¿Riesgo de seguridad en el uso diario de una cuenta de administrador (no root)?

8

Lo único que distingue mi cuenta de administrador de las cuentas normales es que mi cuenta de administrador es miembro del sudogrupo y puede ejecutarse sudo. ¿Es menos seguro usar mi cuenta de administrador para el trabajo diario? ¿Si es así por qué?

Suponga que soy muy cuidadoso al ingresar mi contraseña y sé lo que hace un comando antes de ejecutarlo, por supuesto.

Si utilizo una cuenta normal que no es de administrador para mi cuenta diaria, cuando necesito ejecutar algo como root, lo haría suen mi cuenta de administrador (no en la raíz, ¡ya que no tiene contraseña y está deshabilitada!) Y allí ejecuto el sudocomando en administrador de shell; o, cambiaría de usuarios gráficamente. Por lo tanto, la cantidad de comandos que se ejecutarían es la misma: usar una cuenta normal solo significaría que tengo que ingresar mi contraseña de administrador dos veces cuando ejecuto algo como root.

Entonces, ¿deberían los usuarios avanzados hacer el trabajo diario en una cuenta normal en lugar de una cuenta de administrador? ¿Y porqué o porqué no?

Tenga en cuenta que por "cuenta de administrador" me refiero a una cuenta con privilegios para usar sudopara ejecutar comandos como root, no la cuenta root en sí. Nunca inicio sesión como root.

permissions login password sudo users Byte Commander
fuente

Respuestas:

5

Sin riesgo mientras no sea root

Según tengo entendido para un administrador, o sudousuario, está funcionando como un usuario de escritorio normal , siempre que no lo digamossudo , por lo que no debería haber ningún riesgo adicional.

Riesgo de convertirse accidentalmente en raíz

También es cierto que un usuario que tiene permisos de administrador potencial debe estar atento a dónde, cuándo o a quién le dan su contraseña.

Puedo imaginar (aunque nunca conocí una) una aplicación malvada o un script que te pida tu contraseña sin decirte para qué. Es probable que realice algo con permisos de root, ya que de lo contrario no necesitaría su contraseña. Si no sé qué hace esta aplicación, simplemente no le daría mi contraseña de root.

También somos responsables de descartar el permiso de root nuevamente una vez que hayamos terminado. Siempre es una mala idea permanecer root mientras trabaja con una aplicación gráfica como, por ejemplo, Nautilus.

Riesgo de perder el acceso a la raíz

Otro "riesgo" puede ser que haga algo malo con su cuenta que le impida iniciar sesión. Por lo tanto, siempre creo al menos dos usuarios administradores en cualquier casilla en la que instale Ubuntu. Esto es para el caso de que algo rompa mi cuenta principal.

Takkat
fuente
La primera respuesta que realmente aborda la pregunta. ¡Gracias! Como dije, yo (al menos supongo que yo) tengo cuidado de dónde ingresar mis contraseñas y qué comandos ejecutar. Pero no entiendo por qué necesita dos cuentas de administrador cuando todavía existe el shell raíz del modo de recuperación.
Byte Commander
@ByteCommander Eso solo funciona si tienes acceso físico a la computadora.
Jon Bentley
@ JonBentley tengo. Se trata de la computadora de mi casa en este caso, eso significa que solo tengo acceso físico.
Byte Commander
Err, NO. Tengo un ataque por obtener privilegios de sudo corriendo desde una cuenta que los usa.
Joshua
10

Una cuenta que puede sudo es técnicamente tan capaz como la cuenta raíz (suponiendo un sudoerscomportamiento de configuración predeterminado ) pero todavía hay una gran diferencia entre la raíz y una cuenta que puedesudo :

  • La omisión accidental de un solo personaje no destruirá Ubuntu. Probablemente. Considere intentar eliminar, ~/binpero en realidad ejecutar en rmcontra /bin. Si no eres root, hay menos riesgo.

  • sudorequiere una contraseña, dándote esos milisegundos para resolver cualquier error. También significa que otras aplicaciones no tienen la capacidad de hacer cosas root en su nombre.

Es por eso que recomendamos que las personas no usen la cuenta raíz para el trabajo diario.

Aislarse con otra cuenta "admin" intermediaria (y ejecutarse como un usuario sin sudoacceso) es solo otra capa. Probablemente también debería ser una contraseña diferente.

Sin embargo, es un alboroto adicional y (según las condiciones de su pregunta) si algo puede rastrear su primera contraseña, probablemente puedan obtener la segunda con la misma facilidad. Si nunca cometió errores, y nunca utiliza estas contraseñas seguras en ningún otro lugar (no se puede adivinar ni descifrar), esta solución probablemente ya no sea más segura. Si alguien quiere root, arrancará en recovery, chroot o usará una llave inglesa .

También hay una escuela de pensamiento que señala que [para los usuarios de computadoras de escritorio no empresariales] nada de lo que valoras está protegido de tu usuario . Todos sus documentos, fotos, navegación web historia, etc. pertenece y es accesible por usted o algo funcionando como usted. Del mismo modo que puede ejecutar algo que registre todas sus pulsaciones de teclas, vea su cámara web, escuche en su micrófono, etc.

En pocas palabras, el malware no necesita root para arruinar la vida de alguien o para espiarlo.

Oli
fuente
1
Lo siento, entendiste mi pregunta no del todo correcta. Nunca consideré iniciar sesión como root. Mis opciones son simplemente iniciar sesión como administrador ( sudomiembro del grupo, etc.) - o - iniciar sesión como usuario normal / restringido generalmente y gráficamente o en un terminal al sucambiar al administrador (ingresar la contraseña de administrador) y luego usar sudodesde allí (ingresar contraseña de administrador nuevamente).
Byte Commander
En lo que respecta a obtener la segunda contraseña con la misma facilidad, ese no tiene que ser el caso. Administro mis máquinas de escritorio con Ansible, que se conecta a una cuenta de administrador a través de ssh. Las cuentas de usuario no tienen privilegios de sudo, y no hay necesidad de usar una cuenta de administrador físicamente en el escritorio (de hecho, no es deseable, porque no quiero que mis máquinas se enreden individualmente y que no estén sincronizadas con el descanso).
Jon Bentley
@ByteCommander La segunda mitad de la respuesta se basa en lo que quería, pero las razones para ello son una extrapolación a partir del argumento normal de la raíz-vs-admin. Es otra capa de lo mismo.
Oli
2

Sí, hay riesgos. Si esos riesgos son lo suficientemente grandes como para que usted se preocupe, es una cuestión de preferencia y / o su política de seguridad.

Cada vez que usa una computadora, siempre está en riesgo por los atacantes. Incluso si ejecuta una configuración extremadamente segura, no puede protegerse contra vulnerabilidades aún desconocidas.

Si está utilizando una cuenta sin privilegios de sudo y esa cuenta se ve comprometida debido a ese uso (por ejemplo, un keylogger toma su contraseña), eso agrega una limitación sobre el daño que se puede hacer. Si un atacante compromete una cuenta con privilegios de sudo, también obtiene esos privilegios.

En la mayoría de los sistemas, el uso de sudo hará que su contraseña se recuerde durante 15 minutos de forma predeterminada, lo cual es otro factor de riesgo, a menos que cambie esa configuración.

Jon Bentley
fuente
Iba a mencionar el almacenamiento en caché del derecho a elevar como un riesgo potencial : una secuencia de comandos desconocida podría contener un comando sudo que no se cuestionará, pero a menos que el escritor esté moderadamente seguro de que ha emitido un comando sudo recientemente, en En circunstancias normales, pediría la contraseña, que debería ser una alerta roja de que algo extraño está sucediendo.
TripeHound
@TripeHound Alternativamente, te alejas de la computadora para un descanso en el baño, después de haber autorizado un comando sudo, y alguien más interviene. No veo una distinción en los riesgos entre potencial o de otro modo: la palabra riesgo simplemente implica que hay alguna probabilidad distinta de cero de un resultado indeseable. Sí, en circunstancias normales notarías la solicitud de contraseña. ¿Le importa a su atacante, que plantó ese script en 1000 computadoras y no tiene un objetivo específico en mente?
Jon Bentley
0

Mi respuesta basada en la opinión, porque todo tendría que ser probado matemáticamente, y de eso no tengo idea. ;)

Dos cuentas, una con grupos admy sudosignifica que una cuenta tiene derecho a ejecutar comandos con sudoderechos. Uno sin estos privilegios.

  • Si ha descifrado la contraseña de la cuenta no privilegiada, todavía tiene que descifrar la contraseña de la cuenta privilegiada ahora. -> Ventaja en comparación con una sola cuenta
  • Si ha descifrado la cuenta privilegiada. -> Sin ventaja en comparación con una sola cuenta

La probabilidad es del 50% si no respetas la inteligencia del atacante.

Desde mi punto de vista, es teórico un beneficio de seguridad muy pequeño y pertenece más al ámbito de la teoría de la probabilidad. Pero la pérdida de conveniencia aumenta desproporcionadamente. Depende de qué tan inteligente sea el atacante. No subestimes esta inteligencia. Esa es una falsa sensación de seguridad.

En otras palabras, no, no le brinda ningún beneficio medible, pero pierde mucha comodidad. Al final, todos deben decidir por sí mismos.

AB
fuente
0

Ejecuto exactamente así: un usuario donde hago mis cosas de usuario y un usuario donde solo hago cosas de administrador y cosas de ningún usuario. Incluso las indicaciones de comando son diferentes: ¡los usuarios tienen un indicador verde y los administradores tienen uno rojo!

¿Por qué?

El usuario tenía su propia configuración para todas las aplicaciones que uso por separado del usuario administrador, lo que le permite:

  1. Depurar si un problema está relacionado con el usuario o con el sistema
  2. Tenga la cuenta de administrador como una cuenta de usuario de respaldo en lugar de la cuenta de invitado y la cuenta raíz si algo va realmente mal con su configuración de usuario y ya no puede iniciar sesión.
  3. mantenga los documentos de administración y los documentos de usuario separados en sus respectivos directorios de inicio si elige hacerlo .
  4. Ningún efecto al escribir un accidental sudoantes de un comando.
  5. No hay forma de ver realmente lo que un usuario normal no debería ver.
  6. No hay forma de golpear un error de escalada de privilegios de usuario. (ha habido algunos en el pasado)
  7. Sea un "usuario normal" al igual que todos los demás usuarios de su computadora y sepa cuáles son las ventajas / desventajas.
Fabby
fuente
De acuerdo, pero tener "documentos de administración" (que realmente no tengo) y "documentos de usuario" separados es una gran desventaja en mi opinión, ya que siempre quiero tener todos mis datos en un solo lugar (más copias de seguridad, por supuesto). Lo mismo para la configuración. Básicamente son lo mismo, incluso uso los mismos perfiles de Firefox / Thunderbird de un directorio compartido. Y también hay otras cuentas de usuario normales de otros miembros de la familia, etc., solo estoy hablando de mi propiedad. Espero con ansias más explicaciones como se prometió en (4.), pero todavía no me convenciste, sino todo lo contrario. : - /
Byte Commander
He estado ocupado con RL. Parece que ya tiene una respuesta aceptada, pero agregó algunas razones más como lo prometió. ;-)
Fabby
1
¡Ahora vale la pena! : D
Byte Commander