوال:اگه از su استفاده شد و یا در کل اگه نگران این هستیم که امنیت سیستم در خطر هستش ایا با عوض کردن پسوورد ها(سیستم,ایمیل ها و...)میشه این اشتباه رو جبران کرد و با خیال راحت از لینوکس استفاده کرد,انگار که اتفاقی نیافتاده.یا با عوض کردن رمزها کارهای دیگه رو بایدانجام داد.؟

[سیروس]

توصیه : به جای استفاده از دستور su در ترمینال از دستور sudo استفاده کنید.شدیدا توصیه میشود که از su استفاده نکنید.ولی اگر استفاده کردید حتما باید با استفاده از exit خارج شوید.(su=super user=root)

حتی sudo هم در اپن سوزه کار نمیکنه.لابد حکمتی داره که سوزه تنها از su استفاده میکنه

[milad.fashi]

یه سوال:اگه از su استفاده شد و یا در کل اگه نگران این هستیم که امنیت سیستم در خطر هستش ایا با عوض کردن پسوورد ها(سیستم,ایمیل ها و...)میشه این اشتباه رو جبران کرد و با خیال راحت از لینوکس استفاده کرد,انگار که اتفاقی نیافتاده.یا با عوض کردن رمزها کارهای دیگه رو بایدانجام داد.؟

به نظر من در لحظه ای که از روت استفاده میکنه سیستم در معرض خطره.و اگر در اون لحظه اتفاق بدی برات نیفته.مثلا هکری به سیستم حمله نکرد.یا بدافزاری نصب نشد(البته نمیتونیم ۱۰۰ درصد تشخیص بدیم که یه بدافزار در سیستم هست یا نه!!!).چون مخفیانه و موزیانه کارشون رو میکنن.البته اگر سیستمت مشکوک نباشه.حتی بدون عوض کردن پسورد هم آسیب امنیتی ندیده.(البته به نظر من)

[امید توانا]

در کی‌دی‌ای دستور kdesu وجود داره نه kdesudo

[milad.fashi]

در کی‌دی‌ای دستور kdesu وجود داره نه kdesudo

مرسی.در پست اول اصلاحش کردم.پس Kubuntu برعکس Ubuntu فقط یکی رو داره!!! عجبیه!

[milad.fashi]

توصیه : به جای استفاده از دستور su در ترمینال از دستور sudo استفاده کنید.شدیدا توصیه میشود که از su استفاده نکنید.ولی اگر استفاده کردید حتما باید با استفاده از exit خارج شوید.(su=super user=root)

حتی sudo هم در اپن سوزه کار نمیکنه.لابد حکمتی داره که سوزه تنها از su استفاده میکنه

خدا میدونه
کی راست میگه ؟
 و چی درسته!
من که خودم گیج شدم!!!

[Ghost Shadow]

توصیه : به جای استفاده از دستور su در ترمینال از دستور sudo استفاده کنید.شدیدا توصیه میشود که از su استفاده نکنید.ولی اگر استفاده کردید حتما باید با استفاده از exit خارج شوید.(su=super user=root)

حتی sudo هم در اپن سوزه کار نمیکنه.لابد حکمتی داره که سوزه تنها از su استفاده میکنه

خدا میدونه
کی راست میگه ؟
 و چی درسته!
من که خودم گیج شدم!!!

نمیدونم ایشون چرا sudo نداره ولی منم اپن سوزه دارم و sudo کار میده توش