juu, mutta root-tiliä ei välttämättä tarvita, jos avainkäyttäjillä on sudot.
Siinä vaiheessa menee jo vikaan kun avainkäyttäjällä on vain _yksi_ salasana järjestelmässä. Yksi salasana jolla kirjaudutaan käyttäjätilille ja _sama_ salasana jolla saadaan root oikeudet sudon avulla. #1 tietoturvan rikkominen välittömästi kun opetetaan käyttämään vain _yhtä_ salasanaa niin tavallisena käyttäjänä kuin ylläpitotehtävissä. Mikään muu ei korjaa tätä virhettä kuin käyttämällä useampaa salasanaa eri asioissa.
kun tässä nyt aletaan historianluentoa pitämään, niin tarkennetaan sen verran, että käytäntö oli kyllä yleensä niin, että tietylle ryhmälle oli määritelty sudot ja sudoja tarvitseva käyttäjä lisättiin tähän ryhmään. ryhmän nimi oli perinteisesti wheel. eli homma hoidettiin tasan samalla tavalla kuin ubuntussa nykyään, joskin ubuntussa kyseisen ryhmän nimi on poikkeuksellisesti admin. rajoitettujen oikeuksien käyttäjät ovat tietysti erikseen.
Tuo tuli vasta sen jälkeen kun sudo kehitetiin. Minä puhuin vaiheesta kun ei koko sudoa ole ollut olemassa vaan pelkkä root tili. Jokainen voi tajuta sen tilanteen jos on vain root tili, jolle tietenkin vain yksi salasana ja sitä salasanaa jaetaan kaikille jotka tarvii millään tavoin oikeuksia oman kotihakemiston ulkopuolelle ja millainen ongelma siitä syntyy kun salasana paljastuu niille joiden ei kuulu sitä tietää tai työntekijä lähtee yrityksestä.
Sudo kehitettiin korjaamaan tämä tilanne ja juuri käyttämällä "wheel" ryhmää (tai vastaavaa) ylläpidon helpottamiseksi.
Nyt muunmuassa Ubuntu käyttää sudoa väärin.
no ei. ubuntu käyttää sudoa tasan samalla tavalla kuin sitä on perinteisestikin käytetty, ainoana erona on se, että rootin tili ei ole ollenkaan aktiivinen.
Eli nimenomaan väärin kun ei ole sudo käyttäjän toimia rajoitettu vain tarpeellisiin tehtäviin (ei olemaan root korvike) ja root tiliä koko systeemin hallintaan. Tämä on se perinteinen tapa joka on turvallisin.
jos käyttäjiä on vain yksi, salasanoilla ei ole kamalasti väliä. niillä alkaa olemaan merkitystä ainoastaan verkkoympäristöissä ja monen käyttäjän järjestelmissä.
Kyllä on merkitystä, tässähän onkin yksi avainongelma = opetetaan että on vain yksi salasana kun täytyisi opettaa tietoturva _alusta lähtien_ oikein että jokaiseen eri palveluun ja tilanteeseen annetaan toinen salasana.
Tämähän on ongelma kun ihmiset ovat oppineet tämän väärän tavan ja sitten on yksi salasana niin sähköposteissa, nettipalveluissa ja vieläpä pahimmillaan puhelimen PIN-koodissa kuin kodin varashälyttimessä ja pankkikortin PIN-koodissa. Kyllä vain olen tavannut henkilöitä joilla näin on koska he eivät halua joutua muistamaan kuin vain yhden salasanan ja heidän elämän digitaalinen tietoturva on arvoltaan 0 kun yhdelle paljastuu se salasana.
edelleen, tämä on se kohta joka vaatii minusta perusteluja, ei luentoja siitä miten asiat on joskus saatettu tehdä. minusta on aivan yhdentekevää joutuuko hyökkääjä murtamaan rootin jai joukon salasanan jos sen murtaminen antaa käyttäjälle pääkäyttäjän oikeudet. paitsi tietysti niin, että yleensä on aika turvallista veikata rootilla olevan ko. oikeudet.
Root salasanaa ei voi murtaa oletuksena oikein asetettuun systeemissä kuin vain pääsemällä koneeseen käsiksi paikan päällä. Sama asia on että systeemiin ei pääse ottamaan mitään etäyhteyttä verkosta. Tällöin tietoturva on jo parempi. Jos käyttäjätilillä on sudo, niin se murrettaan vielä helpommin kuin root tili, kun käyttäjällä on mitä todennäköisemmin salasanana jokin muissa palveluissa käytetty tai tuttu salasana kuten vaikkapa armeijaaikana käytetyn palvelusaseen sarjanumero tai vastaavia, jotka löytää hyvin helposti kun henkilöä seuraa vähän aikaa, riittää että saadaan vaikka kirjautumaan palveluun joka on tekaistettu ja sinne valahtaa niin helposti se yksi ja sama salasana kuin käyttäjätunnus koneella ja kappas vain, sehän onkin samalla root oikeudet järjestelmään.
Jälleen kerran pelastus tältä on käyttää joka paikassa eri salasanoja ja käyttäjätunnuksia kuin vain yhtä.
Jos sudoa haluaa väkisin käyttää, niin se täytyy aktivoida toiselle tilille kuin sille mitä käyttää päivittäin. Tärkeää on suojella myös omilta mokilta siten että ei hyväksytä sitä salasanaa kuin millä kirjaudutaan tilille sisään.
ja se ei lisää tietoturvaa pätkääkään, että oppii nopeasti antamaan jonkun toisen salasanan kun vaan pastettaa komentoja.
Eli jos käyttäjällä on 5 eri salasana/käyttäjätunnus yhdistelmää niin se ei lisää tietoturvaa yhtään sen enempää kuin että käyttäjällä on vain yksi salasana ja käyttäjätunnus kaikkiin viiteen eri palveluun?
Mieti mitä tapahtuu kun joku saa tietoon sen yhden salasanan ja käyttäjätunnuksen vaikkapa nettifoorumille, sieltä päästään heti sähköpostiin ja muihin paikkoihin koska niitä ei suojella muilla käyttäjätunnuksilla ja salasanoilla.
Aivan tietoturvan perusteita joita täyityisi noudattaa. Tämä on myös peruspsykologiaa, kun puhelin kysyy PIN-koodia niin ihminen tietää mikä salasana täytyy antaa, eikä hän kirjoita siihen henkilötunnuksen loppuosaa (paitsi jos ne ovat sama, jolloin tietoturva on jälleen kerran riskeerattu pahasti) koska hän erottaa ne eri asioiksi. Kun ihminen oppii sen asian että yksi salasana on sellainen joka voi poistaa kaikki tiedostot tietokoneessa jota ei anneta missään tilanteessa heppoisin perustein, niin kun sitä salasanaa kysytään niin käyttäjällä välähtää valo "Hei, mitäs ollaan tekemässä". Jos on yksi ja sama salasana ja käyttäjätunnus niin se annetaan hyvin herkästi kun täytyy uusi käyttäjätili luoda jonnekkin.
Liian monet käyttäjät käyttävät samaa tunnusta ja vieläpä samaa salasanaa niin kotikoneella kirjautumiseen kuin nettipalveluissa sähköpostiin ja foorumeilla ynnä muille.
tämä ei ole sudon tai ubuntun ongelma, vaan yleisesti huono tapa.
Tämä on nimenomaan se Ubuntun ongelma. Ubuntu opettaa siihen että on yksi salasana käyttäjätilille ja samalla salasanalla tehdään pääkäyttäjän toimet systeemissä. jos Ubuntussa oltaisiin järkeviä, sudoa käytetääisiin vain tiettyihin palveluihin kuten käynnistämään/sammuttamaan systeemin palveluita mutta ei asentamaan ohjelmia tai kirjoittamaan tiedostoja systeemikansioihin. Niitä varten käytettäisiin toista tunnusta ja ennen kaikkea toista salasanaa. Kuten sanoit, yleisesti huono tapa ja Ubuntun tapa on juuri sellainen ja _on_ huono tapa.
Helppohan se on sanoa osaavampana käyttäjänä "en mä koskaan vahingossa sitä käytä väärin" mutta tavallinen käyttäjäpä käyttää.
kokeneemmatkin käyttäjät tekevät virheitä. ei omistanikaan isoista mokista ole turhan kauan aikaa. eikä niitä olisi estänyt erillinen rootin tilikään.
Jos jatkuvasti on yksi komentorivi auki root oikeuksilla ja sinne aina sitten tekee asioita, niin sitä ei suojaa root tili. Mutta jos joudutaan ensin antamaan salasana komennon suorittamiseksi, niin tällöin ajattelutapa muuttuu koska jälleen kysytään toista salasanaa joka on opetettu pidettäväksi huolellisesti tallessa ja käyttämään varovasti. Peruspsykologiaa jota vastaan ei voi väittää vastaan. Kun on useampi salasana ja käyttäjätunnus, niin todellakaan ei niin herkästi anna niitä tietoja sellaisiin paikkoihin joissa niitä ei kysytä. Vai kuinka moni kirjoittaa puhelimensa PIN-koodin kun lomakkeessa pyydetään antamaan HETU-lopputunnus? (paitsi jos ovat jälleen kerran sama)
Pahinta on siis vieläpä juuri tämä väärä opettaminen yhden salasanan käyttöön.
tätä voi hokea, mutta en ole vieläkään nähnyt perusteluja sille miksi se olisi väärä tapa.
No, mielestäsi on huono tapa että on yksi salasana ja kuitenkaan et ole nähnyt perusteluja. Olisiko vain kyseessä että nyt ei pystytä huomioimaan mistä oikein on kyse?
tässäkin sanotaan "oikeati pitäisi tehdä näin ja näin" kun pitäisi kertoa "oikeasti pitäisi tehdä näin ja näin, koska..."
sitä paitsi minä en antaisi taviskäyttäjän asentaa minun ylläpitämälläni koneella edes tietoturvapäivityksiä, sikäli kun se aptin suhteen olisi edes mahdollista.
Kyllä se on aptin suhteen täysin mahdollista, kyse on jälleen kerran sudosta. Sudo on tehty juuri sellaisiin tarkoituksiin että tietyille henkilöille annetaan oikeudet tiettyihin tehtäviin. Voit vaikka luoda uuden käyttäjätunnuksen, lisätä sen visudo ohjelmalla listaan ja laittaa oikeuksiksi vain käyttää apt:ta. Tätä varten vielä kehitettiin tarkemmat oikeudenhallinnat kuten SELinux ja PolicyKit joilla voit helposti määritellä kuka saa tehdä ja mitä. Minulla on asetettu niin että koneet joihin minulla on root oikeudet mutta en ole viikottain paikalla, on tietyillä luotetuilla henkilöillä oikeudet asentaa tietoturvapäivitykset. Mutta ei suositeltavia päivityksiä tai korjauspäivityksiä, pelkästään tietoturvapäivitykset. Oikeuksia annetaan sitä mukaan enemmän mitä valveutuneempi käyttäjä on. Käyttäjä oppii tietoturvan oikein ja täten se suojelee kaikkia systeemiä käyttäviä henkilöitä, tietoverkkoa jossa kone on ja niin edelleen. Ongelma on vain että liian moni Unix -kaltaisiin systeemeihin siirtyvät eivät ota tietoturvaa vakavasti jos heiltä ei ole sitä vaadittu vaikka Windows -systeemeissä.
turvallisten salasanojen vaatiminen on varmasti ihan hyvä juttu, mutta en ole törmännyt mihinkään (linux)järjestelmään joka vaatisi, että käyttäjän salasana olisi eri kuin rootin. itse asiassa tuo olisi sikäli huonoa tietoturvaa, että se mahdollisesti paljastaisi käyttäjälle rootin salasanan, vaikka taviksilla ei olekaan oikeuksia nähdä edes rootin kryptattua salasanaa.
Ei käyttäjälle sitä näytetäkkään koska se nimenomaan paljastaisi, vaan että root tilin salasanaa luodessa varoitetaan että kyseinen salasana on käytössä. Root jo näkee kaikkien muiden salasanat joten siinä varoituksessa ei ole mitään vaarallista. Tällä vain estetään se että ylläpitäjä ei vahingossa laita root salasanaksi sellaista mitä joku voisi vahingossa jo kirjoittaakkin.
minusta tuossa ei ole mitään oikeaoppisempaa. ubuntu seuraa aika tarkasti tuota vanhaa wheel-ideaa ja kuten sanoit, sillä saavutetaan samat edut.
Eihän sudon avulla voi esimerkiksi GDM-ruudussa kirjautua sisään kun ei root tunnusta ole näkyvillä eikä hyväksytä. Mutta käyttäjä voi käynnistää sudona toisen X palvelimen, mikä ei onnistu root tilillä edes. (tämä perustuu vanhempiin Ubuntun versioihin muutama vuosi sitten). Joten jälleen kerran tietoturva on heikompi.
jos käyttäjä tietää minkä tilin salasana on murrettava, niin silloin niitä murrettavia salasanoja on vain yksi. riippumatta siitä kuinka monta käyttäjää tai salasanaa järjestelmässä sattuisi olemaan. yksi salasana ei ole parempi kuin kaksi, mutta ei se ole tässä suhteessa heikompikaan.
Tämä on se suurin ongelma rootilla jos ylläpitäjä ei tiedä perusteita ja vaihda rootin käyttäjätunnusta toiseksi. Tämä on ainoa perustelu miksi sudoa perustellaan "turvallisemmaksi" ubuntussa. Minun systeemeissä root tunnus on vaihdettu toiseksi tätä varten.
Koska nyt puhutaan käytännöstä, missä on ihminen mukana niin herkemmin käytetään yhtä salasanaa tai se salasana on johdettavissa jostain helposta paikasta kun sitä täytyy jatkuvasti käyttää. Sellaiset tilanteen missä ei helppoa salasanaa sallita edes syöttää tai muistutetaan tarkasti valitsemaan salasana joka on monimutkainen niin systeemi on paremmin suojassa käyttäjän omilta virheiltäkin kun yksi helpompi salasana ei ole sama kuin ylläpitoihin vaadittava. Tässä suhteessa Ubuntu on vaarallinen kun opetetaan vain yhden salasanan käyttöä eikä edes vihjaista että useampia erilaisia salasanoja täytyy vähintään käyttää joka paikassa jos haluaa väkisin käyttää samaa käyttäjätunnusta.
Kuvitteleppa yleinen tilanne missä on henkilökortti käytössä, ubuntun tavalla pelkästään kortin varastamalla ja salasanan paljastumisen myötä päästäisiin kirjautumaan sisään ja kirjautumaan järjestelmään sudoeriksi korttilla kun tehdään tunnistuskin. Mutta jos on root tili käytössä, niin kortilla ja salasanalla ei tee yhtään mitään muuta kuin käyttäjätilin osalta. Tämä vaatisi että saadaan root tilin nimi ja salasana selville niiltä jotka osaavat sitä suojella. Paljon vaikeampaa.
vaikka rootin nimi olisi vaihdettu se on hyvin helppo selvittää, jos pääsee kirjautumaan koneelle jollain muulla tunnuksella. tuo vaihtaminen on ikäänkuin turhaa.
Kerros miten tavallisena käyttäjänä listaat systeemissä olevat käyttäjätunnukset ja niiden käytttäjätason?
Että olisi ihan yhtä helppoa kuin jossain B-luokan elokuvassa missä "hakkeri" näpyttelee ruudulle "find users" ja sitten tulee lista jossa lukee "AleX = root" ja sitten "hakkeri" kirjoittaa "crack AleX password"?
Tavallinen käyttäjä ei saa mistään tietoon suojellussa systeemissä mitä käyttäjätunnuksia olemassa, listauksia ei saa kotihakemiston ulkopuolelta tehtyä. Mitään listaa millään tavoin ei voi saada. Jopa perinteiset komennot joilla voi kysyä että ketä käyttäjiä on sillä hetkellä kirjautunut, estetään. Olet kuin ainoa käyttäjä systeemissä jolla ei ole root oikeuksia yhtään mihinkään. Jos taas krakkeri pääsee tietokoneen luokse fyysisesti niin tuolloin tietoturva on lähes nolla jos ei ole kiintolevyt salattu ja salasanoja kysytä joka paikassa, siitä huolimatta paljon heikompi. Jos taas etänä pääsee jälleen kerran systeemiin sisälle tavallisena käyttäjänä, voidaan alkaa kokeilemaan yleisiä haavoittuvuuksia joilla voitaisiin saada exploitattua root oikeudet iteselleen. Jälleen kerran tällöin on tärkeämpää että kaikilla systeemiiin kirjautuvilla henkilöillä on eri salasana käytössä kuin missään muualla. Ja jälleen on tärkeämpää että jos ei root oikeudet omaava henkilö ole paikalla aina kun tulee tietoturvapäivityksiä, nii luotettava henkilö pystyy asentamaan ne, jotta minimoidaan tälläisten tapauksien riskiä.
ja tämä taas liittyy palveluiden konffaamiseen eikä sudoon. palvelut voi konffata miten tahansa, oli käytössä sitten root+sudo tai pelkkä sudo.
Tuo on vain esimerkki siitä että root tiliin ei pääse käsiksi verkosta vaikka se olisi aktiivinen. Ei ole syytä olla sitä disabloituna ja sen vuoksi sudo olisi jotenkin kummallisesti "turvallisempi" kuin nimenomaan oikein käytettynä root + sudo.
Ubuntussa siis ollaan riskeerattu tietoturva helppouden nimissä ja pitkässä juoksussa se opettaa käyttäjiä väärille toimille.
edelleen syytöksiä ilman perusteluja.
Edelleen olet siis sitä mieltä että kaksi eri salasanaa eri paikkoihin, annetaan aivan yhtä helposti kuin yksi salasana joka paikassa. Tämä kertoo jotakin kyllä. Ehkä onkin syytä sitten sanoa tästä lähtien kaikille että on aivan turvallista käyttää yhtä ja samaa salasanaa joka paikassa koska se on turvallinen tapa.
tai sitten tehdään vaan kaikki toimenpiteet rootshellissä, koska niitä herjoja tulee aina toisinaan, eikä jaksa aina erikseen vaihtaa rootiksi. kätevämpää vaan pitää se rootshell auki ja nakuttaa kaikki komennot sinne. ei tarvita edes salasanaa, kaikki vaan toimii.
Oikein asetettu tietoturva sulkee root shellin tietyn ajan kuluessa, aivan kuten sudolla loppuu aika.
Muutoinkin eri salasanoilla kuuluu juurikin se opetus niiden käytöstä. Heti kun ei root shelliä tarvita, kirjaudutaan ulos. Aivan samalla tavalla kuin että poistaa työaseman luota niin kirjaudutaan ulos tai vähintään lukitaan se niin että muut voivat kirjautua sisään "Switch user" nappia painamalla mutta eivät pääse tiedostoihin käsiksi. Ne jotka eivät tietoturvasta välitä tietyissä tilanteissa tekevät tuollaisia virheitä koska eivät osaa kun heille ei ole opetettu alunperin oikeaa toimintatapaa.
Sudon oikeaoppinen ja turvallinen käyttö on aina root-tason tilin kanssa tehty, ei koskaan yksinään kun silloin on sama että antaisi käyttäjän käyttää root tiliä mutta välillä vain kyseltäisiin yhtä ja samaa salasanaa tai jotain varmistus-boxia toimenpiteistä mitä ollaan tekemässä.
paitsi jos root-tili on olemassa, niin silloin käyttäjän annetaan oikeasti käyttää root-tiliä. ei tämä eroa tietoturvan suhteen pelkästä sudosta mitenkään.
Ubuntu sudo == root tili jossa kysytään yksi ja sama salasana tietyissä tapauksissa. Ei ole mitään mitä ei sudoers voisi tehdä Ubuntussa sudo komennon avulla, kaikki oikeudet kuin rootilla ja sitä opitaan heti antamaan se salasana herkästi joka paikassa, käyttämään herkemmin yhtä ja samaa salasanaa kaikkialla jolloin sen yhdenkin salasanan antaminen on helposti tapahtuva, ilman että oikeasti ajattelee mitä ollaan tekemässä. Kun ihminen oppii Windowsillakin siihen että klikataan Yes, yes, Accept niihin hyppy-ikkunoihin Windowsissa ja sitten tarttuukin virus tai mato kun ei luettu sitä mitä kysyttiin. Homma olisi vältetty sillä että sen sijaan olisi pitänyt katsoa mitä kysytään tai jokin User Account Control palvelun käyttämisellä.
Ubuntussa eri salasanan virkaa korvaa "sudo" komennon edessä. Hyvin kevyt suojaus verrattuna siihen että kysyttäisiin eri salasanaa.
Ubuntussa ei ole tällä hetkellä mitään kunnollista perustetta miksi sudo olisi turvallisempi tai yhtä turvallinen kuin root + sudo yhdistelmä. Sen sijaan käyttäjä oppii toimimaan väärällä tavalla joka heikentää käyttäjän omaa tietoturvaa muuallakin kuin vain tietotekniikassa kun opittua tapaa sovelletaan helposti kaikkialla.
Ubuntun tietoturva on riittävällä tasolla vasta silloin kun käyttäjää jolla on sudoers oikeudet, ei käytetä mihinkään muuhun kuin ylläpitotehtäviin. Esimerkiksi voitaisiin sanoa perheen tietokone jota käyttää pääasiassa kaikki muut paitsi isä. Vain isän käyttäjätunnuksella on täydet oikeudet systeemiin kuin muilla ei.
Kun tietoturva otetaan vakavasti ja se tehdään oikein, se ei ole ongelma käytettävyydessä kuin vain ikuisille säätäjille jotka eivät tiedä mitä tekevät. Tämän takia Ubuntuun otettiin sudo käyttöön miten se on, kun haluttiin helpottaa tavallisen käyttäjän toimia tietoturvaa heikentäen.
