启用Ubuntu root帐号密码保护[Linux安全]

　　在向大家具体介绍root之前,首先让大家理解下Ubuntu root,然后全面介绍Ubuntu root,但愿对大家有效.Ubuntu 关于桌面和服务器都是符合的.当前 Ubuntu 公布版支持 Intel x86 (IBM-compatible PC),

　　AMD64 (Hammer) and PowerPC (Apple iBook and Powerbook, G4 and G5) 架构.在 Ubuntu, 传统 UNIX ’Ubuntu root’ 被屏蔽了 (也就是 你不能利用 Ubuntu root 来登录). 这样挑选的缘由在本文的背面做出描写.

　　快速答复

　　利用 Ubuntu root 权限履行号令, 在每个号令前面加上 ’sudo’ 号令, 比方 sudo chown bob *你将会提醒输入你的口令, 口令将保存 15 分钟. 过了这个时间, 你将需求重新输入你的口令

　　在利用 Ubuntu 时,举荐利用 sudo.

　　启动一个 Ubuntu root shell (比方 一个你能运行 Ubuntu root 号令的窗口) 利用: sudo -s

　　告诫: sudo -s 不会窜改环境变量 ($HOME, $PATH 等). 他有一些不好的副作用. 你能用 sudo -i 初始化整个 Ubuntu root 环境.

　　为了启用 Ubuntu root 帐号 (也就是 设置一个口令) 利用: sudo passwd Ubuntu root

　　当你利用完毕后屏蔽 Ubuntu root 帐号 利用: sudo passwd -l Ubuntu root

　　这个将锁住 Ubuntu root 帐号.

　　给图象界面的利用程式 Ubuntu root 权限,利用以下二者中的全部一个: gksudo [application] 或: kdesu [application]

　　Ubuntu 中的 kdesu 已改正成利用 sudo.

　　利用 sudo 和 gksudo/kdesu 相反, 有大概产生文件的全部权问题 .这种情势的好处缺省禁止 Ubuntu root 的好处包含了以下内容.起先 Ubuntu 团队但愿安装尽大概的简单. 不利用 Ubuntu root , 在安装期间的两个用户交互步骤能省略. (科林?沃森)

　　更进一步, 假如在安装中利用 Ubuntu root, 用户将被需求永久记着他们挑选的密码--即便他们非常少利用到他. Ubuntu root 密码常常被对 Unix 安全模子不熟习的用户忘掉. (马特?齐默曼)

　　他避免了缺省登录时 "我能做全部事情" --在较大的改变发生之前,你将被提醒输进口令,这能使你考虑你这样做的后果. 假如你作为 Ubuntu root 登录, 你能删除一些 "没用的目录" 并且不会意识到你正处于错误的目录,当时已太晚了. 他是在 Unix 下长时间利用 "su-command-^D" 操练的情形下,替换一向呆在 Ubuntu root shell--除非你做严重的系统保护 (当时你仍旧能利用 "sudo su"). (吉姆?奇塔姆 和 安德鲁?索巴拉)

　　Sudo 增添了运行号令的日记记录 (在 /var/log/auth.log). 假如你陷入窘境, 你老是能返回并瞥见那些运行的号令. (安德鲁?Zbikowski)

　　安全

　　和传统的 superuser 模子相比,这种办法有差别的利弊,二者都不老是显示优异的.在鼓舞利用 Ubuntu root 权限履行一个独立的号令, sudo 好过翻开一个 shell:

　　削减利用 Ubuntu root 权限的时间总耗用, 降低了不注意利用 Ubuntu root 履行号令的风险

　　供应了有效的考核痕迹

　　有一个独立的 Ubuntu root 密码 (传统模子) 供应了一层额外的保护,当假如一个管理员的密码被侵害时.

　　无论怎样, 假如管理员 (利用 sudo 或 su 变成 Ubuntu root) 被侵害, 攻击者普通能通过一次间接的攻击来得到 Ubuntu root

　　利用 "sudo" 情势大概的问题

　　固然桌面利用 sudo 的是有利的,不过还是有些大概的问题需求注意.

　　一些来自 universe 的包将有力的废除 (比方 webmin) 或让利用变得危险. 一个好的变通办法是在处理受影响的包之前激活 Ubuntu root 帐号 (sudo su-; passwd ) 并在背面锁住 (su -; passwd -l).

　　运行利用 sudo 的号令重定向输出大概引发新用户问题 (考虑 "sudo ls > /Ubuntu root/somefile"). 变通办法是利用 "sudo sh -c ’ls > /Ubuntu root/somefile’" (但这种替换变得非常丑陋), 利用 Adverbio, 或简单的利用 sudo -s 得到 Ubuntu root shell ,在那边履行.

　　MattZimmerman: 关于大大都的简单办理办法是利用 dd(1): ls | sudo dd of=/Ubuntu root/somefile

　　在很多办公室环境系统上唯一的用户就是 Ubuntu root. 全部其他用户利用 NSS 本领比方 nss-ldap 导入. 安装一个工作站www.britepic.org, 或修复他, 在这个案例网络失利,招致 nss-ldap 被断开, Ubuntu root 被需求利用. 这中偏向于留下系统无法利用,除非被破解.

　　JerryHaltom: 大概在那些案例必须成立一个本地帐号: "admin" 拥有 sudo 到 Ubuntu root 权限.

　　LucasVignoliReis: 我认为这是个好的主张, 一个 sudoer 系统管理员帐号, 和一个普通帐号给其他的用户.

　　曲解

　　sudo 没有 su 安全?

　　基本的安全模子都是相同的, 因此这两个系统有着一致的主要弱点. 全部利用 su 或 sudo 必须是个特权用户.假如攻击者侵害了那个用户的帐号, 下次用户这样做时,攻击者一样能得到 Ubuntu root 特权. 用户在这条链上是个弱的衔接, 因此必须作为 Ubuntu root 用户当心保护. 在更深的层次, sudo 供应差别的工作本领, 这些必定能影响到系统的安全. sudo 普通被用来只履行单一的号令, 当 su 被普通利用翻开一个 shell 并履行多条号令. sudo 尽大概削减一个脱离时被翻开 Ubuntu root shell 的大概性, 并鼓舞削减用户的 Ubuntu root 特权.

　　我不能进入单用户情势!

　　在 Ubuntu 的 sulogin 程式被筹划改正来处理被锁住的 Ubuntu root 口令.