Права доступа, риски и лучшие практики для пользователя root в Linux.

  • Пользователь root (UID 0) обладает полным контролем над системой, а права root могут быть временно делегированы с помощью команд sudo или su.
  • В таких дистрибутивах, как Ubuntu, прямой вход в систему от имени root отключен, и для управления административными функциями используются sudo и группы, такие как sudo или wheel.
  • Неосторожное использование прав root повышает риск критических удалений, нарушений безопасности и отсутствия возможности отслеживания в системных журналах.
  • Правильная настройка sudoers, SSH и административных групп позволяет применять принцип минимальных привилегий и повышать уровень безопасности.
Isaac

17 минут

Пользователь root в Linux

В любой системе GNU/Linux пользователь root Это та фигура, которую все уважают (и вам следует немного её бояться). Это аналог «администратора» в других системах, с той разницей, что здесь права доступа настолько широки, что неправильно набранная команда может вывести систему из строя за считанные секунды. Чтобы полностью понять, что такое root, что такое привилегии root и как ими управлять, необходимо знать, как ими управлять. Это и есть разница между стабильной системой и системой, которая дает сбой при малейшем раздражении.

Кроме того, каждая дистрибуция имеет свой особый способ обработки этих привилегий. Ubuntu, Debian, Void, openSUSE и другие дистрибутивы. Они ведут себя не совсем одинаково с учетной записью root, с такими группами, как... колесо или с помощью файла sudoersЕсли вы управляете серверами (VPS, облачными или выделенными) или просто хотите с легкостью управлять своей системой Linux, вам необходимо понимать, как работает пользователь root и команда `root`. sudo, использование su а также управление административными разрешениями.

Что именно представляет собой пользователь root в Linux?

В Linux и других UNIX-подобных системах пользователь root — это учетная запись с UID 0.Специальный идентификатор, предоставляющий полный контроль над системой. Эта учетная запись обычно также связана с ГИД 0 (основная группа) root), что позволяет читать, изменять или удалять любые файлы, управлять процессами, изменять права доступа и работать с любым разделом файловой системы без ограничений.

Когда мы говорим о «коренности», мы имеем в виду Войдите в систему или получите доступ к командной оболочке. который работает с UID 0. Дело не просто в «расширении прав доступа»: речь идёт об использовании учётной записи, которая имеет абсолютная власть над системойВсе, что вы делаете под этим именем, выполняется без каких-либо препятствий.

Это уже другой вопрос. иметь права rootЭто означает, что ваш обычный пользователь (например, с UID 1000) может с помощью таких инструментов, как... sudoЭто позволяет выполнять определенные команды «как если бы вы были root-пользователем», без необратимого изменения вашей учетной записи в сессии. На практике вы можете выполнять те же административные задачи, но в более контролируемые сроки и с лучшей отслеживаемостью.

Разница между "быть root" и "иметь права root".

Важно четко разграничить эти понятия, потому что Вход в систему от имени root — это не то же самое, что запуск чего-либо с правами root.Здесь вступают в игру как учетная запись UID 0, так и механизмы повышения привилегий (sudo, su, группы, такие как wheel и т. д.).

Cuando Вы являетесь пользователем с правами root. (UID 0, GID 0) и вы выполняете idВы увидите что-то подобное:

uid=0(root) gid=0(root) groups=0(root)

Это означает, что текущая сессия принадлежит пользователю root, и все выполняемые вами действия будут иметь соответствующие права доступа. Вводить что-либо дополнительно не нужно. sudo перед ничем: Любой командир имеет полную свободу действий.Вот почему так опасно слишком долго оставаться в корневой оболочке.

Однако, когда вы используете SudoОбычно вы останетесь своим «обычным» пользователем (например, UID 1000), но команда временно будет выполняться от имени пользователя с UID 0. Если вы это сделаете:

sudo apt update

Ваша сессия остаётся сессией пользователя, но только эту конкретную команду Программа запускается с правами администратора. То же самое относится и к запуску:

sudo systemctl restart apache2

В обоих случаях идентификатор, отображаемый в журналах аутентификации, указывает, какой пользователь использовал данный метод. sudo, что способствует отслеживаемость и индивидуальная ответственность.

Дело компании Wheel, компании Sudoers и ее управленческих групп.

В некоторых дистрибутивах (например, Void Linux или многих производных BSD) существует группа колесокоторый используется для контролировать, кто может использовать sudoВ других системах (например, Ubuntu и Debian в их типичной конфигурации) используется группа. Sudo Чтобы предоставить такую ​​возможность, каждый дистрибутив организует это по-своему, но идея одна и та же: только пользователи, принадлежащие к определенным группам, могут повышать свои привилегии.

Если Void Linux предлагает добавить вашего пользователя в колесоОбычно в этом случае запускают что-то вроде:

sudo usermod -aG wheel tu_usuario

Затем, при выполнении idВы должны увидеть группу колес в списке подгрупп. Если она не отображается, возможно, причина в следующем: Изменения вступят в силу только после выхода из системы.или что система управляет доступом несколько иным способом (например, полагаясь на PAM или определенную конфигурацию). sudo o su (Это не обязательно означает, что колесо должно быть включено во все случаи).

В таких системах, как Ubuntu или Debian, ключевой группой обычно является SudoЧтобы добавить пользователя:

sudo adduser nombre_de_usuario sudo

Наиболее точный контроль достигается путем редактирования файла. / и т.д. / sudoers (или файлы в /etc/sudoers.d/) всегда используя visudo, чтобы вы могли определить, какие именно команды может выполнять каждый пользователь или группа. с правами root, а не с предоставлением полной свободы действий.

Получение прав root в Ubuntu: политика безопасности и использование sudo

В основе философии Ubuntu лежит довольно четкая последовательность действий: Учетная запись root существует, но она не используется для прямого входа в систему.При установке системы root имеет UID 0, как и в любой системе UNIX, но ему не назначается рабочий пароль для входа в систему. Вместо этого интенсивное использование sudo.

Это означает, что по умолчанию Вы не можете войти в TTY или графический интерфейс от имени root с паролем.Поскольку для этого пользователя не задан пароль. Это решение уменьшает поверхность атаки при попытках подбора паролей методом перебора и предотвращает ненужную трату рабочего дня на работу с правами root.

В Ubuntu "обычный" процесс входа в систему выглядит так: вы входите под своей учетной записью, и эта учетная запись принадлежит к группе. SudoА когда вам нужно выполнить какие-либо административные действия, вы запускаете команду с помощью sudo и ты пишешь ваш собственный парольне от имени учетной записи root. Таким образом, система записывает, кто что сделал, когда и с помощью какой команды.

Если в какой-либо момент вам потребуется получить полный доступ к командной оболочке от имени root (например, для последовательного выполнения ряда задач), вы можете использовать:

sudo -i
sudo su -

Оба дадут вам один интерактивная корневая оболочкаОбычно это загружает среду авторизации пользователя. Чтобы выйти из этого режима, просто выполните команду. exit или нажмите Ctrl + D.

Всегда ли доступен пользователь root?

Распределение не имеет значения: Корневая учетная запись всегда существует внутри системы. Потому что это учетная запись с UID 0. В зависимости от дистрибутива меняется наличие у этой учетной записи действительного пароля, разрешен ли прямой вход в систему и при каких условиях ее можно использовать.

В случае с openSUSE (например, Tumbleweed) во время установки технически можно оставить пароль root пустым или настроить систему таким образом, чтобы обычный пользователь имел административные привилегии. sudoЭто может привести к Не уверен, активен ли корневой каталог. Или нет. Но корневая учетная запись всегда существует; просто... Вы не сможете пройти аутентификацию с его помощью. потому что пароль не был установлен или потому что система блокирует доступ с помощью PAM или политик входа в систему.

Когда вы используете su Чтобы переключиться в режим root и ввести свой пользовательский пароль вместо пароля root, обычно это делается следующим образом. не работаесли только в дистрибутиве это не настроено. su принимать пароль пользователя sudo вместо пароля root (реже). Чаще всего, su Программа запросит пароль целевого пользователя, то есть пароль root, если вы выполните простую команду. su.

Кроме того, если вы заметите это во время выполнения su Чтобы получить права root, ваша оболочка продолжит считывать функции или псевдонимы от вашего обычного пользователя; вы можете использовать вариант, подобный этому. su без дефиса (su облицовочный su -), что делает его Среда авторизации root загружается не полностью.Вот почему вы можете продолжать использовать свой .bashrc или вашей конфигурации zsh, что приводит к ошибкам в функциях, которые не существуют для учетной записи root.

Удаленный доступ от имени root через SSH.

Во многих случаях, когда вы арендуете VPS или выделенный сервер, провайдер предоставляет вам SSH-доступ напрямую от имени root.с помощью пароля или, что еще лучше, с помощью SSH-ключа. В системе Linux подключение осуществляется очень просто:

ssh root@IP-del-servidor

В Windows обычно используют такой клиент, как... PuTTYВам нужно всего лишь ввести IP-адрес сервера в соответствующее поле. Host Name, нажмите на Открыто и, когда появится окно терминала, Войдите в систему как root, используя предоставленный пароль. или с помощью настроенного ключа.

Вы также можете подключиться к любому другому пользователю на сервере, и, оказавшись внутри, Получите права root с помощью sudo или su. если этот пользователь принадлежит к соответствующим группам или имеет соответствующую конфигурацию в /etc/sudoersВ этом случае вы будете работать с ограниченными правами доступа до тех пор, пока вам не потребуется выполнить конкретную административную задачу.

Риски неосторожного использования корней.

Права root невероятно полезны, но это также и палка о двух концах. Любая опечатка или неправильно понятая команда Это может привести к полной потере данных, нестабильности системы или появлению уязвимостей в системе безопасности, что сделает ваш компьютер уязвимым.

Одна из самых очевидных опасностей заключается в следующем: случайное удаление или изменение системных файловОт имени root нет ни вопроса "Вы уверены?", ни корзины. Команда типа:

sudo rm -rf /

или вариант с орфографической ошибкой (с неправильным путем, лишним пробелом, неправильно расположенным символом подстановки…) может Удалить половину файловой системы без запроса подтверждения.А восстановление, если оно вообще возможно, обычно бывает сложным и очень неполным.

Существует также вопрос исполнения. скрипты, загруженные из интернета с правами root.Если скрипт вредоносный или плохо запрограммирован, он может удалить конфиденциальные файлы, изменить важные настройки, установить вредоносное ПО, отключить средства защиты или добавить бэкдоры без вашего ведома. А если вы запустили его с помощью sudoВы предоставили ему неограниченные права.

В многосерверных средах (производственная, тестовая, среда разработки) одновременная работа от имени root на нескольких терминалах увеличивает риск выполнить команду на неправильной машинеПростой перезапуск или удаление, случайно выполненное в рабочей среде, может привести к отключению сервиса и вызвать серьезную проблему.

Ситуацию усугубляет то, что, привыкнув всегда работать от имени root, легко слишком расслабиться. не перепроверяйте то, что пишетеЧтобы избежать ошибок, крайне важно сократить время, проводимое с повышенными привилегиями, и внимательно проверять команды перед нажатием клавиши Enter.

Правые права доступа и безопасность: атаки, журналы и аудит.

С точки зрения безопасности, root — это единая точка отказаЕсли злоумышленник получает права root (путем кражи учетных данных, использования уязвимости или обманным путем, заставив вас запустить вредоносную программу), он получает полный контроль над машиной.

На серверах, подключенных к Интернету, предоставление прямого доступа с правами root через SSH с использованием только пароля открывает двери для непрерывные атаки методом грубой силыАвтоматизированные боты пытаются войти в систему под ником root Постоянно проверяйте комбинации паролей. Если пароль слабый или используется повторно в других сервисах, вам конец.

Кроме того, если вы всегда работаете от имени root, любое уязвимое приложение, запущенное под этой учетной записью (браузер, неправильно настроенный веб-сервер и т. д.), может служить точкой входа. Как только это приложение будет скомпрометировано, злоумышленник получит все права доступа.

Еще одной важной проблемой является отсутствие прослеживаемостиПри использовании команды sudo административные действия регистрируются в журнале. /var/log/auth.log или в журнале (journalctl): какой пользователь запустил какую команду и когда. Если же, с другой стороны, все входят в систему напрямую как root, в логах будет указано только «root сделал это», без возможности определить, кто на самом деле стоял за этим.

В средах, где требуются стандарты безопасности (ISO 27001, PCI DSS и аналогичные), отслеживаемость и индивидуальная ответственность имеют ключевое значение. Постоянная работа от имени root без использования sudo затрудняет проведение аудита.Это усложняет решение проблем и часто противоречит передовым методам, требуемым многими нормативными документами. Кроме того, использование защищенного оборудования, такого как dev-tpm0 и TPM Это может повысить целостность и проверяемость системы.

Способы получения прав root

На практике большинство современных дистрибутивов используют три основных механизма для доступа к административным привилегиям: Sudo, su и прямой вход в систему (локальный или удаленный). Каждый из них имеет свой контекст и риски.

Для выполнения одной команды с правами root наиболее распространенный способ — использовать:

sudo comando argumentos

Например:

sudo apt update
sudo apt install firefox
sudo systemctl restart apache2
sudo nano /etc/ssh/sshd_config

С этим, Вы не меняете пользователей навсегда.Только эта команда выполняется с UID 0 и записывает, кто её запустил. Для большинства повседневных административных задач это самый безопасный вариант.

Если вам требуется более стабильная сессия с правами root, поскольку вы собираетесь выполнить несколько команд подряд, вы можете использовать:

sudo -i
sudo su -

Эти команды предоставляют вам корневую оболочку, обычно загружая среду авторизации root (переменные, PATH и т. д.). Это очень удобно для выполнения некоторых длительных задач, но Лучше всего выйти из этого режима сразу после завершения. c exitЧем меньше времени вы проводите в качестве root-пользователя, тем меньше вероятность совершить ошибку.

Включение и управление паролем root

В Ubuntu и других дистрибутивах, хотя это и не рекомендуется, вы можете... назначить пароль для учетной записи root чтобы его можно было использовать напрямую. Типичная команда:

sudo passwd root

Система сначала запросит ваш пароль пользователя (для подтверждения использования). sudoЗатем система дважды запросит у вас новый пароль, который вы хотите назначить пользователю root. С этого момента... У пользователя root будет задан определенный пароль. И, если это позволяют правила аутентификации, вы можете войти локально или использовать su введя этот ключ. На таких устройствах, как Raspberry Pi, например, рекомендуется... изменить пароль по умолчанию.

Если когда-нибудь захочешь блокировка входа root Не удаляя учетную запись, вы можете:

sudo passwd -l root

Это отключает пароль (не удаляя его полностью), предотвращая прямой доступ. Чтобы отменить это:

sudo passwd -u root

В любом случае, особенно в случае с Ubuntu, общая рекомендация такова: Не используйте root-права с паролем для повседневного использования.Гораздо разумнее продолжать работать под своей обычной учетной записью пользователя и использовать sudo только при необходимости.

Настройка SSH для разрешения или запрета доступа root.

В целях безопасности многие серверные установки включают в себя Вход от имени root через SSH отключен.Чтобы изменить это поведение (хотя это и не идеальное решение), необходимо отредактировать конфигурационный файл OpenSSH: /etc/ssh/sshd_config.

Типичная процедура такова:

  1. Убедитесь, что у пользователя root есть пароль. Если вы планируете использовать этот метод аутентификации: sudo passwd root.
  2. Редактировать настройки SSH с правами root:
    sudo nano /etc/ssh/sshd_config
  3. Найдите (или добавьте) директиву PermitRootLogin и установить его в yes если вы хотите разрешить прямой доступ с правами root с использованием пароля.
  4. Перезапустите службу SSH. Чтобы применить изменения:
    sudo systemctl restart ssh (o sshd (в зависимости от распределения).

Если вам нужна некоторая гибкость, не открывая дверь слишком широко, то разумнее всего использовать PermitRootLogin prohibit-password чтобы только те, кто принимает аутентификация ключа а не по паролю. Тем не менее, предпочтительным вариантом обычно является вход в систему как обычный пользователь, а затем использование sudo.

Если вы хотите повысить уровень безопасности, просто выполните следующие действия в обратном порядке: sshd_config pones PermitRootLogin noПерезапустите службу и, при желании, заблокируйте учетную запись root. sudo passwd -l rootЭто вынуждает их Все операции удаленного администрирования должны выполняться через определенных пользователей с правами суперпользователя (sudo).В качестве дополнительной меры рассмотрите возможность использования dm-verity на Linux для защиты целостности системы.

Редактировать файлы sudoers и предоставлять права root другим пользователям.

Иногда вам необходимо, чтобы недавно созданный пользователь мог... запускать команды от имени rootНапример, представьте, что вы создали пользователя. testftp c useradd o adduserНо когда вы пытаетесь использовать sudo Вы увидите следующее сообщение: testftp is not in the sudoers file.

Во многих дистрибутивах на основе Debian/Ubuntu «быстрый» способ — добавить пользователя в группу. Sudo:

sudo adduser testftp sudo

В других средах или при необходимости более точного контроля вы можете отредактировать файл. /etc/sudoers (или добавьте конкретный файл в) /etc/sudoers.d/) всегда используя:

sudo visudo

Внутри можно добавить строку, копирующую корневой шаблон, но для этого пользователя:

testftp ALL=(ALL:ALL) ALL

С этим, testftp сможет выполнять любые команды от имени root. Использование sudo аналогично root (но с возможностью отслеживания). Если вам нужны более строгие ограничения, вы можете ограничить количество разрешенных команд, потребовать использования TTY, принудительно ввести пароль и т. д.

На серверах с более высокой степенью конфиденциальности обычно не предоставляют «полные права» ни одному пользователю из группы sudo, а определяют их в настройках. sudoers точно Что можно и чего нельзя сделатьНапример, разрешение на управление только определенной службой или определенными административными скриптами.

После редактирования и сохранения с помощью visudoПользователь, которого затронула эта проблема, больше не должен видеть ошибку «нет в файле sudoers» и сможет контролируемым образом повышать свои привилегии.

Рекомендации по использованию root и sudo

Работа с правами root — это не только знание того, какие команды использовать, но и... примите разумные меры безопасности.Несколько основных рекомендаций, которые стоит усвоить:

Сначала попробуйте Используйте команду sudo только для выполнения определенных команд. По возможности. Чем меньше времени вы проводите в корневой оболочке, тем меньше вероятность совершить серьезную ошибку. Короткая последовательность команд с `sudo` обычно безопаснее, чем открытие корневой сессии и последующий выход из нее.

Если вам нужно использовать sudo -i o sudo su -Делайте это, когда будете уверены, что будете выполнять группу административных задач одну за другой. Как только закончите, выйдите из системы под учетной записью root. c exitОставление открытой сессии с правами root в фоновом режиме, особенно на общедоступном компьютере или на доступном рабочем столе, значительно увеличивает риск.

Никогда не открывайте браузер, почтовый клиент или подозрительные документы из учетной записи root. Любые уязвимости, затрагивающие эти приложения, могут быть опасны. Оно унаследует права доступа учетной записи, которая его выполняет.При взаимодействии с ненадежным контентом всегда делайте это как обычный пользователь.

Еще один ключевой момент: Не запускайте неизвестные скрипты с помощью sudo. Не читая их предварительно. Если кто-то говорит вам «вставьте эту команду curl | sh с sudo», и вы делаете это, не глядя, вы даёте ему ключи от вашей системы. Откройте скрипт в текстовом редакторе, проверьте, что он делает, откуда он взялся, и если вы его не понимаете или не доверяете ему, не запускайте его.

По возможности, загружайте программное обеспечение и скрипты с различных сайтов. официальные или весьма авторитетные источникиПри наличии возможности проверяйте контрольные суммы и, если сомневаетесь, сначала протестируйте в виртуальной машине или контейнере, который можно будет удалить в случае возникновения проблем.

Наконец, воспользуйтесь преимуществами архива. /etc/sudoers применить принцип наименьших привилегийЭто предоставляет каждому пользователю только необходимые права доступа, не больше, и регистрирует все действия с помощью команды sudo, чтобы вы могли просмотреть, что сделал каждый пользователь, в случае возникновения проблем.

Понимание того, кто такой root-пользователь, чем отличаются права root от прав учетной записи UID 0, а также использование таких инструментов, как... sudo, su, группы администраторов и конфигурация SSHТеперь можно управлять любой системой Linux с гораздо большей безопасностью и спокойствием, избегая ненужных опасений и всегда зная, кто что сделал и с какими правами доступа.

Как использовать dm-verity в Linux
Теме статьи:
Как использовать dm-verity в Linux: полное и практическое руководство