@nintyfan
Blog (76)
Komentarze (5.3k)
Recenzje (0)

Linux: Administrator dziś i kiedyś.

@nintyfanLinux: Administrator dziś i kiedyś.16.07.2010 21:26

Na wortalu dobreprogramy.pl w wielu komentarzach osoby zamieszczają sugestię, że to właściwie root jest administratorem w Linuksie i porównują go do administratora w Windows. Nie pokuszę się nawet o przytoczenie tego definicji tego terminu, gdyż za wikipedią właśnie root jest administratorem.

Ponieważ jednak muszę się na czymś oprzeć, to napiszmy, że administrator jest użytkownikiem, który może uruchamiać dowolne programy - również te, które ingerują w system. Nie jest przy tym powiedziane, jak taka procedura miałaby wyglądać: jeżeli ktoś uzyskałby taką możliwość w nieautoryzowany sposób, to nie będzie administratorem.

Oczywistym jest, że root ma prawo do ingerencji wszędzie w domyślnych ustawieniach wielu dystrybucji(na pewno nie tych do celów wojskowych). Jeżeli komuś to nie odpowiada, to może użyć SeLinux. Możliwe jest więc ograniczenie praw root-a, pewne systemy są projektowane w ten sposób, jednak większość desktopów nie.

W przeciwieństwie do wielu Uniksów, to w Linuksie(prócz Ubuntu i może paru innych systemów) root ma prawo się zalogować. Jest to jeden z powodów nie zrozumienia zagadnienia. Jednak w prawie każdej dystrybucji root nie ma prawa się zalogować graficznie, by nie przeglądał internetu na swoim koncie.

Trzeba to ująć tak, że w tym aspekcie Ubuntu jest znacznie lepiej zabezpieczone od wielu innych dystrybucji.

Co w takim razie z graficzną administracją systemem? Otóż, to należy powrócić do dawnych czasów. Kiedyś nie było mechanizmu o wdźwięcznej nazwie sudo. Wtedy wykorzystywano tzw. suid bit-y, co powodowało, że użytkownik posiadający(np. z grupy wheel) odpowiednie prawa mógł uruchomić taki program, a on już pracował w roli root-a. Reszta programów uruchomionych przez użytkownika działało z jego uprawnieniami. Miało to jednak swoje wady: ponoć każde oprogramowanie ma swoje błędy, więc takie podejście było zbyt huraoptymistyczne - wirus mógłby wykorzystać błędy w programie do wyrządzenia szkód.

Nawet bardzo dawno wydzielono już konto dla administratora, który miał prawa uruchamiać programy na uprawnieniach root-a.

W końcu narodził się sudo. Program sudo pozwala, lecz w bardzo ograniczonych możliwościach, ograniczyć listę możliwych parametrów do przekazania poleceniu. Różni się od op tym, że w przypadku op administrator definiuje skrypty-owijki, co wywołują prawdziwe polecenia, a w przypadku sudo można jedynie ograniczyć parametry(lub podać pełny wiersz polecenia).

W Ubuntu korzysta się z sudo nadmiernie. Tylko użytkonicy z grupy admin, w tym użytkiwnik utworzony, jako pierwszy, mają prawo do wykonywania poleceń z użyciem sudo. Charakteryzuje się to dodatkowo tym, że muszą podać swoje własne hasło, a nie hasło sepcjalnego użytkownika do którego w wielu dystrybucjach Linuksa jakimś cudem można się zalogować. Pod Ubuntu natomiast nie zalogujemy się, jako root. W przypadku innych dystrybucji Linuksa instalator wymusza na nas utworzenia konta dla administratora, które jednak nie posiada praw root-a.

Administrator w systemach Unikso-podobnych to dziś nie to samo, co root. Kiedyś było inaczej, lecz te czasy odeszły dawno temu. Można to porównać do administratora w Windows XP i nowszych. Tyle tylko, że te wszystkie wymienione mechanizmy(poza wspomnianym SeLinux) zaczeły powstawać zanim powstał Linux czy jakikolwiek Windows. Dodatkowo, to w Windows XP możliwa jest zmiana jednego klucza w rejestrze, by administrator w Windows XP przypominał bardziej Linuksowego root-a. Możliwe jest wtedy nawet zabicie procesu system, jak root może zabić init. W przeciwieństwie do Linuksa, to nie ma żadnej kontroli dostępu do tego klucza(ma do niego dostęp adminstrator, lecz dowolny program może go sobie zmienić). W Linuksie przynajmniej dostanie się na root-a wymaga podania hasła.

Chciałem udowodnić, że administratorem w Linuksie dziś nie jest korzeń. Ktoś kiedyś wpadł na dziwny pomysł, by można było się zalogować, jako korzeń(ang. root), jednak nie znaczy to, że tak należy postępować i takie założenia bezpieczeństwa mieli twórcy wszystkich dystrybucji. Należy też nadmienić, że Windowsowy admin przeradza się powoli w tego Linuksowego - już w Windows XP były widoczne zmian, a Vista i 7 podążyły tym.

Jako administrator(pierwszy utworzony użytkownik w systemie), bez użycia sudo i innych narzędzi nie możesz: * Przeglądać plików i zasobów innych użytkowników * Ingerować w zasoby innych użytkowników * Kasować pliki, które nie należą do Ciebie * Modyfikować pliki, które nie należą do Ciebie * Do administratora należą tylko pliki z jego katalogu domowego, które mają go za właściciela(takie rozumienie dwóch powyższych należy przyjąć) * Tworzyć nowych pseudourządeń * Dodawać/usuwać użytkowników w systemie czy grup * Zmieniać uprawnienia do plików * Mnóstwa innych * Właściwie, to jako admninstrator wolno Ci jedynie wszystko to, co wolno użytkownikowi, a poza tym użyć sudo * Od powyższego punktu są jednak odstępstwa, np. poprzez użycie PolicyKit - można dzięki temu ustawić, by użytkownicy z grupy admin, wheel lub konkretny użytkownk przy pomocy dowlnego lub wskazanego programu mogli np. montować wewnętrzne napędy, zmieniać priorytety procesów systemowych, zabijać procesy systemowe, itd.

Tak więc można napisać, że root jest odpowiednikiem administratora w Windows XP, w którym wystarczy ustawić jeden klucz w rejestrze, by stać się adminem. Natomiast root nie pełni tej samej roli, co administrator w Windows XP. Tę samą rolę pełni użytkownik stworzony, jako pierwszy w naszym systemie, a także może nim być każdy inny użytkownik. W nowszych Windowsach(dzięki m.in UAC) odpowiednikiem Administratora w Linuksie na pewno już nie będzie root, a jakiś użytkownik z grupy wheel lub admin.

Warto nadmienić, że właśnie root ma większe prawa niż administrator, ale taki administrator z krwii i kości, to jakiś inny użytkownik. Nie chciałem zepchnąć root-a poniżej adminsitratora czy pisać, że nie jest admniistratorem(może i jest, ale takim dziwnym, bo ani nie jest programem, ani istotą materialną).

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.