我的管理员帐户与普通帐户的唯一区别在于,我的管理员帐户是组成员sudo,可以运行sudo。使用我的管理员帐户进行日常工作会降低安全性吗?如果是,为什么?
当然,假设我在输入密码时非常小心,并且在执行命令之前知道它的作用。
如果我使用普通的非管理员帐户作为日常帐户,当我需要以 root 身份运行某些操作时,我会su进入管理员帐户(而不是 root,因为 root 没有密码并且被禁用!)并sudo在管理员 shell 中运行命令;或者,我会以图形方式切换用户。因此,要运行的命令数量是相同的 - 使用普通帐户只意味着我在以 root 身份运行某些操作时必须输入两次管理员密码。
那么,高级用户是否应该使用普通账户而不是管理员账户来处理日常工作?为什么或为什么不呢?
请注意,我所说的“管理员帐户”是指有权以 root 身份运行命令的帐户sudo,而不是 root 帐户本身。我从未以 root 身份登录。
答案1
从技术上讲,具有 sudo 权限的账户与 root 账户具有同等权限(假设采用默认sudoers配置行为),但两者之间仍然存在很大差异。根和可以sudo:
意外遗漏一个字符不会破坏 Ubuntu。可能吧。考虑尝试删除
~/bin但实际运行rm。/bin如果您不是 root,风险较小。sudo需要密码,让您有几毫秒的时间来纠正任何错误。这也意味着其他应用程序无法代表您执行 root 操作。
这就是为什么我们建议人们不要使用 root 帐户进行日常工作。
用其他中间的“管理员”帐户(并以无访问权限的用户身份运行sudo)只是另一层。它可能也应该是一个不同的密码。
不过,这需要额外的麻烦,而且(根据你的问题情况)如果某些东西可以嗅出你的第一个密码,他们可能也能轻易得到第二个密码。如果你从未犯过错误,并且从未在其他地方使用这些强密码(不可猜测或破解),那么这个解决方案可能并不安全。如果有人想要 root,他们会启动到恢复、chroot 或使用扳手。
还有一派观点指出,[对于非企业桌面用户]没什么你价值受到保护你的用户. 您的所有文档、照片、网页浏览历史记录等均归您所有,并且可供您访问由你或者以你身份运行的程序。就像你可以运行记录所有你的击键、查看您的网络摄像头、监听您的麦克风等。
简而言之,恶意软件不需要 root 权限就可以毁掉某人的生活,或者监视你。
答案2
非 root 亦无风险
据我了解,对于管理员或sudo用户来说,它就像普通桌面用户一样工作只要我们不说sudo- 因此不应该存在额外的风险。
意外成为 root 的风险
同样,具有潜在管理员权限的用户需要更加密切地注意他们在何时何地或向谁泄露了他们的密码。
我可以想象(尽管我从未遇到过)一个邪恶的应用程序或脚本会要求您输入密码,但不会告诉您原因。它可能会以 root 权限执行某些操作,因为否则它不需要您的密码。如果我不知道这个应用程序会做什么,我就不会给它我的 root 密码。
我们还有责任在完成后再次解除 root 权限。在使用 Nautilus 等图形应用程序时保持 root 权限始终是个坏主意。
失去 root 访问权限的风险
另一个“风险”可能是你对你的账户做了一些不好的事情,导致你无法登录。因此我总是创建至少两个管理员用户任何我安装 Ubuntu 的盒子。这是为防止我的主帐户出现问题而准备的。
答案3
是的,风险是有的。这些风险是否大到值得你关心,取决于你的偏好和/或你的安全策略。
只要您使用计算机,就始终面临攻击者的威胁。即使您运行的是极其安全的设置,也无法防范尚未发现的漏洞。
如果您使用的帐户没有 sudo 权限,并且该帐户因此被盗用(例如,键盘记录器获取了您的密码),那么可以限制可能造成的损害。如果攻击者盗用了具有 sudo 权限的帐户,那么他们也会获得这些权限。
在大多数系统上,使用 sudo 会导致您的密码默认被记住 15 分钟,这是另一个风险因素,除非您更改该设置。
答案4
我就是这样跑步的: 一个用户我做用户的事情,另一个用户我只做管理员的事情,不做用户的事情。甚至命令提示符也不同:用户有绿色提示符,管理员有红色提示符!
为什么?
对于我使用的所有应用程序,用户都有自己的设置,与管理员用户分开,这允许您:
- 调试问题是否与用户相关或与系统相关
- 如果出现任何问题,请将管理员帐户作为备份用户帐户,而不是来宾帐户和根帐户真的错了您的用户设置不正确,您将无法再登录。
- 将管理员文档和用户文档分开存放在各自的主目录中如果你选择这样做。
sudo在命令前输入意外单词时无效。- 根本无法真正看到普通用户不应该看到的内容。
- 无法解决用户权限提升漏洞。(过去出现过几次)
- 成为“普通用户”就像你电脑上的所有其他用户一样并知道其优点/缺点是什么。