![root以外のユーザーとして実行すると、セキュリティ上の利点は何ですか? [閉鎖]](https://linux33.com/image/52636/root%E4%BB%A5%E5%A4%96%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%A8%E3%81%97%E3%81%A6%E5%AE%9F%E8%A1%8C%E3%81%99%E3%82%8B%E3%81%A8%E3%80%81%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E4%B8%8A%E3%81%AE%E5%88%A9%E7%82%B9%E3%81%AF%E4%BD%95%E3%81%A7%E3%81%99%E3%81%8B%EF%BC%9F%20%5B%E9%96%89%E9%8E%96%5D.png)
ルートで作業しないようにアドバイスを聞きました。 1つのルールは、root@serverの代わりにserver@serverユーザーを作成し、そのユーザーとして残りのすべての管理タスクを実行することです。
セキュリティの観点から、rootと比較してrootではなくスーパーユーザーとしてログインするとどのような利点がありますか?
答え1
これは単なるセキュリティ問題ではありません。 「愚かな内容を入力すると、誤ってシステムがハングする可能性が少なくなります」という質問です。 Goldilocksが言ったように、「rootではなくスーパーユーザー」というものはありません。常識的には、できるだけ少ない権限で実行する必要があります。それはすべてです。
答え2
「ルートではなく無制限のスーパーユーザー」の利点は本質的にゼロです(無差別代入攻撃に対する保護を計算しない限り、これに対応するにはより多くの試みが必要ですroot)server。
利点は見てすぐに現れます。代表する機能を提供し、そのメカニズムによって制限されたスーパーユーザーまたはスーパーユーザーのコマンドセットを作成すると、次sudoの管理タスクを実行できます。そしてその人だけ。 「ネットワークサーバー管理者」IDに正常に侵入した後は、ネットワークサーバーを再起動したりログを回転したりできますが、管理ソフトウェアをインストールしたり、特権コマンドを実行したり、ファイアウォール保護を減らすことはできません。
もちろん、これはsudoWillの「ウェブサイト用の新しいファイルを作成する」機能などの深い防御機能があると仮定します。確認する要求された新しいファイルは特別なファイルではなく実行可能ではなく、有効なWebルートにあります。コマンドsudo gccは、発行者がシステムバイナリを他のファイルなどで上書きしていないことを確認する必要があります。一般ユーザーがsudo su単に入力だけでスーパーユーザー権限を取得できる場合、システムは実際には少ない単純なルートよりも安全です(推測可能なパスワードを使用して、実行後に忘れてしまう「joe」アカウントを想像してみてください。この場合は、ルートドーム用の事前に作成されたバックドアを提供します)。