Почему не надо работать под рутом? (перенесено из советов новичкам.)

[demongloom]

В юникс -системах принято работать под обычным пользователем. Нравится вам это или нет, но это так.
И надо придерживаться общепринятых норм. (Вы же придерживаетесь общепринятых норм морали?..)
Видимо, на это (традиция не работать рутом) есть причины. Не зря же придуманы утилиты вроде sudo...

У меня дома на десктопе не принято. Еще раз: я не против того что бы каждый человек выбирал как он хочет работать, но и вы не должны быть против меня, т.к. какая вам разница что у меня дома на компе творится? тем более что спамом не занимаюсь, вирусы не распространяю и вообще активный и оппозиционый участник лин. форума.

В целом это вопрос сугубо религиозный. Я бы вообще от паролей у себя дома на компе отказался бы. В том числе и администратора, т.к. сетевые сервисы у меня наружу не выходят, все в локалке. Ну а за сеть/фаирвол отвечает 2wire модем. Риск подхватить троя/виря под линуксом ооооочень низок. Тем более что 95% обычно времени провожу в винде. Хотя год назад было все наоборот, то бишь 5% в винде.

[polachok]

У меня дома на десктопе не принято. Еще раз: я не против того что бы каждый человек выбирал как он хочет работать, но и вы не должны быть против меня, т.к. какая вам разница что у меня дома на компе творится?

поддерживаю. Но не надо агитировать к этому других. И вообще это ко всем относится: пусть как хотят, так и работают, когда они сделали выбор будучи зрелыми линуксоидами. А новички же пусть работают по правилам, по традиции. Если потом решат, что хотят работать нетрадиционнно(и ловить проблемы) - пожалуйста.

[Unregistered]

Только перехватывать сможет только тот процесс, который имеет на это право, т.е. процесс запущенный от рута, либо от самого набирающего.

Думаешь трояну нужно больше, чем права набираюшего пользователя.

А вот если кто-то запустил такой троян из-под рута, то тут ни один пользователь не может быть уверен в своей безопасности.

Не один пользователь: я, снова я и ещё раз я

И ешё раз вот об этом:

тебе не кажется, что глупо спорить по предмету разговора с людьми разбирающимися, если сам не разбираешься в никсах?

Со своим уставом в чужой монастырь не лезут.

Думаете в Linspire сидят неразбирающиеся люди? Или они какие-то не такие. Я не одинок в своих убеждениях. Интересно, если Линус скажет: "Быть рутом - это хорошо" и на каждом углу будут твердить об этом, вы станете рутами?


Unregistered добавил в 13.07.2005 14:15

А новички же пусть работают по правилам, по традиции.

Незнание всяких там sudo, может отпугнуть новичков.

[Jan2ary]

Ты смысла не понял - троян, запущенный кем-то другим, не сможет прочесть твой ввод с клавиатуры. А вот запущенный рутом - чей угодно прочтет. Хотя если ты на машине один, то пожалуйста

[Unregistered]

Ты смысла не понял - троян, запущенный кем-то другим, не сможет прочесть твой ввод с клавиатуры.

Так вот именно, подхвачу его я, и запустится он от моего имени (как пользователь).

[Warderer]

Думаете в Linspire сидят неразбирающиеся люди? Или они какие-то не такие. Я не одинок в своих убеждениях. Интересно, если Линус скажет: "Быть рутом - это хорошо" и на каждом углу будут твердить об этом, вы станете рутами?

Первое - Linspire очень неуважаемая в Linux-community компания.
Второе - если Линус скажет, что быть рутом это хорошо, то я спокойно уйду, допустим на *BSD, или на Debian GNU/Hurd, потому что мне надежность работы и безопасность важнее понтов. В том числе и понтов Линуса. А root, а ранее wheel существует куда как подольше операционной системы Linux.

Незнание всяких там sudo, может отпугнуть новичков.

Вы хотели сказать "стимулирует узнавание о этом замечательном пакете"?

[Jan2ary]

То есть такого трояна лучше под рутом запускать, чем под обычным юзерем, у которого можно su делать? А вдруг он не ввод слушает, а делает rm -rf / ? Ты ж не знаешь заранее!

Я не то имел в виду, но понял о чем ты. Но никто ведь не мешает настроить sudo на беспарольное выполнение рутовых команд для конкретного пользователя, кроме того какая вероятность больше: что пароль в su начнет набирать любой юзер в системе, или что только ты будешь это делать? Тем более ты - у которого есть sudo!

[sash-kan]

[немного оффтоп]
навеяно данной дискуссией.
я тут немножко размышляю над темой тестирования знаний it-специалиста (точнее, юниксоида (: )
так вот, наряду с хитрыми вопросами типа:
главное отличие седьмой и восьмой версий bind
можно включить и что-нибудь вроде:
вам на домашнем компьютере необходимо отредактировать /etc/fstab. _подробно_ опишите ваши действия.
и если человек ответит, например:
ввожу команду vi /etc/fstab,
то можно делать некоторые далекоидущие выводы (:
я бы, например, _никогда_ не взял на работу человека, работающего дома под root'ом.
потому как мы все рабы привычек, а эта привычка _на_работе_ - просто смертельна.
[/немного оффтоп]

[xorader]

[немного оффтоп]
ввожу команду vi /etc/fstab,
то можно делать некоторые далекоидущие выводы (:
я бы, например, _никогда_ не взял на работу человека, работающего дома под root'ом.
потому как мы все рабы привычек, а эта привычка _на_работе_ - просто смертельна.
[/немного оффтоп]

↑

тоже поофтоплю... хотя фраза будет простая: какая разница в sudo vi /etc/fstab и в vi /etc/fstab ? в 4-ёх буквах - и только! У вас не правильный подход к root'у. Буду благодарен если сможете переубедить... я серьёзно.

[Unregistered]

Первое - Linspire очень неуважаемая в Linux-community компания.

С чего Вы взяли?

Второе - если Линус скажет, что быть рутом это хорошо, то я спокойно уйду, допустим на *BSD, или на Debian GNU/Hurd, потому что мне надежность работы и безопасность важнее понтов. В том числе и понтов Линуса. А root, а ранее wheel существует куда как подольше операционной системы Linux.

Мда, у меня нет больше слов. А может у меня их так, много, что уже даже не знаю, что сказать...

[Bolverk]

2All:
Don't feed the troll.

[elide]

Bolverk, ага (:
YHBT. YHL. HAND.
классика...

[Bolverk]

Для elide:
Угу...
"ВЕ?"
"АПВС? ВА?"

Bolverk добавил в 13.07.2005 20:07

"АПВОВНВ?"

[t.t]

При таком подходе, странно, что вообще в Линуксе сделали GUI. Самое интересное, что в ЭТУ Тулу, каждый волен ввозить свой самовр, ибо она город свободный, тем более от догм.

↑

Не путайте, пожалуйста, мелкое с мягким. Графический интерфейс часто бывает нужен, постоянная работа под рутом -- не нужна никогда.

ЗЫ: Мне вот интересно (надо будет поискать на эту тему), когда вы вводите пароль, после "su Enter", разве нельзя перехватить нажатие клавиш? Или когда выскакивает окошко для ввода пароля?

↑

Перехватить нажатие? Можно, конечно, но для этого надо иметь права рута

А ещё, когда копируешь файлы из NTFS на них по-умолчанию стоит readonly, просто надоедает каждый раз менять права (может это можно как-то исправить, но я не нашёл как).

↑

Не поверите, это таки да можно исправить. Причём в man mount это подробно описано. Кроме того этот вопрос постоянно перемывается в сети; по крайней мере, на этом форуме я его видел раз двадцать, не меньше (если не больше). По этому поводу позвольте процитировать себя же:

Если начинающий пользователь хочет учиться, то он уже давно почитал man sudo и прописал одну -едниственную строчку в /etc/sudoers, а если не хочет -- всю жизнь останется начинающим

↑

И раз уж вы не нашли (а точнее -- не искали), подскажу: посмотрите опцию umask.

t.t добавил в 14.07.2005 00:24

Думаете в Linspire сидят неразбирающиеся люди? Или они какие-то не такие.

↑

Вот именно, не такие.

Интересно, если Линус скажет: "Быть рутом - это хорошо" и на каждом углу будут твердить об этом, вы станете рутами?

↑

Открою вам секрет: он этого никогда не скажет.

Незнание всяких там sudo, может отпугнуть новичков.

↑

Извините, но если незнание чего бы то ни было может отпугнуть новичка от системы, то я опять начинаю себя цитировать: этот новичок на всю жизнь останется новичком.

[demongloom]

ок. чем sudo rm -rf / лучше?

[Unregistered]

Думаете в Linspire сидят неразбирающиеся люди? Или они какие-то не такие.
*
Вот именно, не такие.

↑

А Вы уже считаете себя умнее их?

Открою вам секрет: он этого никогда не скажет.

Никогда не говори: "никогда". Он уже много чего говорил, чего от него не ждали.

2All:
Don't feed the troll.

↑

Не нравится не пишите здесь ничего.

Хотите сидеть под пользователем и поддерживать миф о том, что рутом на десктопе быть опасно - пожалуйста. Но вот только не надо, тем кто сидит под рутом, крутить пальцем у виска и в разговоре делать снисходительный тон.


Unregistered добавил в 14.07.2005 04:46

Перехватить нажатие? Можно, конечно, но для этого надо иметь права рута

↑

Да? Попробуйте в ГНОМе поставить в качестве горячей клавиши какую-нибудь одну букву, а затем попробуйте её ввести в консоли.

[ddc]

ок. чем sudo rm -rf / лучше?

↑

Тем, что нет его.

А Вы уже считаете себя умнее их?

↑

Не видя Linspire можно вполне корректно утверждать, что это утверждение верно с вероятностью 1/2. Зная, что делает Linspire, можно однозначно утверждать, что t.t умнее их, причём, скорее всего, всем вместе взятых...

Хотите сидеть под пользователем и поддерживать миф о том, что рутом на десктопе быть опасно - пожалуйста.

↑

Не забывайтесь, Вы не на митинге КПРФ.

Попробуйте в ГНОМе поставить в качестве горячей клавиши какую-нибудь одну букву, а затем попробуйте её ввести в консоли.

↑

Вот только не надо дурацких фигур речи. Неужели Вы думаете, что специально ради этой дискуссии кто-то поставит себе другой DE?

[edoc_modnar]

Спасибо за тему, узнал много нового . От души посмеялся

[Warderer]

ок. чем sudo rm -rf / лучше?

↑

Тем, что rm через судо не разрешен. Как и mv. как и mc, на всякий случай. В /etc/sudoers явно указано, что из судо мне надо пускать. Так что мимо, извините.

А Вы уже считаете себя умнее их?

Я считаю умнее их разработчиков RH EL AS, SuSE, Debian (особенно тех, кто за security патчи отвечает). Продолжать?

2random_code:
То ли еще будет! Заходи еще!

P.S. Правильно говорит русская пословица: "Дурак может загадать такую загадку, что на нее не ответят и десять мудрецов".

[ddc]

А у меня в sudo указано, что запускать можно всё. Просто каждый раз, когда я или мой скрипт пытаемся совершить что-нибудь потенциально опасное, система меня не пускает. Работает как предкупреждение, заставляет оценить последствия действия. И это очень удобно.
Кстати о пользовательских данных: неплохая была статья про SVN на локальном компьютере. Всё хочу прикрутить себе...

[t.t]

ок. чем sudo rm -rf / лучше?

↑

Тем, что его можно запретить -- раз (и именнно rm -rf / должно быть запрещено всегда). А для других случаев ещё и тем, что действие будет записано в логах, после чего _гораздо_ легче понять, почему вдруг что-то перестало работать (точнее сказать, без логов это зачастую понять вообще невозможно).

А Вы уже считаете себя умнее их?

↑

Во-первых, соглашусь со Стренджером. А во-вторых, извините, но из компромиссов ещё никогда ничего путного не выходило; а Linspire -- это как раз попытка создать компромисс (я обычно говорю "компро-miss" ) между виндой и линуксом. Кстати, как заметил polachok, MS тоже уже поняли неправильность своего подхода и в Длиннороге собираются это исправить.

Никогда не говори: "никогда". Он уже много чего говорил, чего от него не ждали.

↑

А примеры можно? Я ничего такого неожиданного для себя от него не слышал.

Хотите сидеть под пользователем и поддерживать миф о том, что рутом на десктопе быть опасно - пожалуйста. Но вот только не надо, тем кто сидит под рутом, крутить пальцем у виска и в разговоре делать снисходительный тон.

↑

Извините, иначе не получается. Это, как уже говорил alv, простая техника безопасности; и по мне это примерно из той же оперы, что заземление компьютера к громоотводу..

Да? Попробуйте в ГНОМе поставить в качестве горячей клавиши какую-нибудь одну букву, а затем попробуйте её ввести в консоли.

↑

Пытаюсь представить себе троян, который будет отлавливать нажатия через настройки гнома А ежели не через настройки, то ему придётся внедриться куда-нибудь, например, в /usr/bin, чего без прав рута сделать невозможно; в ~/bin, по ходу, у меня (у обычного пользователся) тоже нет прав на запись..

[ddc]

в ~/bin, по ходу, у меня (у обычного пользователся) тоже нет прав на запись.

↑

А зачем тогда этот "~/bin" нужен?

[Warderer]

в ~/bin, по ходу, у меня (у обычного пользователся) тоже нет прав на запись.

↑

А зачем тогда этот "~/bin" нужен?

↑

Для тех скриптов, которыми имею право пользоваться только я, и которые пишу только во вменяемом состоянии...

[t.t]

А зачем тогда этот "~/bin" нужен?

↑

Тю.. Так для работы с ним нужны только права на чтение/выполнение. Обновляю я его оч-чень редко (чаще алиасами пользуюсь) и делаю это через sudo (забыл написать, /usr/bin/nano у меня тоже туда включён ). Полная гарантия, что не запущу ничего непрошенного.

[Unregistered]

Не видя Linspire можно вполне корректно утверждать, что это утверждение верно с вероятностью 1/2. Зная, что делает Linspire, можно однозначно утверждать, что t.t умнее их, причём, скорее всего, всем вместе взятых...

Железная логика.

Вот только не надо дурацких фигур речи. Неужели Вы думаете, что специально ради этой дискуссии кто-то поставит себе другой DE?

Так и знал, что начнутся такие левые отговорки. Ну поставте тогда в КДЕ, да хоть где вообще.

Пытаюсь представить себе троян, который будет отлавливать нажатия через настройки гнома

Да при чём тут, ГНОМ? Если ГНОМ ловит эти нажатия, то и любая программа их может отловить. Взять тот же Sven.

А ежели не через настройки, то ему придётся внедриться куда-нибудь, например, в /usr/bin

Зачем ему туда внедрятся? Какая ему разница откуда он запустится?

А у меня в sudo указано, что запускать можно всё. Просто каждый раз, когда я или мой скрипт пытаемся совершить что-нибудь потенциально опасное, система меня не пускает. Работает как предкупреждение, заставляет оценить последствия действия. И это очень удобно.

Я сидя под рутом, разве нельзя сделать такое же? (это не риторический вопрос, поэтому просветите, если не трудно ). Но, как сказал t.t - "Это компромисс", но по части sudo, если используете, то уж до конца

Извините, иначе не получается. Это, как уже говорил alv, простая техника безопасности; и по мне это примерно из той же оперы, что заземление компьютера к громоотводу..

Я же говорю, это для Вас так. Но с чего Вы взяли, что и для других.

P.S. Правильно говорит русская пословица: "Дурак может загадать такую загадку, что на нее не ответят и десять мудрецов".

Уже который раз вы меня как-нибудь косвенно пытаетесть оскорбить.

[Shlomo]

На первой консоли в текст-моде

↑

А у меня на второй! Тоже привычка - что бы если дети нажмут рибут, то не под рутом обвал произойдет.
А вообще я заметил одну особенность, и могу заключить, что сидеть или нет под "рутом", это вопрос воспитания. те кто начал увлекаться никсами лет пять назад и больше (ну или чуть позже, но еще были сильны традиции), работают как обчный юзер. Люди пришедшие в никсы во время расцвета журналируемой фс сидят "как хочется". Наверно так.

[Digger]

Солидарен с random_code: :devil_2:

[Warderer]

Так и знал, что начнутся такие левые отговорки. Ну поставте тогда в КДЕ, да хоть где вообще.

Ерунду говорите, уважаемый. У меня на компе постоянно крутятся два Х-сервера, один мой, другой - жены. На каждом из них настроен xbindkeys. Не подскажете, почему комбинации клавиш, которые она нажимает в своем рабочем пространстве никак не сказываются на моем десктопе? Или я что-то не так делаю? Предупреждаю, что ни GNOME ни KDE я ставить себе не буду. Тут как-то с Valerius'ом спорили, поставил себе, так потом замучался их из системы выковыривать.

Да при чём тут, ГНОМ?   Если ГНОМ ловит эти нажатия, то и любая программа их может отловить. Взять тот же Sven.

Читайте выше: не может, если она не от рута запущена. Тот же GNOME, если он не от рута запущен, ничего с соседней консоли не перехватит.

А ежели не через настройки, то ему придётся внедриться куда-нибудь, например, в /usr/bin

Зачем ему туда внедрятся? Какая ему разница откуда он запустится?

Хотя бы та разница, что у некоторых людей /home может быть смонтирован с опцией noexec и никакой файл оттуда просто не запустится.

А у меня в sudo указано, что запускать можно всё. Просто каждый раз, когда я или мой скрипт пытаемся совершить что-нибудь потенциально опасное, система меня не пускает. Работает как предкупреждение, заставляет оценить последствия действия. И это очень удобно.

Я сидя под рутом, разве нельзя сделать такое же? (это не риторический вопрос, поэтому просветите, если не трудно )

Нет, нельзя. По крайней мере штатными средствами. Можно отобрать у владельца файла право записи в файл, но если этот владелец - root, то он все равно сможет в него записать. И запретить самому себе изменять этот файл он не сможет. В отличие от пользователя.

[William Henry Gates]

# chmod 000 /boot/kernel
и флаг вам в руки

[Shlomo]

QUOTE
Извините, иначе не получается. Это, как уже говорил alv, простая техника безопасности; и по мне это примерно из той же оперы, что заземление компьютера к громоотводу..

Я же говорю, это для Вас так. Но с чего Вы взяли, что и для других.

↑

Пример совсем не корректный! Это как последние слова новорусского разбившегося в аварии "Смотри, братва, как я могу!!"