Riski "roottina toimimisella" on osittain myytti?

[Senior]

TuxTeam.com:ssa kirjoitettiin eräästä asiasta, josta jatkuvasti kuulemme varoittavia neuvoja. "Varo roottina toimimista" jne...

Tuon kirjoituksen mukaan vaara ei kuitenkaan ole työpöytämaailmassa niin ilmeinen kuin usein väitetään. Mm. ei-roottina toimiminen ei estä sitä etteikö tärkeimpiin tietoihisi voisi päästä käsiksi myös muutenkin.

"So it’s pretty obvious that not running as root doesn’t restrict access to the important stuff."

Siis mitä etuja siitä on jos et toimi roottina?

"So what do you gain by not running as root? Well, your system is a lot less likely to be the victim of an ongoing compromise. As root, an attacker can modify your operating system to their liking. Think that’s not much? Guess what: your ssh client now sends the username, host, and password for any system you connect to to a server in China. Or maybe new files you create are uploaded to an anonymous file-sharing site on the internet. Perhaps every key you touch is recorded to grab usernames, passwords, credit card numbers, and your most personal conversations."

Peloittelu roottina toimimisen vaaroista? Paljon melua tyhjästäkö? Vaikea sanoa. Meikäläisellä ei ole riittävää tietoa ja osaamista arvioida asiaa. Mutta jotain voisin kommentoida. Meidän mainiossa maailmassamme peloilla ja peloittelulla on jokatapauksessa yhä voimakkaampi merkitys. Linus Torvalds on toistuvasti todennut, että tietoturva-asiat ovat saaneet kohtuullisista ylipainoa mm. tavallisiin ohjelmabugeihin verrattuna. Tämä ilmeni mm. hänen aika rajussa ja räävittömässäkin FreeBSD-kommenteissa.

http://tuxteam.com/2010/07/30/why-the-risk-of-running-as-root-is-overblown/

[Senior]

Näkemykseni mukaan kirjoituksen tarkoitus ei ollut puolustaa roottina toimimista vaan tuoda esille se, että myös ei-roottina toimiminen ei välttämättä anna 100%:sti turvaa.

Eli eräs kommentoija totesi:

"The point was to illustrate that running as a regular user still places your most valuable assets at risk."

Itse käytän terminalissa roottia lähes päivittäin. Liittyy eteenkin Thunarin ja geditin yhteiskäyttöön. Ja usein minulla on samaan aikaan selain/selaimia auki. Google ja Copy-paste toiminta, you know.

[Immo]

Meidän mainiossa maailmassamme peloilla ja peloittelulla on jokatapauksessa yhä voimakkaampi merkitys.

Voisitko perustella miten tilanne eroaa esim. aikaan ennen globalisaatiota?
Muistaaksen pelolla oli eniten merkitystä keskiaikaisissa monarkioissa, joissa kirkko pystyi pelolla helposti ohjailemaan suuriakin ihmismassoja kiirastulen pelolla. Nykyisen individualismin aikana ei niinkään. Mieleen tulee lähinnä Patriot Actin ajaminen läpi terrorismin pelolla, mutta siihen se jääkin, mitä minä saan muistiini.

"So it’s pretty obvious that not running as root doesn’t restrict access to the important stuff."

Tuossa ei nyt ole mitään uutta. Samaa hallaa se haittakoodi tekee, riippumatta siitä annatko sille kysymättä luvan toimia (siis pääkäyttäjänä), vai ajatko sen Gksudolla (sudo-oikeuksin varustettu järjestelmähän kysyy salasanaa).
Sama asia Windowsissa. Käytät roottina ja UAC antaa vakiona aina varoituksen, kun ajat pääkäyttäjän oikeuksia vaativaa tiedostoa. Sama se onko UAC päällä vai ei, haittakoodin ajaminen tuottaa saman tuloksen.

Mielestäni sudo on mainio keksintö mitä tietoturvaan tulee. Et tarvitse erillistä tiliä pääkäyttäjälle, mutta tiedät silti mikä ohjelma milläkin hetkelle toimii pääkäyttäjän oikeuksin. Itse en työpöytäkäytössä käyttäisi puhdasta root-tunnusta, jolloin jokainen ohjelma selaimesta musiikkisoittimeen saisi ylimääräisiä oikeuksi, joita ne eivät tarvitse, luoden aivan turhan turvallisuusuhan.

[Tha-Fox]

Mandrivaa käyttäessä olen miettinyt, millä oikeuksilla ohjelma toimii seuraavissa skenaarioissa:

1) Käynnistän Mandrivan "Ohjauspaneelin", jolloin minua pyydetään tunnistautumaan roottina. Annan salasanan. Säädän jotain ja jätän paneelin auki. Tämän jälkeen käynnistän selaimen vaikkapa Flashin toimivuuden testaamiseksi. Aukeaako selain nyt rootin oikeuksin?

2) Entä jos painan ennen selaimen käynnistämistä alapalkin keltaista palluraa, jolla voin luopua valtuutuksistani? Käsittääkseni selain aukeaa tällöin normioikeuksin.

3) Entä, jos klikkaan em. palluraa selaimen ollessa auki? Vaikuttaako se jo avatun selaimen oikeuksiin?

Tällaisia olen pohdiskellut käyttäessäni distroa, jossa asioita hoidetaan rootilla sudon sijaan. Molempiin tottuu ajan myötä.

[Tomin]

Tällaisia olen pohdiskellut käyttäessäni distroa, jossa asioita hoidetaan rootilla sudon sijaan. Molempiin tottuu ajan myötä.

Oletko nyt varma ettei siinä ole sudo ihan samallalailla käytössä? Minä nimittäin luulen, että tuo on toteutettu kuten Ubuntunkin lukitukset (kts. Käyttäjät ja ryhmät) yms. eli selainta ajetaan aina peruskäyttäjänä ja noissa on se sudo. Gksudon käyttö tuo Ubuntussakin palkkiin semmoisen valinan, että ota korotetut oikeudet pois käytöstä.

[Immo]

Hmmmm, Ubuntussa ainakin sudo oikeudet jäävät päätteen sisään, kun ne siinä ajetaan, mutta kun järjestelmän päivittää, ilmestyy palkkiin avaimen kuva, jota napsauttamalla saa oikeudet veks. Ovatko oikeudet silloin jotenkin laajemmat, vai minkä takia näin?

[Tha-Fox]

Tällaisia olen pohdiskellut käyttäessäni distroa, jossa asioita hoidetaan rootilla sudon sijaan. Molempiin tottuu ajan myötä.

Oletko nyt varma ettei siinä ole sudo ihan samallalailla käytössä? Minä nimittäin luulen, että tuo on toteutettu kuten Ubuntunkin lukitukset (kts. Käyttäjät ja ryhmät) yms. eli selainta ajetaan aina peruskäyttäjänä ja noissa on se sudo. Gksudon käyttö tuo Ubuntussakin palkkiin semmoisen valinan, että ota korotetut oikeudet pois käytöstä.

En ole varma. Mandrivaa on nyt käytetty viikon verran, joten en ole oikeastaan mistään varma Sinänsä tuo kyselyikkuna on samantyylinen kuin gksudoa käytettäessä. Se vain hämää, että se kysyy nimenomaan rootin salasanaa. En muista, mitä siinä Ubuntun puolella mainitaan.

[Jallu59]

Suurin riski roottina toimimisessa on käyttäjän huolimattomasti antamat tiedostokomennot. Samat mokat voi kyllä tehdä sudonakin 

Korjailinpa kerran viisi tuntia tiedostojen oikeuksia, kun olin muutellut niitä roottina vähän  huolimattomasti 

Roottina saa siis tehtyä tehokkaasti asioita, mutta myös tehokkaasti virheitä 
Miten minulle tuosta tulee mieleen myös c-kieli 

T:Jallu59
 

[Tomin]

Tällaisia olen pohdiskellut käyttäessäni distroa, jossa asioita hoidetaan rootilla sudon sijaan. Molempiin tottuu ajan myötä.

Oletko nyt varma ettei siinä ole sudo ihan samallalailla käytössä? Minä nimittäin luulen, että tuo on toteutettu kuten Ubuntunkin lukitukset (kts. Käyttäjät ja ryhmät) yms. eli selainta ajetaan aina peruskäyttäjänä ja noissa on se sudo. Gksudon käyttö tuo Ubuntussakin palkkiin semmoisen valinan, että ota korotetut oikeudet pois käytöstä.

En ole varma. Mandrivaa on nyt käytetty viikon verran, joten en ole oikeastaan mistään varma Sinänsä tuo kyselyikkuna on samantyylinen kuin gksudoa käytettäessä. Se vain hämää, että se kysyy nimenomaan rootin salasanaa. En muista, mitä siinä Ubuntun puolella mainitaan.

Jos Ubuntussa asennat muuna kuin admin käyttäjänä ohjelmia niin se kyselee adminin salasanaa, joten eiköhän tuossa ole samasta asiasta eri tavalla toteutettuna kyse.

[retu]

Mandrivaa käyttäessä olen miettinyt, millä oikeuksilla ohjelma toimii seuraavissa skenaarioissa:

Prosessien omistajan näkee "System monitoria" tai top-komentoa käyttäen
Ei tarvii spekuloida tai ihmetellä, kun voit tarkistaa asian...

[jake]

En minä ole mikään linux-guru, mutt eivätpä tunnu nuo muutkaan kommentoijat olevan.
Tuntuu teillä olevan noita winkkarikäyttötapoja iskeytyneenä selkäytimiinne asti.
Ei tietokoneseen tule ikinä - siis työasemaan - kirjautua roottina, niinkuin nuo winkkaria heiluttavat usein tekevät, kun eivät ole kiinnostuneita eivätkä tietoisia tietoturvasta. Pääkäyttäjänä huseeraaminen kun 'helpottaa' asennuksia ja konffaamisia selkeesti, kun käyttis ei koko ajan kysele pääkäyttäjän oikeuksia. Se koettiin Vistassa sietämättömäksi.

No linuxkäyttäjäthän on tottuneet rootin ja sudon käyttöön, luulin aiemmin, mutt toisin lienee kirjoittamistanne päätellen.

Kantsis ehken hiukan tutustua tietoturvakysymyksiin ja linuxin käyttöön yleisestikin.

Minä en ainakaan koko aikaa konffaile työasemaani uuteen uskoon, joten käytän sitä pääsääntöisesti käyttäjänä ja kirjaudun koneeseen AINA vain käyttäjänä. Kyllä se asennettaessa kyselee multa sitt lisäoikeuksia. Linuxiin kun ei juuri muuten voi softia asennella ellei Ubuntu oo tehnyt joitain omia ratkaisujaan. Ohjelmia voi imuttaa juu ja käyttääkin asentamatta ihan hyvin eikä siihen tarvi rootin oikeuksia, jos käynnistelee imutettuja ohjelmia vaan omasta kotihakemistostaan. Mutt niiden siirteleminen muualle järjestelmän käyttämiin paikkoihin ei sitt enää onnistukaan.
No tuohan on tuttua toivottavasti kaikille. Eli olemalla käyttäjänä ja vaikka joku käyttäjätunnuksenne kaappaisikin, niin ei pääse tuhoamaan kuin teidän omat roippeenne kotihakemistostanne. ...ainakin sen suojan saa kun ei huseeraa kaiken aikaa roottina...

Ja toiseks: ainakin oikeissa linuxeissa - Ubuntusta siis en tiedä - rootin oikeudet annetaan ja otetaan käyttöön vain istuntokohtaisesti. Ellet sitten oo hölmöyksissäsi kirjautunut roottina sisään - silloinhan ovet on auki 'taivaaseen' asti.

Monet kehuvat jopa sudoa, mutt minä oon niin vanhanaikainen, ett moista hyvällä katso. Eli joku kun tietää sun käyttäjätunnuksen, niin samalla tietää ja saa sudon oikeudet myös koneeseesi... nauti siitä helpotuksesta, jos tykkäät. Minä en.

[qwertyy]

Monet kehuvat jopa sudoa, mutt minä oon niin vanhanaikainen, ett moista hyvällä katso. Eli joku kun tietää sun käyttäjätunnuksen, niin samalla tietää ja saa sudon oikeudet myös koneeseesi... nauti siitä helpotuksesta, jos tykkäät. Minä en.

No eihän tuo nyt noin todellakaan ole

Käsittääkseni kaikkiin käyttöjärjestelmiin tehdään ensimmäisenä järjestelmän hallitsija. Sen jälkeisillä käyttäjillä ei oletuksena ole järjestelmään hallittavia oikeuksia. Ei Windowseissa, eikä Linuxeissa. Edes Windowsissa ei normaalikäyttöä suositella ensimmäiselle käyttäjätunnukselle, eli järjestelmän hallitsijalle jos vähäänkään osaa lukea suosituksia. Tosin varmaan 99,5% winukkakäyttäjistä tekee kaiken juuri tuolla tunnuksella, varmaankin osa syy miksi UAC Vistaan laitettiinkin.

[Kunnollinen tullimies]

Monet kehuvat jopa sudoa, mutt minä oon niin vanhanaikainen, ett moista hyvällä katso. Eli joku kun tietää sun käyttäjätunnuksen, niin samalla tietää ja saa sudon oikeudet myös koneeseesi... nauti siitä helpotuksesta, jos tykkäät. Minä en.

No eihän tuo nyt noin todellakaan ole

Käsittääkseni kaikkiin käyttöjärjestelmiin tehdään ensimmäisenä järjestelmän hallitsija. Sen jälkeisillä käyttäjillä ei oletuksena ole järjestelmään hallittavia oikeuksia. Ei Windowseissa, eikä Linuxeissa. Edes Windowsissa ei normaalikäyttöä suositella ensimmäiselle käyttäjätunnukselle, eli järjestelmän hallitsijalle jos vähäänkään osaa lukea suosituksia. Tosin varmaan 99,5% winukkakäyttäjistä tekee kaiken juuri tuolla tunnuksella, varmaankin osa syy miksi UAC Vistaan laitettiinkin.

Ainakin vielä XP:ssä oli "kakkoskäyttäjällä" täydet oikeudet. Rajoitettujen oikeuksien käyttäjän sai ottamalla vieras-profiilin käyttöön tai muokkaamalla käyttäjien oikeuksia.

Lucidissa taas pääkäyttäjällä ei ole oletuksena annettu täysiä oikeuksia ja vasta kakkoskäyttäjä on oletuksellisesti ylläpitäjä.

Ja tuo Vistan UAC oli kyllä täysin ryssitty.

[Immo]

Siltikin olen sitä mieltä, että sudo on normaali työpöytäkäytössä oikein passeli. Oikeudet saa vain ne ohjelmat, jotka sitä tarvitsevat ja käyttäjältä vaaditaan hyväksyntä oikeuksien antoon. Jos jokaista pientä muutosta varten pitäisi kirjautua pääkäyttäjänä, nousisi monella käyttäjällä varmasti houkutus kirjautua aina pääkäyttäjänä sisään - aivan kuten Windowsissa.
En usko kenenkään täällä voivan väittävän sudoa turvallisuusuhaksi.

[Kunnollinen tullimies]

^Eikös graafisessa tilassa ylläpito-oikeuksia vaativiin toimenpiteisiin tarjota ylläpitäjien tunnuksia ja kysytä salasanaa, jos käyttäjällä ei näitä oikeuksia ole. Vähentää ainakin normikäyttäjien tarvetta rootina kirjautumiseen.

[Sunar]

En ole varma. Mandrivaa on nyt käytetty viikon verran, joten en ole oikeastaan mistään varma Sinänsä tuo kyselyikkuna on samantyylinen kuin gksudoa käytettäessä. Se vain hämää, että se kysyy nimenomaan rootin salasanaa. En muista, mitä siinä Ubuntun puolella mainitaan.

Kyseessä lienee gksudon sijaan gksu joka vaatii rootin salasanan.

Näkemykseni mukaan kirjoituksen tarkoitus ei ollut puolustaa roottina toimimista vaan tuoda esille se, että myös ei-roottina toimiminen ei välttämättä anna 100%:sti turvaa.

Juurikin näin. Kovin usein näkee ihmisten perustelevan linuxin turvallisuutta sillä, että järjestelmää ei käytetä rootin oikeuksilla, jolloin mitään pahaa ei voi tapahtua, koska vaikka haittakoodia ajettaisiin, sillä ei ole oikeuksia tehdä tuhojaan järjestelmässä.

Tämä on periaatteessa totta suurta monen käyttäjän järjestelmää ylläpitävän järjestelmänvalvojan näkökulmasta. Vaikka joku käyttäjistä tekisi jotain tyhmää, järjestelmä ei siitä kaadu.

Kuten kirjoituksessa todetaan, käyttäjän näkökulmasta tilanne on kuitenkin toinen. Ellei järjestelmässä ole otettu kattavasti käyttöön jotakin ohjelmien oikeuksia tehokkaasti rajoittava järjestelmää (esim. AppArmor), kaikella käyttäjän ajamalla koodilla on oikeus päästä käsiksi kaikkiin käyttäjän tiedostoihin. Niinpä esimerkiksi normaalin käyttäjän oikeuksilla ajettavan selaimen haavoittuvuuden kautta ajettu koodi ei voi ottaa järjestelmää haltuunsa, mutta mikään ei estä sitä tuhoamasta kaikkia käyttäjän tiedostoja. Käyttäjän (eli yhden käyttäjän järjestelmän tapauksessa myöskin järjestelmänvalvojan) kannalta tilanne on kuitenkin katastrofi, vaikka järjestelmää ei haltuun saataisikaan.

Jos järjestelmää käyttää rootin oikeuksilla ja haittaohjelma laittaa järjestelmän sekaisin, uudelleenasennus vie Ubuntun tapauksessa noin 15 minuuttia. Käyttäjän oikeuksilla toimivan haittaohjelman tuhoama korvaamaton data sen sijaan on korvaamatonta. Niinpä voidaan ihan perustellusti sanoa, että roottina järjestelmän käyttäminen ei yhden käyttäjän järjestelmässä lisää riskejä niin valtavasti kuin monet tuntuvat uskovan. Ohjelmia ei turhaan kannata ajaa roottina, mutta on vaarallista kuvitella olevansa jotenkin turvassa vain siksi, että ajaa ohjelmia peruskäyttäjän oikeuksilla.

Muistakaa ottaa niitä varmuuskopioita!

[Immo]

^Eikös graafisessa tilassa ylläpito-oikeuksia vaativiin toimenpiteisiin tarjota ylläpitäjien tunnuksia ja kysytä salasanaa, jos käyttäjällä ei näitä oikeuksia ole. Vähentää ainakin normikäyttäjien tarvetta rootina kirjautumiseen.

Miten tämä käytäntö sitten eroaa sudosta ylimääräisen salasanan lisäksi? Sudolla kun ajat tiettyä koodia, joka vaatii pääkäyttäjää. Tuohan on siis sama asia. 

[Niko Rentola]

Kyseessä lienee gksudon sijaan gksu joka vaatii rootin salasanan.

gksu kysyy sisäänkirjautuneen käyttäjän salasanaa. Jos käyttäjä kuuluu admin -ryhmään, on käyttäjällä oikeus todentaa itsensä roottina. Peruskäyttäjä ei gksu:sta hyödy. En sitten tiedä mitä komentoa käyttäjätilien hallinta ym. käyttää kun osaavat antaa listan admineista ja kysyä niitten salasanaa.

[kuutio]

Monet kehuvat jopa sudoa, mutt minä oon niin vanhanaikainen, ett moista hyvällä katso.

Oletkin sitten aika vanhanaikainen, sudoa kun on käytetty *nixeissä 80-luvulta lähtien.

Eli joku kun tietää sun käyttäjätunnuksen, niin samalla tietää ja saa sudon oikeudet myös koneeseesi... nauti siitä helpotuksesta, jos tykkäät. Minä en.

Nyt kaipaisin kyllä selitystä, miten käyttäjätunnuksen tietämällä saa sudo-oikeudet koneeseen?

---
Sudon etujahan ovat mm. erinomainen konffattavuus eri tarkoituksiin ja tarpeisiin (esim. jos tietoturvaa on tarvetta parantaa, sudon asetuksia voi tiukentaa) sekä hienojakoisempi oikeuksien kontrolli (tietyille käyttäjille voi antaa oikeudet suorittaa tiettyjä toimenpiteitä antamatta näille rootin salasanaa, eli täyttä hallintaa)

[petteriIII]

Eli joku kun tietää sun käyttäjätunnuksen, niin samalla tietää ja saa sudon oikeudet myös koneeseesi... nauti siitä helpotuksesta, jos tykkäät. Minä en.

Jake varmaan tarkoittaa sitä kun sudo cacheaa salasanan, muistaakseeni oletusarvoisesti viideksi minuutiksi. Ja kun monet menevät päivityksen aikana surffaamaan niin sudohan on auki netissä pyörittäessä.

Muuten ei kai selaimessa oltaessa sudolla ole mitään käyttöä?