Nepracujte jako root, aneb nastavení sudo!

22.6.2005 12:41 | Přečteno: 6092× | Linux | poslední úprava: 22.6.2005 13:31

Dva důvody proč nepracovat jako root. A jak vyřešit problém s lidskou leností.

Vždycky mě vytočí lidé, kteří obhajují práci v Linuxu (nebo jiném unixu) pod rootem. Nejčastějším důvodem je, jak jinak, lidská pohodlnost - Kdo tam má pořád dávat to heslo?, zní nejčastější námitka. Dokonce jsem zaslechl názory, že uživatel by se neměl nechat systémem omezovat.

Důvody proč nepracovat jako root jsou dva:

1. Bezpečnost
2. Bezpečnost

Je to sice jediný důvod, ale považoval jsem ho za tolik důležitý, že jsem jej uvedl dvakrát. Při práci na počítači děláme chyby, všichni a bez vyjímky výjimky. To, že nemáme veškeré pravomoce omezuje dosah našich chyb jen a pouze na naše vlastní data. Představme si, že budeme jako root a chceme si smazat soubor a zadáte rm -rf / home/user/soubor. Je to hloupý překlep, za kterou si vysloužíme hlášku Permission denied. Pokud nepracujeme root. V tomto případě se smaže celý systém, včetně přimountovaných disků (maximálně přežijí ntfs partition, ale jen kvůli tomu, že jsou připojeny jako ro).

V době, kdy je stále více počítačů připojeno k internetu, se nebezpečí jenom zvyšuje. Počítače takových "chytráků", co si nenechají od počítače nic nařizovat, jsou potom velice snadným cílem všech útočníků. Ti je mohou využít na rozesílání spamu, lámání hesel, k nabourávání do dalších počítačů, ... . Pokud pracujete jako běžný uživatel, má to útočník mnohem těžší.

Jenže, co je to všchno vysvětlování platné, když nejčastějším argumentem je již výše zmíněné Kdo tam má pořád dávat to heslo?

Sudo

Jedna z možností, jak obejít zadávání hesla, je nastavit su, aby se neptalo na heslo pro určité uživatele (typicky ze skupiny wheel). Tím můžete dát administrátorská práva jen určitým uživatelům. Ti pak nemusí zadávat heslo. Z mnoha důvodů to není ideální řešení (pořád má někdo k dispozici všechny práva roota, přestože je nepotřebuje).

To správné řešení se jmenuje sudo. Pomocí tohoto programu můžete určitým uživatelům dát některé pravomoce roota, ale ne všechny (to lze taky, ale není to vhodné). Konfigurace programu sudo je uložena v /etc/sudoers, ale k nastavení se používá visudo, který mimo jiné kontroluje syntaxi. Veškeré podstatné informace jsou v manuálových stránkách (man sudoers), doporučuji především sekci EXAMPLES, kde jsou ukázky konkrétních konfigurací.

Příklad nastavení

Instalace softwaru je v linuxu často dělána pomocí správce balíčků (rpm, apt-get, urpmi, emerge, swaret, installpkg, ...). Ale je to privilegovaná operace, proto instalace může provádět pouze root. Jenže stále zadávat heslo nikoho nebaví. Proto si nastavíme sudo, abychom mohli instalovat balíčky jako normální uživatelé a bez nutnosti zadávat heslo.

#/etc/sudoers
# Host alias specification
# User alias specification
User_Alias      SYSADMIN = misak, michal
# Cmnd alias specification
Cmnd_Alias      INSTALL = /usr/bin/emerge
# SYSADMINs could use emerge
SYSADMIN        ALL = NOPASSWD: INSTALL

Příkaz sudo /usr/bin/emerge již potom funguje i pod normálním uživatelem. Ale to už je kratší a pohodlnější napsat su, heslo a emerge! Což v mém případě znamená 16 znaků a sudo verze 20 znaků. Naštěstí tvůrci shellu s lidskou leností počítali, proto není nic jednoduššího, než použít alias emerge='sudo /usr/bin/emerge' a umístit jej do startovacího skriptu.

       

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru