Pourquoi Ubuntu a-t-il un compte root désactivé?

56

Ubuntu désactive la connexion root pour des "raisons de sécurité". Cependant, il me semble que cela n’aide en rien à la sécurité.

Si un intrus parvient à obtenir votre mot de passe de connexion pour Ubuntu, il dispose également du mot de passe de super-utilisateur, car il est identique au mot de passe de connexion.

Cependant, si le mot de passe root est requis, il ne suffit pas d’avoir la connexion pour aider l’intrus, c’est bien ça, non?

Donc, en gros, ce que je veux savoir, c'est: Pourquoi Ubuntu a-t-il choisi de désactiver le mot de passe root? Quelles sont les raisons de sécurité?

S'il vous plaît ne répondez pas selon ce que vous "pensez" était la raison - je cherche une réponse de sources officielles, ou liée à eux.

    
posée DevRobot 19.10.2015 - 11:42
la source

2 réponses

80

Mitch a posté un bon lien dans le commentaire: Pourquoi est-il mauvais de Connectez-vous en tant que root? et le site Debian présente les principaux avantages listés dans leur wiki :

  

Pourquoi sudo ?

     

Utiliser sudo est mieux (plus sûr) que d’ouvrir une session en tant que root pour un   nombre de raisons, y compris:

     
  • Personne n'a besoin de connaître le mot de passe root ( sudo demande le mot de passe de l'utilisateur actuel). Des privilèges supplémentaires peuvent être accordés à   utilisateurs individuels temporairement, puis retiré sans avoir besoin de   un changement de mot de passe.

  •   
  • Il est facile d'exécuter uniquement les commandes qui nécessitent des privilèges spéciaux via sudo ; le reste du temps, vous travaillez en tant qu'utilisateur non privilégié,   ce qui réduit les dommages que des erreurs peuvent causer.

  •   
  • Audit / journalisation: lorsqu'une commande sudo est exécutée, le nom d'utilisateur d'origine et la commande sont consignés.

  •   

Pour les raisons ci-dessus, passer à root en utilisant sudo -i (ou sudo su )   est généralement déconseillé car il annule les fonctionnalités ci-dessus.

Concernant Ubuntu Les avantages et les inconvénients sont listés sur notre wiki :

  

Avantages de l’utilisation de sudo

     

Il existe un certain nombre d’avantages pour Ubuntu, les connexions root étant désactivées   par défaut, y compris:

     
  • Le programme d’installation a moins de questions à poser.   Les utilisateurs n'ont pas à se souvenir d'un mot de passe supplémentaire pour une utilisation occasionnelle (par exemple, le mot de passe root). S'ils le faisaient, ils risqueraient de l'oublier   (ou enregistrez-le de manière non sécurisée, permettant à quiconque de pénétrer facilement dans leur   système).

  •   
  • Il évite le login interactif "Je peux tout faire" par défaut. Vous serez invité à entrer un mot de passe avant que des modifications majeures ne surviennent,   ce qui devrait vous faire réfléchir aux conséquences de ce que vous êtes   faire.

  •   
  • sudo ajoute une entrée de journal de la ou des commandes exécutées (en /var/log/auth.log ). Si vous vous trompez, vous pouvez revenir en arrière et voir ce que   les commandes ont été exécutées.

  •   
  • Sur un serveur, chaque pirate essayant de forcer sa pénétration saura qu'il a un compte nommé root et l'essaiera d'abord. Ce qu'ils   Je ne sais pas ce que sont les noms d'utilisateur de vos autres utilisateurs. Depuis le   mot de passe du compte root est verrouillé, cette attaque devient essentiellement   sans signification, car il n'y a pas de mot de passe pour craquer ou deviner dans le premier   place.

  •   
  • Permet de transférer facilement les droits d’administrateur en ajoutant et en supprimant des utilisateurs des groupes. Lorsque vous utilisez un mot de passe root unique, le seul moyen   désautoriser les utilisateurs, c'est changer le mot de passe root.
  •   
  • sudo peut être configuré avec une stratégie de sécurité beaucoup plus fine.   Le mot de passe du compte root n’a pas besoin d’être partagé avec tous ceux qui doivent effectuer certaines tâches administratives sur   le système (voir la puce précédente).

  •   
  • L’authentification expire automatiquement après un court instant (qui peut être réglé à un niveau aussi bas que désiré ou 0); donc si vous vous éloignez de la   terminal après avoir exécuté des commandes en tant que root en utilisant sudo, vous ne serez pas   laisser un terminal racine ouvert indéfiniment.

  •   

Inconvénients de l’utilisation de sudo

     

Bien que pour les ordinateurs de bureau, les avantages de l’utilisation de sudo sont excellents,   problèmes possibles à noter:

     
  • La redirection de la sortie des commandes exécutées avec sudo nécessite une approche différente. Par exemple, considérons sudo ls > /root/somefile   ne fonctionnera pas car c'est le shell qui tente d'écrire dans ce fichier.   Vous pouvez utiliser ls | sudo tee -a /root/somefile pour ajouter ou ls | sudo tee /root/somefile pour remplacer le contenu. Vous pourriez aussi passer le   commande entière à un processus shell exécuté sous sudo pour avoir le fichier   écrit avec les droits root, tels que sudo sh -c "ls > /root/somefile" .

  •   
  • Dans de nombreux environnements de bureau, le SEUL utilisateur local d’un système est root. Tous les autres utilisateurs sont importés à l'aide de techniques NSS telles que   nss-ldap. Pour configurer un poste de travail, ou le réparer, dans le cas d'un réseau   échec où nss-ldap est cassé, root est requis. Cela tend à   laisser le système inutilisable sauf s'il est fissuré. Un utilisateur local supplémentaire, ou un   le mot de passe root activé est nécessaire ici. Le compte d'utilisateur local devrait   avoir son $ HOME sur un disque local, pas sur NFS (ou tout autre réseau   système de fichiers) et un fichier .profile / .bashrc ne référençant aucun fichier   sur les montages NFS. C'est généralement le cas pour root, mais si vous ajoutez un   compte de secours non root, vous devrez prendre ces précautions   manuellement. Cependant, l'avantage d'utiliser un utilisateur local avec sudo est   que les commandes peuvent être facilement suivies, comme mentionné dans les avantages   ci-dessus.

  •   

Et nous l’avons toujours eu (dès la première sortie).

La plus ancienne référence que j'ai trouvée parle de 4 .10 qui a "sudo"

  

SHUTTLEWORTH LANCE UBUNTU LINUX DEBIAN

     

... Ubuntu Linux basé sur Debian inclut Gnome 2.8, noyau 2.6.8.1, OpenOffice.org 1.1.2 et est livré avec une procédure d’installation simple mais basée sur du texte. Ubuntu a désactivé l'utilisateur root, préférant utiliser sudo comme le fait Mac OSX ...

    
réponse donnée Rinzwind 19.10.2015 - 11:54
la source
6

Je crois que ce qui est écrit sur la page d'aide est suffisamment clair et suffisamment objectif.

Ubuntu est "pour tout le monde" et même si vous êtes assez bon, vous n'avez pas besoin d'un accès root pour endommager votre ordinateur , en même temps, vous n'en avez presque pas besoin (et vous savez comment l'activer facilement).
Donc, le problème n'est pas avec les gens qui sont "assez bons", mais pour tout le monde, qui peuvent venir de Linux depuis un autre monde informatique et le premier impact est avec Ubuntu (et nous sommes nombreux).

Si vous n'êtes pas un expert et ne savez pas exactement ce qu'est root et comment le gérer correctement, vous ne voulez ni ne voulez qu'il soit activé (et risquez, par exemple, de vous connecter avec un graphique) ).
Il est préférable d'apprendre à faire les choses en toute sécurité, puis de passer à un chemin plus dur et plus dangereux que de commencer directement par le chemin difficile et d'endommager votre installation / poste de travail, d'être frustré et de ne pas pouvoir récupérer complètement. système.
En général, mieux vaut prévenir que guérir.

    
réponse donnée dadexix86 19.10.2015 - 12:00
la source

Lire d'autres questions sur les étiquettes