![루트가 아닌 사용자로 실행하면 보안상 이점이 무엇입니까? [폐쇄]](https://linux55.com/image/52636/%EB%A3%A8%ED%8A%B8%EA%B0%80%20%EC%95%84%EB%8B%8C%20%EC%82%AC%EC%9A%A9%EC%9E%90%EB%A1%9C%20%EC%8B%A4%ED%96%89%ED%95%98%EB%A9%B4%20%EB%B3%B4%EC%95%88%EC%83%81%20%EC%9D%B4%EC%A0%90%EC%9D%B4%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F%20%5B%ED%8F%90%EC%87%84%5D.png)
루트로 작업하지 말라는 조언을 들었습니다. 한 가지 규칙은 root@server 대신 server@server 사용자를 만들고 해당 사용자로 나머지 모든 관리 작업을 수행하는 것입니다.
보안 관점에서 루트에 비해 루트가 아닌 수퍼유저로 로그인하면 어떤 이점이 있습니까?
답변1
이는 단순한 보안 문제가 아닙니다. "어리석은 내용을 입력하여 실수로 시스템이 중단될 가능성이 적습니다."라는 질문입니다. Goldilocks가 말했듯이 "루트가 아닌 슈퍼유저"라는 것은 없습니다. 상식적으로는 가능한 한 적은 권한으로 실행해야 합니다. 그게 다야.
답변2
"루트가 아닌 무제한 수퍼유저"의 이점은 본질적으로 0입니다(무차별 대입 공격에 대한 보호를 계산하지 않는 한 - 이에 대응하려면 더 많은 시도가 필요함 root) server.
장점은 보자마자 바로 드러난다대표하다기능을 제공하고 해당 메커니즘을 통해 제한된 수퍼유저 또는 수퍼유저 명령 세트를 생성하면 sudo다음과 같은 관리 작업을 실행할 수 있습니다.그리고 그 사람들만. "네트워크 서버 관리자" ID에 성공적으로 침입한 후에는 네트워크 서버를 다시 시작하거나 로그를 회전할 수 있지만 관리 소프트웨어를 설치하거나 권한 있는 명령을 실행하거나 방화벽 보호를 줄일 수는 없습니다.
물론 이는 sudoWill의 "웹사이트용 새 파일 만들기" 기능 과 같은 심층적인 방어 기능이 있다고 가정합니다.확인하다요청된 새 파일은 특수 파일이 아니고 실행 가능하지 않으며 유효한 웹 루트에 있습니다. 명령 sudo gcc은 발급자가 시스템 바이너리를 다른 파일 등으로 덮어쓰지 않았는지 확인해야 합니다. 일반 사용자가 sudo su단순히 입력만으로 슈퍼유저 권한을 얻을 수 있다면 시스템은 실제로더 적은단순한 루트보다 더 안전합니다(추측 가능한 비밀번호를 사용하여 실행 후 잊어버리는 "joe" 계정을 상상해 보십시오. 이 경우 루트돔에 대한 미리 만들어진 백도어를 제공합니다).