Root oikeudet

[Pendeli]

Ubuntussa on yksi käyttäjä, jolla on oikeudet tehdä järjestelmässä aivan mitä vain. Tämän käyttäjän tunnus on root. (http://fi.wikibooks.org/wiki/Ubuntu_tutuksi/J%C3%A4rjestelm%C3%A4n_asetukset)

Koska olen koneen ainoa käyttäjä, on minulla root-oikeudet. Kuitenkin ohjeissa sanotaan, että Ubuntussa root-käyttäjältä on  poistettu kirjautumisoikeus turvallisuussyistä. Mitähän tuo tarkoittaa ja kuka sitten voi kirjautua rootiin?

Toinen kysymys koskee turvallisuutta. Siis jos minulla on yksi ainoa tili, niin käytän sitä Admin-oikeuksin. Onko tarpeellista luoda toinen tili yleiskäyttöön, jolla on pelkästään tavallisen käyttäjän oikeudet? (Näinhän ainakin Windowsissa suositellaan)
Kuinka päivitykset onnistuu tällöin?

[qwertyy]

Toinen kysymys koskee turvallisuutta. Siis jos minulla on yksi ainoa tili, niin käytän sitä Admin-oikeuksin. Onko tarpeellista luoda toinen tili yleiskäyttöön, jolla on pelkästään tavallisen käyttäjän oikeudet? (Näinhän ainakin Windowsissa suositellaan)

Se on sinusta kiinni. Linux-asennuksissa on aika monesti yksi käyttäjä, jolla on myös koneen hallintaoikeudet. Normaalisti et kuitenkaan ole ns. pääkäyttäjä, vaan sudo:lla otetaan ne lisäoikeudet käyttöön. Nyky Windowseissa on hiukan sama tyyli. Tuo suositus on koskenut erityisesti XP:tä, koska siinä pelataan kutakuinkin koko ajan täydellisillä hallintaoikeuksilla jos ei erikseen määritellä.

Kärjistettynä root ja sudo on hyvin lähellä toisiaan. Suurin ero on siinä, että käyttjä root voi tehdä aina, ilman minkäänlaisia lisävahvistuksia ihan mitä vain. Sudo=superuser do, eli vapaasti suomennettuna "tee pääkäyttäjänä/pääkäyttäjänoikeuksin". Sudo ei siis ole käyttäjätili, kuten root on. Jos yrität tehdä normaalina käyttäjänä jotain järjestelmään oleellista muutosta, niin et voi sitä tehdä. Sudolla siis joudut pyytään tavallaan tuon oikeuden ja vahvistetaan, että käyttäjä ei ole ihan kuka vain. Ts. sinulla ei ole root-oikeuksia Ubuntussa. Sudo komento ei myöskään jää ns. voimaan pyynnön jälkeen, vaan oikeudet loppuun komennon pyytämisen jälkeen.

Eli sudo komennolla tavallaan lainaat hetkeksi root-tilin oikeuksia.

Kuinka päivitykset onnistuu tällöin?

Riippuu siitä miten olet määrittänyt päivitykset asennettaviksi. Kts. päivityssovelluksen asetukset läpi. Sieltä voi valita ladataanko miten usein ja ilman vahvistusta jne.

Tiivistettynä. Ei sinänsä tarpeellista tehdä erillistä käyttäjätiliä. Minusta se hankaloittaa aika paljon koneen käyttöä.

[nm]

Ubuntussa on yksi käyttäjä, jolla on oikeudet tehdä järjestelmässä aivan mitä vain. Tämän käyttäjän tunnus on root. (http://fi.wikibooks.org/wiki/Ubuntu_tutuksi/J%C3%A4rjestelm%C3%A4n_asetukset)

Koska olen koneen ainoa käyttäjä, on minulla root-oikeudet. Kuitenkin ohjeissa sanotaan, että Ubuntussa root-käyttäjältä on  poistettu kirjautumisoikeus turvallisuussyistä. Mitähän tuo tarkoittaa ja kuka sitten voi kirjautua rootiin?

Tarkoittaa, ettet voi kirjautua suoraan sisään root-käyttäjätunnuksella, koska sille ei ole määritelty salasanaa. Sen sijaan admin-ryhmän käyttäjät saavat pääkäyttäjän oikeudet sudo-järjestelmän avulla yksittäisten ohjelmien ja komentojen suorittamiseen. Sudon avulla voit myös kirjautua päätteessä rootiksi (sudo su).

Toinen kysymys koskee turvallisuutta. Siis jos minulla on yksi ainoa tili, niin käytän sitä Admin-oikeuksin. Onko tarpeellista luoda toinen tili yleiskäyttöön, jolla on pelkästään tavallisen käyttäjän oikeudet?(Näinhän ainakin Windowsissa suositellaan)

Ei ole yleensä tarpeen. Ubuntussa admin-ryhmän käyttäjällä ei ole pääkäyttäjän oikeuksia jatkuvasti vaan ainoastaan tarpeen mukaan yksittäisten tehtävien suorittamiseen. Esimerkiksi asennettaessa uusi ohjelma järjestelmään, Ubuntu kysyy aina salasanaa.

Mahdollinen haittaohjelma tai tunkeutuja voi mellastaa vapaasti käyttäjän oikeuksin riippumatta siitä, onko sinulla erillinen admin-tili vai ei. Kotikäytössä suurimmat riskit liittyvät joka tapauksessa käyttäjän omiin tiedostoihin ja istuntoon, eli jos koneelle tunkeudutaan vaikkapa selaimen kautta käyttäjän oikeuksin, peli on jo käytännössä menetetty. Pääkäyttäjän oikeuksista ei olisi hyökkääjälle merkittävää lisähyötyä, jos koneella on vain yksi pääasiallinen käyttäjä.

Tilanne on erilainen yrityskäytössä ja vastaavissa tapauksissa, joissa järjestelmässä on paljon käyttäjiä. Silloin voi olla hyvinkin järkevää luoda ylläpitäjille erilliset tavalliset tilit muuta käyttöä varten ja käyttää admin-tason tunnuksia vain ylläpitotehtäviä varten.

Kuinka päivitykset onnistuu tällöin?

Joutuisit ehkä kirjautumaan koneelle välillä admin-ryhmän käyttäjänä. En ole varma, toimiiko tavallinen automaattipäivityskään muuten. Vaihtoehtoinen unattendend-upgrades tai oma cron-skripti toimisi kyllä.

[Tomin]

Yhdessä asennuksessa on käytössä sellainen malli, että on asennuksessa luotu käyttäjä ja erikseen käytettävä käyttäjä (pääkäyttäjä). En muista miten päivitykset siinä menevät, toki tietoturvapäivitykset on määrätty asennettavaksi aina automaattisesti, mutta ainakin kaikki tavallisimmat ylläpitotoimet graafisin työkaluin onnistuvat hyvin käyttäen pääkäyttäjän salasanaa.

Päätteellä sudoilu on vähän työläämpää, sillä pitää ensin su-komennolla siirtyä pääkäyttäjäksi, jotta voi käyttää root-oikeuksia.

[ajaaskel]

Vaikka ollaankin Ubuntu-foorumilla niin pienenä tiedon jyväsenä edellisten lisäksi:  RedHat käyttää lisäksi ryhmää "wheel" johon käyttäjän lisääminen antaa oikeuden käyttää "sudo" -komentoa.

[qwertyy]

Hyvä lisäys ajaaskel. Muistan kun itse ihmettelin asiaa, mikä ihmeen wheel-ryhmä.

Äkkiä muisteltuna openSUSE ja Arch Linux taitaa ainakin sisältää tuon. Eikä varmasti ole ainoat.

[JaniAlander]

Pistin joskus Ubuntusta root-tilin käyttöön, seurauksena oli muutamia muutoksia, ts. esim. graafiset paketinhallintasovellukset yms. pääkäyttäjän oikeuksia haluavat sovellukset alkoivat vaatia rootin salasanaa admin käyttäjän salasanan sijasta. Muistaakseni ei muita seurauksia.

PC-BSD mitä tällä hetkellä enimmäkseen käytän sisältää toimivan root tilin, joskin ylläpitotehtävät menevät päätteellä joko sudo komennolla tai jos vähän enemmän puuhattavaa, niin että otetaan root oikeudet su-käskyllä. Asennuksen yhteydessä luotu ensimmäinen käyttäjä kuuluu aina wheel ryhmään....

[juyli]

Ubuntussa on yksi käyttäjä, jolla on oikeudet tehdä järjestelmässä aivan mitä vain.

Olet ymmärtänyt aiemman viestinnämme väärin. Ubuntussa on valittavissa pääkäyttäjä, jolla on sudo-oikeudet järjestelmätyökalujen käyttämiseksi.

Sudo-komento vaatii aina (oletuksena) pääkäyttäjän salasanan, joten edes pääkäyttäjä ei voi komentaa sellaisia komentoja, joita ei _tavan käyttäjälle_ ole tarkoitus tarjota.
Toki Ubuntussa on määriteltävissä root-tunnukselle oma salasanansa kuten kaikissa muissakin Linux-jakeluissa, mutta nimenomaan tuo sudo on Ubuntu-jakelujen erityispiirre ilman root-oikeuksien aktivointia.


Tarpeeton poistettu --- ajaaskel

[Postimies]

sudo:n ongelma on että ohjelmien asetukset kirjoitetaan käyttäjän kotihakemistoon eikä /root-hakemistoon. Jos systeemissä oikea root-tili, niin ohjelmien asetukset ovat niille kuuluvassa paikassa. Myös ympäristömuuttujat voivat olla erilaiset root käyttäjällä. sudo komenolla ei saa käynnistää X sovelluksia tai muitakaan sovelluksi jotka kirjoittelevat paljon kotihakemistoon.  su - antaa rootin oikeudet, jolloin kotihakemistona on /root. su komennolla kotihakemisto on käyttäjän. su ja su - komennoilla on siis eroa. sudo nano on turvallinen systeemin tiedostojen editointiin. Ei sudo joku X:n päällä oleva editori esim. sudo kate.

Wheel-ryhmä tuli mainittua. Jos käyttäjä ei tuohon kuulu niin ei ole oikeuksia sudo:n käyttöön. sudo oikeudet voidaan määritellä melko tarkasti. Ihan käyttäjä/ryhmä/ohjelma-kohtaisesti.

[kuutio]

sudo:n ongelma on että ohjelmien asetukset kirjoitetaan käyttäjän kotihakemistoon eikä /root-hakemistoon.

Ei tämä ole kuin sudo:n konffauksesta kiinni, sen saa kyllä käyttämään myös kohdekäyttäjän ympäristömuuttujia, mukaanlukien $HOME.

Toisaalta voi sudolle tarjota myös '-H' optiota.

Wheel-ryhmä tuli mainittua. Jos käyttäjä ei tuohon kuulu niin ei ole oikeuksia sudo:n käyttöön. sudo oikeudet voidaan määritellä melko tarkasti. Ihan käyttäjä/ryhmä/ohjelma-kohtaisesti.

*buntut eivät käytä "wheel"-ryhmää vaan "sudo"-ryhmää (vanhemmissa asennuksissa "admin"-ryhmää)

[juyli]

*buntut eivät käytä "wheel"-ryhmää vaan "sudo"-ryhmää (vanhemmissa asennuksissa "admin"-ryhmää)

Jos nyt halutaan yhä sotkea lisää, on /etc/group -hakemistossa käyttäjäryhmä adm.
Halutessani käyttää root:in ympäristömuuttujia käy tuo jo Postimiehen mainitsema sudo su -  -komento.
Tosin tuokaa ei tarjoa aivan kaikkia puhtaasti root:in käyttöön vs. aito ja originaali root-tunnus.
Linux-järjestelmissä, jossa sudoa ei ole jo oletuksena määritelty käytettäväksi, voi käyttää tuota su -komentoa eri vipusineen root-tunnuksen oikeuksien käyttämiseksi määritellyin oikeuksin.

[kuutio]

*buntut eivät käytä "wheel"-ryhmää vaan "sudo"-ryhmää (vanhemmissa asennuksissa "admin"-ryhmää)

Jos nyt halutaan yhä sotkea lisää, on /etc/group -hakemistossa käyttäjäryhmä adm.

Tuo "adm" ryhmä on luultavasti yksi syistä, miksi uudemmissa *buntu asennuksissa siirryttiin käyttämään "sudo" ryhmää ("adm" ja "admin" oli varsin helppo sekoittaa keskenään). "adm" ryhmähän tarjoaa lähinnä valvontaoikeuksia (pääsee esim. lukemaan tiettyjä lokeja, joihin normikäyttäjällä ei ole lukuoikeuksia.

Halutessani käyttää root:in ympäristömuuttujia käy tuo jo Postimiehen mainitsema sudo su -  -komento.

'sudo -i' tekee saman kuin 'sudo su -' (ja on lyhyempi kirjoittaa ), sudosta tekee erityisen mainion sen monipuolisuus, ja 'man sudo' ja 'man sudoers' ohjeisiin kannattaa tutustua, jos siitä haluaa saada kaiken irti.

[Postimies]

'sudo -i' tekee saman kuin 'sudo su -' (ja on lyhyempi kirjoittaa ), sudosta tekee erityisen mainion sen monipuolisuus, ja 'man sudo' ja 'man sudoers' ohjeisiin kannattaa tutustua, jos siitä haluaa saada kaiken irti.

Ehkä pitäisi opetella tuota sudo -i. Asensin tuossa Ubuntu-serverin ja sain taas kerran käyttäjän hakemistoon kansioita joissa oli root oikeudet. Esim. sudo mc on näppärä tiedostojen muuttelemiseen. Tuon jälkeen pelkkä mc ei enää käynnistynyt - piti muutella config-tiedostojen oikeudet. Itse pidän perintäistä tapaa parempana. Kirjaudutaan roottina sisälle tai käytetään su -.