Использование учетной записи без прав sudo в качестве основной

А ты вообще не понимаешь, как это все работает, да? Видимо, у тебя бубунта или ее производное?

Ссори за глупый вопрос. Прям чтоб целиком и полностью не понимаю. Я самый обычный пользователь линукса (не айтишник), на линуксе сижу с 2006 года. Пробовал разные системы, долго время на debian-based, сейчас на Fedora.

Тонкостей по безопасности, правам доступа и т.п. не знаю. Я понимаю что судоюзер - это обычный юзер, который при необходимости использует команду sudo и получает суперправа…

Безопасно, неудобно.

Лучше уж сразу тогда устанавливать по от рута.

Вот как раз вопрос удобства меня и интересует. А почему сразу от рута? Если я установлю необходимый софт от sudo - в чём конкретно может возникнуть неудобство? (опять же «софт» громко сказано, из такого же я устанавливаю это - браузер, телеграм, остально по сути всё дефолтное).

И в чём собственно плюсы безопасности в этом случае?

Неудобство не от судо, а от логгининга в другого пользователя, потом судо, потом установки.

в качестве основной на домашнем компьютере?

На домашнем точно нет смысла в такой параноидальной безопасности.

ну если в этом, то для меня это не критично, как я выше написал мои задачи дальше чем пользования браузером/офисом не распространяются, и терминал/sudo я не использую каждый день.

Тогда хотелось бы понять в чём весомые плюсы безопасности? Я не параноик, пользуюсь компом аккуратно (что-попало не ставлю, на левых сайтах не сижу), просто для себя хотелось бы понять целесообразность такого подхода.

Эффективнее изолировать браузер в этом случае.

Можно с этого места поподробней? Т.е. безопасность в этом случае действительно повышается до параноидального уровня?))

Имеется ввиду использование различных песочниц наподобие firejail?

Плюс в том, что у вас пароль от пользователя используется для пользователя, а пароль от рута для рута, ну и нет прослойки.

Вряд ли повышается, потому что допустим уязвимость в ядре может позволить повысить права до рута без всяких судо.

Я имел в виду что особо щаморачиваться этим смысла нет - не так велика опасность конкретно с этой стороны.

Можно много чего интересного сделать и без прав рута, от чего волосы выпадут.

Да, они, либо chroot, либо виртуалка - по мере повышения паранойи)))

Чтобы эффективно изолировать бразуер нужно не это, а отдельная песочница.

Да, вот именно - нужна песочница.

Да, риски связанные с уязвимостями ядра я конечно понимаю.

Ясно. Виртуалка это не мой вариант. Я пробовал firejail и так же на убунте немного разбирался с политиками apparmor. Кстати, насколько я помню в RHL-based ведь используется SELinux «аналог» apparmor?

Типа того.

obligatory https://xkcd.com/1200

Спасибо!))

Я самый обычный пользователь линукса (не айтишник), на линуксе сижу с 2006 года. Пробовал разные системы, долго время на debian-based, сейчас на Fedora.

Тогда ты должен знать, что есть root, а есть обычный юзер. Sudo позволяет временно повысить права юзера до суперюзера, но использовать sudo вообще не обязательно. Можно вообще убрать его из системы и при необходимости логиниться от рута и делать все рутовые дела из-под него.

Не вижу в этом никакого смысла даже в теории.

На многопользовательской системе разумно. Толк будет. Для повседневной работы разница незаметна. Придется переключаться на рута (что судо и делает обычно).

Хорошо. А в изоляции браузера видишь смысл?

Вижу.

sudo не нужен. Снеси его. Для получения рут-прав есть su и рут-пароль. А лучше, если тебя беспокоит безопасность, вообще не делать ничего из гуи от рута, для рута делать ctrl-alt-f1 в консоль и логиниться в рута там.

Root же отключен по умолчанию. Смысл его включать, когда есть sudo?

Аххаха, просто убило)))

Какому такому умолчанию? Отключённый рут это идиотизм. А системы где это дефолт - системы для идиотов.

sudo не нужен, это вредный костыль.

Ааа ты в этом смысле. А в чём вред костыля? В уязвимостях команды sudo или в чём ещё?

В ложной парадигме «юзера с повышенными правами». Есть юзер, у него есть права на $HOME и где там ещё ему выдали, а есть рут, у него права на всё. Смешивать их не надо (но в винде привыкли, ибо там всё под то заточено).

Даже если администратор и пользователь компа это по факту один и тот же человек - всё равно надо разделять своё время на «настройку железки» от времени на её пользованием. Настраивать, разумеется, так, чтобы потом не требовалось лезть в рута на каждый чих.

С точки зрения безопасности это хорошо в первую очередь тем, что закрепляет хорошие привычки. Но польза не только в безопасности, а и в дисциплинированности: настраиваешь так, чтобы было удобно потом именно пользоваться, а не вечно лазить по конфигам и что-то подправлять.

Спасибо за развернутый ответ! Действительно в ЧЕТКОМ разделении админа и юзера есть смысл.

Неудобно будет.

man su.

Намекну: в генте "из коробки" sudo нет, т.к. это небезопасно.

Если ты хочешь sudo, то настрой его, чтобы вводить надо было не твой пароль, а пароль целевого юзера (т.е. рута, если делаешь просто sudo). Лишь в этом случае от суды будет хоть какой-то толк.

Голосую за все пункты!

для запуска руткита рут не нужен, а поэтому - никакого смысла в этом нет

Неудобно, зачем тебе рут, как отдельный юзер? Чтобы еще у него в хомяке наводить порядок?

su c паролем рута однозначно нахеръ.
рутовый юзер вообще не должен уметь логинится.

смысл вводить вместо одного пароля другой ?? у меня рут вообще пароля не имеет.
если есть вариант просохатить пароль пользователя, то и пароль рута просохотатить также можно.

а можно тоже самое только с перламутровыми пуговицами логическими утверждениями каждого пункта ??

Никогда не пользовался sudo. man su

Разумно. Но проще просто не использовать sudo, а установить пароль root-у.

Ну да, ну да. Такие все прямо специялисты….

В debian 11 из коробки именно так. Емнип нет групп sudo и wheel, доступ к sudo через sudoers не разрешен.

То есть для системных утилит нужно запускать su - сперва.

Кстати, в debian в $PATH нет /usr/sbin для обычных пользователей.

винда твой выбор

я не просил лозунгами зиговать :) этого в лорчике хватает.
мне интересно техническое обоснование использования su супротив sudo
по мне так sudo удобнее и функциональнее.
а вдрух чаго вумного не осознал

Беспокоиться о защите root смысла мало. Он не нужен для майнинга или рассылки спама, пароли, кошельки и прочее ценное обычно тоже не в /root и прочих таких местах. Так что кроме неудобств почти ничего не получишь.

Я уже выше расписал всё, повторю кратко: эти «удобства» sudo это удобства в стиле винды. С технической стороны они оборачиваются кашей на компе и кашей в голове у юзера-админа. Может быть где-то эта каша и не вредит безопасности (но где-то точно вредит, а приобретённые плохие привычки остаются), но она везде способствует помойке.

Так изоляция админских прав — это же в первую очередь защита от малвари, а не от угона.