Op Linux is de rootgebruiker gelijk aan de beheerdergebruiker op Windows. Hoewel Windows al lang een cultuur kent van gemiddelde gebruikers die inloggen als beheerder, moet u niet als root inloggen op Linux.
Microsoft heeft geprobeerd de Windows-beveiligingspraktijken te verbeteren met UAC - u moet niet inloggen als root op Linux voor hetzelfde reden waarom u UAC op Windows niet moet uitschakelen .
Waarom Ubuntu Sudo gebruikt
Het ontmoedigen van gebruikers om als root te draaien is een van de redenen waarom Ubuntu gebruikt sudo in plaats van su . Standaard is het root-wachtwoord vergrendeld op Ubuntu, dus gemiddelde gebruikers kunnen niet inloggen als root zonder hun best te doen om het root-account opnieuw in te schakelen.
Op andere Linux-distributies was het historisch mogelijk om in te loggen als root vanaf het grafische inlogscherm en een root-desktop te krijgen, hoewel veel applicaties klagen (en zelfs weigeren om als root te draaien, zoals VLC doet). Gebruikers van Windows besloten soms om in te loggen als root, net zoals ze het Administrator-account op Windows XP gebruikten.
Met sudo voer je een specifiek commando uit (voorafgegaan door sudo) dat root-privileges krijgt. Met su zou je het su commando gebruiken om een root-shell te krijgen, waar je het commando zou uitvoeren dat je wilt gebruiken voordat je (hopelijk) de root-shell afsluit. Sudo helpt bij het afdwingen van best practices, door alleen opdrachten uit te voeren die als root moeten worden uitgevoerd (zoals software-installatieopdrachten) zonder dat u een rootshell achterlaat waar u ingelogd kunt blijven of andere applicaties als root kunt draaien.
De schade beperken
Wanneer u zich aanmeldt met uw eigen gebruikersaccount, kunnen programma's die u uitvoert niet naar de rest van het systeem schrijven - ze kunnen alleen naar uw basismap schrijven. U kunt geen systeembestanden wijzigen zonder rootrechten te verkrijgen. Dit helpt uw computer te beveiligen. Als de Firefox-browser bijvoorbeeld een beveiligingslek had en u deze als root gebruikte, zou een schadelijke webpagina naar alle bestanden op uw systeem kunnen schrijven, bestanden in de basismappen van andere gebruikersaccounts kunnen lezen en systeemopdrachten kunnen vervangen door gecompromitteerde degenen. Als u daarentegen bent aangemeld als een beperkt gebruikersaccount, zou de kwaadwillende webpagina geen van deze dingen kunnen doen - het zou alleen schade kunnen toebrengen aan uw thuismap. Hoewel dit nog steeds problemen kan veroorzaken, is het veel beter dan uw hele systeem in gevaar te brengen.
Dit helpt u ook te beschermen tegen kwaadwillende of gewoon buggy-applicaties. Als u bijvoorbeeld een toepassing uitvoert die besluit om alle bestanden waartoe deze toegang heeft, te verwijderen (misschien bevat deze een vervelende bug), zal de toepassing onze thuismap wissen. Dit is slecht, maar als u back-ups heeft (wat u zou moeten doen!), Is het vrij eenvoudig om de bestanden in uw thuismap te herstellen. Als de toepassing echter root-toegang had, zou het elk bestand op uw harde schijf kunnen verwijderen, waardoor een volledige herinstallatie nodig is.
Fijnmazige machtigingen
Terwijl oudere Linux-distributies volledige systeembeheerprogramma's als root draaiden, gebruiken moderne Linux-desktops PolicyKit voor nog meer fijnmazige controle over de machtigingen die een applicatie ontvangt.
Een softwarebeheertoepassing kan bijvoorbeeld alleen toestemming krijgen om software op uw systeem te installeren via PolicyKit. De interface van het programma zou draaien met de beperkte machtigingen van de gebruikersaccount, alleen het deel van het programma dat software installeerde, zou verhoogde machtigingen krijgen - en dat deel van het programma zou alleen software kunnen installeren.
Het programma heeft geen volledige root-toegang tot je hele systeem, wat je zou kunnen beschermen als er een beveiligingslek in de applicatie wordt gevonden. PolicyKit staat ook beperkte gebruikersaccounts toe om enkele wijzigingen in het systeembeheer aan te brengen zonder volledige root-toegang te verkrijgen, waardoor het gemakkelijker wordt om als een beperkt gebruikersaccount te draaien met minder gedoe.
Met Linux kun je als root inloggen op een grafisch bureaublad - net zoals je elk bestand op je harde schijf kunt verwijderen terwijl je systeem draait of willekeurige ruis rechtstreeks naar je harde schijf schrijven, waardoor je bestandssysteem wordt vernietigd - maar dat is het niet geen goed idee. Zelfs als je weet wat je doet, is het systeem niet ontworpen om als root te worden uitgevoerd - je omzeilt veel van de beveiligingsarchitectuur die Linux zo veilig maakt.
