права root

[Кот-Бегемот]

Не надо задавать руту пароль, это очень плохо, неправильно и приводит к куче проблем.

Из чисто научного любопытства интересно узнать, каких проблем можно поиметь, задав пароль руту.

Да, мне тоже интересно. И почему это у рута нет пароля, когда на выполнения каких-то задач система запрашивает пароль? Вндь это пароль рута или кого?

Это пароль юзера внесенного в список sudoers. Сюдоерсы имеют право выполнить некоторые операции от рута. Список этих операций можно менять - права пользователя.

Если кто задает пассворд рута - этим он фактически отменяет защитные свойства программы сюдо. Вирус если найдет дырку в защите запустится от рута - а при использовании сюдо так не получится - рута то  и нет. Также и в случае с злоумышленником - даже если он узнает часть(но не первый - самый главный) паролей сюдо - не страшно, при ограничении полномочий вред будет ограничен папкой "хом" конкретного юзера. При знании же пароля рута, можно обрушить всю систему.
Короче говоря, сюдо довольно эффективная и простая защита и средство разграничения полномочий. И лишаться его из-за  лени набрать "до" после "сю" - глупо.

[Protopopulus]

Это пароль юзера внесенного в список sudoers. Сюдоерсы имеют право выполнить некоторые операции от рута. Список этих операций можно менять - права пользователя.

Если кто задает пассворд рута - этим он фактически отменяет защитные свойства программы сюдо. Вирус если найдет дырку в защите запустится от рута - а при использовании сюдо так не получится - рута то  и нет. Также и в случае с злоумышленником - даже если он узнает часть(но не первый - самый главный) паролей сюдо - не страшно, при ограничении полномочий вред будет ограничен папкой "хом" конкретного юзера. При знании же пароля рута, можно обрушить всю систему.
Короче говоря, сюдо довольно эффективная и простая защита и средство разграничения полномочий. И лишаться его из-за  лени набрать "до" после "сю" - глупо.

Бред. Ну, допустим, я ограничил свои права через /etc/sudoers - запретил доступ к системе apt, а пароля у рута нет. Что я тогда смогу?

[лесной_зонтик]

Вирус?! С этого места поподробнее пожалуйста. при наличии дырки в безопасности, пароль рута не обязателено должен быть задан.
Так же пароль для рута необходим в некоторых хардкорных случаях, которые обычно возникают после различных экспериментов.

[Кот-Бегемот]

Разные дырки в безопасности бывают. Дать подглядеть пароль - это тоже дырка. Я понимаю - споры могут быть - но сюдо это система безопасности. В ней изъяны также можно найти. И вири вполне могут быть - другое дело их превентивными мерами сдерживают.
А если вам нужен хардкор - вперед! В обычных случаях пароль рута не нужен.
Пользователь решил продолжить мысль 30 Мая 2010, 18:04:29:

Бред. Ну, допустим, я ограничил свои права через /etc/sudoers - запретил доступ к системе apt, а пароля у рута нет. Что я тогда смогу?

Вы повежливей. А то можно сказать - бред в вашей голове.

[Malamut]

Что вы так к этому руту привязались? Ведь совершенно не важно, как называется пользователь. По умолчанию считайте, что ваш пользователь - рут, и всё тут. Любой, кто состоит в группе admin - рут, и точка. От этого и пляшите. А первоначального и основного рута не трогайте.

Проблем, исключая проблемы с безопасностью, при активации рут аккаунта масса. Первая и самая основная - у вас нифига не будет работать, если вы сделаете su $$ gedit, но заработает на ура при sudo -s $$ gedit. Почему? Потому что переходя через su под рута вы теряете доступ к окружению пользователя, в частности, к dbus, без которого очень неадекватно работают GNOME приложения. В Ubuntu всё и всегда рассчитано на то, что root выключен. Это - данность. Зачем ломать систему и включать root если это не даст ни одного преимущества? Ради того, что вводить su на 5 символов короче, чем sudo -s? Так сделайте alias, и будет хоть один символ)))

[Karl500]

Есть у меня нехорошее подозрение, что без пароля root возможны проблемы в некоторых ситуациях. Например:
- есть сервер. При перезагрузке выясняется, что есть проблемы с файловой системой /. На терминал выдается сообщение: введите пароль root или нажмите ctrl-D для продолжения загрузки. Честно говоря, неохота проверять: разве здесь будет принят пароль пользователя? Если нет - то без пароля root единственный способ - это грузить с liveCD (или флешки). Т.е. необходим физический доступ к серверу для борьбы с проблемой. (нет, при такой загрузке не на всех серверах нужно "подцеплять" монитор для того, чтобы это увидеть).

[Malamut]

Karl500,
Не будет там никакого сообщения. Не помню точно что да как, но при проблемах есть возможность свалиться в root консоль безо всяких паролей. ЕМНИП single опция ядра при битом корне отработает и даже ничего не надо будет нажимать))

[Karl500]

Будет. Сам видел. Причем именно с просьбой ввести пароль root. Но, поскольку на серверах я (несмотря на) всегда включаю рута, то и проблем с этим у меня не было. Но - а если бы не включил? Что, бежать к серверу? Если кто-то проверял, и точно уверен, что в этом случае подходит пароль sudo-пользователя - отлично. Но пока я в этом совершенно не уверен.

[Malamut]

Нет, не подходит, это точно. Но свалиться в root можно и без него - это тоже точно. Стоит наверно single попробовать, можете на досуге попробовать поломать / и через grub скормить single опцию ядру - посмотрите, что будет. У меня сейчас нет ни одного доступного для экспериментов сервера(((

[Karl500]

У меня вот тоже нет - а ломать рабочие неохота почему-то

[Protopopulus]

Вы повежливей. А то можно сказать - бред в вашей голове.

Прошу великодушно простить, но то, что Вы напсали про разграничение прав и безопасность - есть бред. Могу показать на примере.
1. У root нет пароля. Зато, мы можем ввести команду sudo su и получить полные права в системе.
2. У root нет пароля. Зато, мы можем выполнить любую команду с правами суперпользователя - sudo command.
3. У root нет пароля. У нас ограничены права, но мы можем править системные конфиги через sudo, например sudo nano /etc/sudoers.
4. У root нет пароля. У нас нет возможности править системные конфиги и выполнять административные задачи. Ну и как пользоваться системой?
5. У root есть сложный и надежный пароль. У нас нет прав на администрирование. Все счастливы, все улыбаются, ибо всегда можно дать команду su. А если уж совсем лень, то можно настроить sudoers так, чтобы обеспечить компромисс между полной безопасностью и удобством использования.

[Дмитрий Бо]

Protopopulus, что ты хочешь показать всем этим?.. По-твоему, админ вообще должен отсутствовать? Но он же есть - реальный человек, которому можно этот комп. И разве плохо, если он будет использовать рутовые права только когда надо, а не для запуска амарока?

[Protopopulus]

Protopopulus, что ты хочешь показать всем этим?.. По-твоему, админ вообще должен отсутствовать? Но он же есть - реальный человек, которому можно этот комп. И разве плохо, если он будет использовать рутовые права только когда надо, а не для запуска амарока?

А внимательно прочитать то, что я написал не дано? Автоцитата:

5. У root есть сложный и надежный пароль. У нас нет прав на администрирование. Все счастливы, все улыбаются, ибо всегда можно дать команду su. А если уж совсем лень, то можно настроить sudoers так, чтобы обеспечить компромисс между полной безопасностью и удобством использования.

То есть, у простого пользователя есть только необходимое, а админские права принадлежат root-у. Но, можно же, настроить права так, что, например, для перезагрузки компа, настройки [аудио/видео]системы и подобного у простого пользователя не будет ограничений.

И еще: Прежде, чем постить УГ на глагне что-то писать и доказывать, разберись в предыстории моего поста - он был ответом на утверждение Кота-Бегемота о том, что отсутствие пароля у root - гарантия безопасности системы.

[-=[OzZz]=-]

Прошу великодушно простить, но то, что Вы напсали про разграничение прав и безопасность - есть бред. Могу показать на примере.
1. У root нет пароля. Зато, мы можем ввести команду sudo su и получить полные права в системе.
2. У root нет пароля. Зато, мы можем выполнить любую команду с правами суперпользователя - sudo command.
3. У root нет пароля. У нас ограничены права, но мы можем править системные конфиги через sudo, например sudo nano /etc/sudoers.
4. У root нет пароля. У нас нет возможности править системные конфиги и выполнять административные задачи. Ну и как пользоваться системой?
5. У root есть сложный и надежный пароль. У нас нет прав на администрирование. Все счастливы, все улыбаются, ибо всегда можно дать команду su. А если уж совсем лень, то можно настроить sudoers так, чтобы обеспечить компромисс между полной безопасностью и удобством использования.

Отвечу вам:
Во-первых по умолчанию sudo записывает всю пользовательскую активность в syslog-канал authpriv. В su эту фичу надо включать с помошью задания специального параметра в файле настроек.
Во-вторых в sudo можно ограничить права доступа, в su нет
В-третьих если юзера лишить прав суперадмина надо или менять пароль рута или заставить юзера его забыть  

пункт 4 вообще абсурд. Если хватило мозгов изменить единственному пользователю права, должно хватить мозгов сделать ещё одного юзверя.
Если пользователь один пользует комп, зачем ему резать себе же права в судо или наоборот, зачем ему помнить 2 пароля? Не забывайте, Ubuntu юзер-френдли система. Если же всё тоже самое. но на серваке, то для таких целей логичнее разграничить права конечных юзеров, чем потом при лишении сис. админа прав пенять пароль рута, не так ли?
Ну а в добавок к этому пользовать пароль рута или su решать индивидульно каждому. Ну а тому кто тут нифига не понял вообще противопоказано следить за безопасностью  он или дыру оставит в системе или настроет так, что потом перенастроить не сможет

[Protopopulus]

О, Б-же!!! Да что же такое?

-=[OzZz]=-, я же уже написал, что эти пункты были ответом на пост Кота-Бегемота о том, что с sudo пользоваться системой намного безопаснее. Потрудитесь прочитать предыдущие сообщения