คุณเป็นผู้ดูแล root
แต่ไม่ root
ผู้ใช้สามารถทำอะไรได้ ผู้ดูแลระบบสามารถดำเนินการเป็นroot
root
แต่ปกติสิ่งที่ผู้บริหารจะไม่ได้ทำโดย ด้วยวิธีนี้คุณสามารถควบคุมระบบของคุณเองได้อย่างสมบูรณ์ แต่เฉพาะเมื่อคุณเลือกที่จะใช้
Ubuntu ขอรหัสผ่านเมื่อคุณพยายามทำสิ่งต่าง ๆroot
เพื่อให้แน่ใจว่าเป็นของคุณจริงๆ
บัญชีผู้ใช้: บุคคลและอื่น ๆ
ผู้ใช้ที่เป็นมนุษย์จริงมีบัญชีผู้ใช้ที่เป็นตัวแทนของพวกเขา คุณสร้างหนึ่งบัญชีดังกล่าวเมื่อคุณติดตั้ง Ubuntu แต่ไม่บัญชีผู้ใช้ทั้งหมดเป็นตัวแทนของผู้ใช้งานของมนุษย์ที่แท้จริง
ผู้ใช้ที่เป็นมนุษย์จริงได้รับความสามารถ (และถูกปฏิเสธ) ผ่านบัญชีผู้ใช้ของพวกเขา พวกเขาจะต้องใช้บัญชีผู้ใช้เพื่อใช้ระบบ ดังนั้นความสามารถและข้อ จำกัด ของบัญชีผู้ใช้จะมีผลกับพวกเขา
บัญชีผู้ใช้ยังใช้เพื่อกำหนดชุดของความสามารถและข้อ จำกัด บางบัญชีผู้ใช้ - ส่วนใหญ่จริง ๆ แล้วเว้นแต่ว่าคุณมีผู้ใช้งานมนุษย์จำนวนมากอยู่ - เครื่องมีอยู่เพื่อให้โปรแกรมหรือคำสั่งบางอย่างสามารถทำงานด้วยข้อมูลประจำตัวของพวกเขาเป็นตัวตนที่มีความสามารถและข้อ จำกัด ที่เหมาะสมสำหรับงาน
ตัวอย่างเช่นwww-data
ผู้ใช้มีอยู่ดังนั้นหากคุณเรียกใช้เว็บเซิร์ฟเวอร์จะเป็นเจ้าของข้อมูลที่เซิร์ฟเวอร์ทำให้สามารถเข้าถึงได้ ไม่มีผู้ใช้ที่เป็นมนุษย์จริงใด ๆ ที่จะได้รับอนุญาตให้ทำการเปลี่ยนแปลงที่ไม่ได้ตรวจสอบกับข้อมูลเหล่านั้นและเว็บเซิร์ฟเวอร์ไม่จำเป็นต้องได้รับอนุญาตให้ดำเนินการใด ๆ ที่ไม่จำเป็นสำหรับการให้บริการเว็บ ดังนั้นทั้งข้อมูลเว็บและส่วนที่เหลือของระบบจึงปลอดภัยจากการแตกหักโดยไม่ตั้งใจหรือไม่ตั้งใจมากกว่าเว็บเซิร์ฟเวอร์ที่ผู้ใช้มนุษย์บางคนใช้ซึ่งจะมีพลังทั้งหมดของเว็บเซิร์ฟเวอร์ มี).
บัญชีผู้ใช้ที่ไม่ใช่มนุษย์ที่สำคัญที่สุด
superuserที่มีชื่อผู้ใช้root
เป็นบัญชีผู้ใช้ที่ไม่ใช่มนุษย์ที่มีการผสมผสานที่เฉพาะเจาะจงมากความสามารถและข้อ จำกัด : ความสามารถทั้งหมดและไม่มีข้อ จำกัด
root
's ได้รับอนุญาตที่จะทำอะไร ยังมีสิ่งที่root
ไม่สามารถทำได้เนื่องจากระบบไม่สามารถดำเนินการหรือทำให้เข้าใจได้ ดังนั้นroot
ไม่สามารถฆ่ากระบวนการที่มีอยู่ในการนอนหลับสำรองหรือทำให้ร็อคหนักเกินไปที่จะย้ายแล้วย้ายไป
กระบวนการของระบบที่สำคัญหลายอย่างเช่นinit
ทำงานเป็นroot
และroot
ใช้สำหรับการดำเนินงานด้านการบริหาร
ฉันสามารถเข้าสู่ระบบเป็นroot
?
เป็นไปได้ที่จะกำหนดค่าroot
บัญชีเพื่อให้สามารถเข้าสู่ระบบด้วยรหัสผ่าน แต่ไม่ได้เปิดใช้งานตามค่าเริ่มต้นใน Ubuntu แต่คุณอาจจะคิดว่าroot
เป็นเหมือนwww-data
, lp
, nobody
และบัญชีที่ไม่ใช่มนุษย์อื่น ๆ (เรียกใช้cat /etc/passwd
หรือgetent passwd
ดูทั้งหมด)
ผู้ใช้ที่เป็นมนุษย์เข้าสู่ระบบด้วยบัญชีผู้ใช้ของตัวเองและจากนั้นหากงานบางอย่างจะต้องดำเนินการกับบัญชีผู้ใช้อื่นพวกเขาทำให้งานที่จะดำเนินการกับตัวตนนั้นโดยไม่ต้องเข้าสู่ระบบในฐานะผู้ใช้ที่จริง
เป็นไปได้ที่จะกำหนดค่าผู้ใช้ที่ไม่ใช่ผู้อื่นเช่นwww-data
เพื่อให้สามารถเข้าสู่ระบบในฐานะพวกเขาเช่นกัน นั่นคือค่อนข้างหายาก แต่ในขณะที่บาง Unix อื่น ๆ เช่นระบบปฏิบัติการเป็นปกติที่จะเข้าสู่ระบบเป็นในขั้วroot
ความเสี่ยงจากการทำงานของอินเตอร์เฟซแบบกราฟิกทั้งหมดเป็นroot
บวกกับจำนวนโปรแกรมกราฟิกไม่ได้ออกแบบมาให้ทำงานเป็นroot
และอาจไม่ทำงานอย่างถูกต้องหมายถึงว่าคุณไม่ควรพยายามที่จะได้รับroot
เป็นเจ้าของเซสชั่นสก์ท็อป
โปรดทราบว่าในขณะที่เข้าสู่ระบบในขณะที่root
ถูกปิดใช้งานโดยเริ่มต้นในอูบุนตูมีวิธีการที่จะได้รับroot
เปลือกโดยไม่ต้องตรวจสอบเป็นroot
ที่ผลิตผลที่คล้ายกัน: พบมากที่สุดคือsudo -s
หรือ-i
, โหมดการกู้คืนและเทคนิคที่คล้ายกัน (ไม่ต้องกังวลหากคุณไม่รู้ว่าสิ่งเหล่านั้นคืออะไร) นี่ไม่ใช่การเข้าสู่ระบบจริง: ในโหมดการกู้คืนคุณroot
จะเข้าสู่ระบบก่อนที่จะมีการเข้าสู่ระบบใด ๆ ด้วยsudo
เมธอด -based คุณเพียงแค่เรียกใช้เชลล์ในฐานะรูท
ผู้ดูแลระบบ
ใน Ubuntu ผู้บริหารเป็นผู้ใช้ที่สามารถทำสิ่งที่พวกเขาต้องการให้เป็นroot
, เมื่อพวกเขาเลือกที่จะทำเช่นนั้น
การตั้งค่าระบบ> บัญชีผู้ใช้ "Eliah Kagan" เป็นผู้ดูแลระบบเพื่อให้เขาสามารถทำสิ่งที่เป็นroot
แต่เขาไม่ได้root
ฉันเป็นผู้ดูแลระบบ Ubuntu ของฉัน เมื่อฉันเรียกใช้โปรแกรมโดยปกติพวกเขาจะทำงานเป็นek
("Eliah Kagan" เป็นชื่อเต็มที่ตรงกับek
ชื่อผู้ใช้)
เมื่อฉันเรียก AbiWord หรือ LibreOffice ek
ก็ทำงานเป็น เมื่อผมใช้ Firefox, ek
โครเมียมเอาใจใส่หรือพิดจิ้นก็ทำงานเป็น ek
โปรแกรมที่ทำงานเพื่อให้การดำเนินการอินเตอร์เฟซที่เป็นสก์ท็อป
อย่างไรก็ตามฉันเป็นผู้ดูแลระบบดังนั้นหากฉันต้องการทำงานธุรการฉันสามารถทำได้
sudo
บนบรรทัดคำสั่งฉันมักจะใช้sudo
เพื่อเรียกใช้คำสั่งเป็นroot
:
sudo command...
นี่จะแจ้งให้ฉันใส่รหัสผ่าน (ไม่ใช่root
รหัสผ่านroot
ไม่มีรหัส)
root
เพราะผมเป็นผู้ดูแลระบบจะสามารถดำเนินการเป็น ในการกำหนดค่าเริ่มต้นฉันต้องป้อนรหัสผ่านเพื่อทำสิ่งนี้
- ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบไม่สามารถดำเนินการ
root
ได้แม้โดยใส่รหัสผ่าน sudo
คำสั่งจะล้มเหลวหากผู้ใช้ที่รันพวกเขาไม่ใช่ผู้ดูแลระบบ
เพราะผู้บริหารเป็นผู้ใช้สามัญอย่างสมบูรณ์ยกเว้นสำหรับความสามารถในการดำเนินการในขณะที่root
ทำงานคำสั่งที่ต้องมีroot
สิทธิพิเศษจะยังคงล้มเหลวยกเว้นเมื่อคำสั่งจะถูกเรียกว่าเป็นroot
สกรีนช็อตที่แสดงถึงความจำเป็นในการใช้sudo
เพื่อดำเนินงานด้านการบริหาร (อ้างอิงจาก"Sandwich"โดยRandall Munroe )
sudo แบบกราฟิก
โปรแกรมกราฟิกสามารถเรียกใช้root
ผ่านfrontends กราฟิกสำหรับsudo
เช่นgksu
/gksudo
kdesudo
และ ตัวอย่างเช่นในการเรียกใช้ GParted เป็นฉันสามารถเรียกใช้root
gksudo gparted
จากนั้นฉันจะได้รับแจ้งให้ใส่รหัสผ่านของฉันแบบกราฟิก
เนื่องจากฉันได้รับแจ้งทางกราฟิกจึงไม่จำเป็นต้องเป็นเทอร์มินัล root
นี้เป็นหนึ่งในวิธีที่เครื่องมือในการดูแลจะดำเนินการเป็น
Polkit
Polkit (เคยรู้จัก PolicyKit) root
เป็นวิธีการที่ผู้บริหารที่จะทำสิ่งที่เป็นอื่น โปรแกรมเข้าถึงบริการที่ดำเนินการ บางครั้งการดำเนินการกำลังเรียกใช้โปรแกรมทั้งหมด บางครั้งการกระทำมี จำกัด มากขึ้น
วันนี้การบริหารระบบสาธารณูปโภคกราฟิกจำนวนมากมีการตั้งค่าการใช้ polkit sudo
โดยค่าเริ่มต้นมากกว่าที่จะใช้
ตัวอย่างหนึ่งของยูทิลิตี้ดังกล่าวคือ Software Center ใช้ประโยชน์จาก polkit อย่างเต็มที่โดยกำหนดให้ผู้ใช้ใส่รหัสผ่านเฉพาะเมื่อต้องการทำสิ่งที่ต้องการroot
สิทธิ์พิเศษ (สิ่งนี้เป็นไปได้ด้วยการsudo
พิสูจน์ตัวจริงโดยใช้ แต่ก็ยากขึ้นและไม่น่าจะสำเร็จได้)
ใน Software Center ฉันสามารถค้นหาและอ่านเกี่ยวกับแอปพลิเคชัน ฉันจะขอรหัสผ่านเมื่อฉันต้องการติดตั้ง
polkit แตกต่างกันอย่างไร
โปรแกรมกราฟิกใด ๆ สามารถทำงานได้เช่นเดียวroot
กับส่วนหน้าgksudo
แบบกราฟิกอื่น ๆ sudo
(โปรแกรมอาจทำงานได้ไม่ดีนักขึ้นอยู่กับว่ามันถูกออกแบบมาเพื่อใช้เป็นroot
หรือไม่ แต่คำสั่งเพื่อเริ่มโปรแกรมจะถูกเรียกใช้งานเป็นroot
)
ในขณะที่ polkit นั้นพบได้บ่อยกว่าsudo
GUI frontends เนื่องจากแอปพลิเคชั่นบน Ubuntu ทำหน้าที่เหมือนroot
ฉากหลัง polki จะเรียกใช้แอปพลิเคชั่นแบบกราฟิกเท่านั้นroot
หากมีไฟล์กำหนดค่าที่อนุญาตและระบุว่าจะทำงานอย่างไร
Polkit ไม่ใช่ภาพกราฟิก
pkexec
เป็นคำสั่งที่ใช้รันโปรแกรมด้วย polkit
เช่นsudo
, pkexec
สามารถเรียกใช้คำสั่งกราฟิกที่ไม่ใช่ (และไม่จำเป็นต้องมีไฟล์กำหนดค่าที่กำหนดความสามารถของคำสั่ง - เพียงแค่เรียกใช้คำสั่งเป็นroot
.)
pkexec command...
pkexec
แจ้งให้ใส่รหัสผ่านแบบกราฟิกแม้ว่าจะถูกเรียกใช้จากเทอร์มินัล (นี่เป็นหนึ่งในวิธีการทำงานที่คล้ายคลึงกับgksudo
การทำงานแบบตรงมากกว่าsudo
)
(หากไม่มี GUI - ตัวอย่างเช่นหากคุณลงชื่อเข้าใช้จากคอนโซลเสมือนหรือเซสชัน SSHแบบข้อความอย่างเดียวหรือ GUI ทำงานไม่ถูกต้อง - จากนั้นpkexec
จะลดระดับอย่างสุภาพและแจ้งรหัสผ่านของคุณในบรรทัดคำสั่ง .)
เมื่อทำการพิสูจน์ตัวตนสำเร็จแล้วคำสั่งจะรันในเทอร์มินัล
เรียกใช้คำสั่งเป็นผู้ใช้อื่นนอกจาก root
root
มีความพิเศษเพราะมันสามารถทำทุกอย่างที่ทำได้ แต่มันเป็นเช่นบัญชีผู้ใช้บัญชีใด ๆ และวิธีการในการใช้คำสั่งเป็นroot
กับsudo
(โดยตรงหรือกับหน้ากราฟิก) หรือ polkit สามารถปรับเปลี่ยนเล็กน้อยเพื่อเรียกใช้คำสั่งในฐานะผู้ใช้อื่น ๆ :
sudo -u username command...
gksudo -u username command...
pkexec --user username command...
อะไร? คุณเพิ่งพิมพ์sudo
ก่อนหรือไม่ ความปลอดภัยนั้นเป็นอย่างไร!
ใช้คำสั่งกับsudo
เป็นประเภทเช่นการเรียกinfalliblity ของสมเด็จพระสันตะปาปา
เมื่อคุณเรียกใช้คำสั่งกับsudo
[วิงวอนสันตะปาปาถูกต้อง] , อูบุนตู [folks คาทอลิก] พยายามอย่างหนักเพื่อให้แน่ใจว่าคุณจริงๆคุณ [จริงๆสมเด็จพระสันตะปาปา]
ใช่ฉันรู้ถึงความผิดพลาดของสมเด็จพระสันตะปาปา ขนานไม่สมบูรณ์
การพยายามทำบางสิ่งเช่นเดียวroot
กับsudo
(หรือ polkit) เป็นเรื่องใหญ่ - Ubuntu ไม่เพียงแค่ปล่อยสไลด์ดังกล่าวเหมือนทุกครั้งที่คุณเรียกใช้โปรแกรม
คุณได้รับการพร้อมท์สำหรับรหัสผ่านของคุณ (จากนั้นเมื่อคุณทำเช่นนั้นจะถูกจดจำเป็นระยะเวลาสั้น ๆ ดังนั้นคุณไม่จำเป็นต้องป้อนรหัสผ่านของคุณตลอดเวลาในขณะที่คุณดูแลระบบของคุณ)
นอกเหนือจากการเตือนให้คุณระวังสิ่งนี้จะป้องกันสองสถานการณ์:
- บางคนใช้คอมพิวเตอร์ของคุณ (หรืออุปกรณ์พกพา) อาจอยู่ภายใต้หน้ากากของการตรวจสอบอีเมลหรือจุดประสงค์ที่ไร้เดียงสาที่คล้ายกัน ที่นี่ยังเป็นไปได้สำหรับพวกเขาที่จะทำอันตราย - ตัวอย่างเช่นพวกเขาสามารถแก้ไขหรือลบเอกสารของคุณ อย่างไรก็ตามพวกเขาไม่สามารถจัดการระบบได้เนื่องจากไม่สามารถใส่รหัสผ่านของคุณได้
- โปรแกรมที่ไม่ควรดูแลระบบไม่สามารถทำได้เว้นแต่คุณจะป้อนรหัสผ่านของคุณ ตัวอย่างเช่นหากเว็บเบราว์เซอร์ของคุณถูกโจมตีด้วยจุดบกพร่องด้านความปลอดภัยและเรียกใช้รหัสที่เป็นอันตรายก็ยังคงไม่สามารถทำงานการดูแลระบบได้ ไม่สามารถสร้างและลบผู้ใช้แก้ไขโปรแกรมที่ติดตั้งเป็น
root
(ซึ่งรวมถึงสิ่งใดก็ตามที่ติดตั้งโดยตัวจัดการแพ็กเกจเช่น LibreOffice) หรือแก้ไขระบบในระดับลึก
su
ผมเคยได้ยิน นั่นอะไร? ฉันสามารถใช้มันได้หรือไม่
su
รับรองความถูกต้องเป็นผู้ใช้รายอื่นและเรียกใช้คำสั่ง (หรือเริ่มเปลือกโต้ตอบ) เป็นไปได้ที่จะ จำกัดผู้ที่ได้รับอนุญาตให้ใช้su
แต่su
รับรองความถูกต้องด้วยรหัสผ่านของบัญชีเป้าหมายไม่ใช่รหัสผ่านของผู้ใช้ที่ทำงานอยู่
ยกตัวอย่างเช่นการทำงานเป็นชื่อผู้ใช้เช่นเดียวกับsu username -c 'command...'
command...
sudo -u username command...
แต่เมื่อคุณเรียกใช้คำสั่งเป็นusername
กับsudo
คุณป้อนรหัสผ่านของคุณ เมื่อคุณเรียกใช้คำสั่งเช่นเดียวusername
กับsu
คุณป้อนusername
รหัสผ่านของ
ตั้งแต่su
การตรวจสอบการดำเนินการสำหรับผู้ใช้เป้าหมายด้วยsu
คุณสามารถเรียกใช้คำสั่งเท่านั้นเป็นผู้ใช้ที่มีบัญชีซึ่งมีการใช้งาน
root
บัญชี (ชอบwww-data
และnobody
) ถูกยกเลิกโดยปริยาย ไม่มีรหัสผ่านที่จะใช้ในการเข้าสู่ระบบroot
ได้ ดังนั้นคุณจึงไม่สามารถใช้ในการเรียกใช้คำสั่งเป็นsu
root
คุณสามารถใช้su
เพื่อเรียกใช้คำสั่งในฐานะผู้ใช้อื่นที่สามารถเข้าสู่ระบบ (ซึ่งโดยทั่วไปจะรวมบัญชีผู้ใช้ทั้งหมดในระบบของคุณที่เป็นตัวแทนของมนุษย์)
เมื่อเข้าสู่ระบบในฐานะแขกคุณไม่สามารถใช้งานsu
ได้เลย
การรวมsu
และsudo
คนที่ไม่ใช่ผู้ดูแลระบบสามารถใช้su
เพื่อเรียกใช้sudo
ในฐานะผู้ดูแลระบบได้ (นี่คือแม้ว่าตกลงขณะที่พวกเขาต้องใช้รหัสผ่านของผู้ดูแลระบบเพื่อเรียกใช้คำสั่งเป็นผู้ดูแล.) นั่นคือผู้ใช้ที่ จำกัด สามารถใช้su
ในการเรียกใช้ในการเรียกใช้คำสั่งเป็นsudo
root
สามารถมีลักษณะดังนี้:
su username -c 'sudo command...'
(การเรียกใช้โปรแกรมกราฟิกด้วยวิธีนี้ต้องใช้ความระมัดระวังเป็นพิเศษ )
จะไม่su
เป็นวิธีที่ปลอดภัยกว่าในการใช้คำสั่งroot
ใช่หรือไม่
อาจจะไม่.
เกิดอะไรขึ้นถ้าผู้ใช้ไม่ควรได้รับอนุญาตให้ทำหน้าที่เป็นroot
?
กำหนดให้เป็นผู้ใช้ที่ จำกัด แทนที่จะเป็นผู้ดูแลระบบ
เกิดอะไรขึ้นถ้าโปรแกรมทำงานในฐานะผู้ดูแลระบบพยายามที่sudo
จะroot
?
หากคุณไม่ได้กำหนดค่าใหม่sudo
เพื่อให้สำเร็จโดยไม่มีรหัสผ่านก็จะล้มเหลว
ไม่สามารถโปรแกรมที่ไม่ควรเรียกใช้เป็นroot
piggyback ในsudo
คำสั่งล่าสุดจึงไม่จำเป็นต้องใช้รหัสผ่านใช่หรือไม่
สิ่งนี้จะไม่ประสบความสำเร็จมากนัก ทุกวันนี้ระบบปฏิบัติการส่วนใหญ่ (รวมถึง Ubuntu) ได้sudo
กำหนดค่าไว้ตามค่าเริ่มต้นเพื่อให้การประทับเวลาใช้เฉพาะในบริบทที่ระบุเท่านั้น
ตัวอย่างเช่นถ้าฉันรันsudo ...
ในแท็บ Terminal หนึ่งและรับรองความถูกต้องสำเร็จsudo
ในแท็บอื่น (หรือเรียกใช้โดยโปรแกรม GUI ที่ไม่เกี่ยวข้องหรือว่าฉันเรียกใช้จากคอนโซลเสมือนหรือเซสชัน SSH) จะยังคงพร้อมท์ให้ใส่รหัสผ่าน แม้ว่ามันจะทำงานทันทีหลังจากนั้น
โปรแกรมที่ทำงานในฐานะผู้ใช้ X ไม่สามารถเข้าถึงรหัสผ่านของผู้ใช้ X ได้หรือไม่
เลขที่
หากโปรแกรมที่เป็นอันตรายสามารถเรียกใช้ในฐานะผู้ดูแลระบบไม่ได้ "ฟัง" สิ่งที่พิมพ์เมื่อผู้ดูแลระบบรับรองความถูกต้องด้วยsudo
หรือ polkit?
อาจเป็นไปได้ แต่แล้วมันอาจจะ "ฟัง" su
เพื่อพิมพ์รหัสผ่านใน
ถ้าฉันบอกรหัสผ่านให้ฉัน
อย่าบอกรหัสผ่านของคุณกับคนอื่น
จะเป็นอย่างไรถ้ามีคนรู้รหัสผ่านของฉันเพื่อทำอะไรบางอย่างในนามของฉัน แต่ฉันไม่ต้องการให้พวกเขาดูแลระบบ?
หากเป็นอย่างดีพวกเขาควรมีบัญชีผู้ใช้แยกต่างหากที่ช่วยให้พวกเขาทำสิ่งที่พวกเขาต้องทำ ตัวอย่างเช่นสามารถแชร์ไฟล์ระหว่างบัญชีทำให้ผู้ใช้หลายคนสามารถเขียนถึงพวกเขาในขณะที่ยังคงปฏิเสธการเข้าถึงผู้ใช้รายอื่น
อย่างไรก็ตามในสถานการณ์ที่อาจอนุญาตให้ผู้ที่มีความน่าเชื่อถือน้อยลงแชร์บัญชีของคุณควรเป็นบัญชีผู้ใช้ที่มีข้อ จำกัด คุณสามารถสร้างบัญชีแยกต่างหากสำหรับวัตถุประสงค์นี้ (ซึ่งสมเหตุสมผล - หากเป็นบัญชีสำหรับคุณและคนอื่นที่คุณต้องการมีความสามารถที่แตกต่างกันควรเป็นบัญชีอื่น)
ดังนั้นจะเป็นสิ่งที่ปลอดภัยที่สุดที่จะไม่อนุญาตให้ทั้งสองsudo
และsu
และทำให้คนเข้าสู่ระบบเป็นroot
ด้วยตนเอง?
ไม่เพราะมีข้อเสียร้ายแรงที่เกี่ยวข้องกับการอนุญาตให้บุคคลอื่นลงชื่อเข้าใช้root
ด้วย root
เมื่อใดก็ตามที่เป็นไปได้จำนวนที่น้อยที่สุดของการกระทำที่เป็นไปได้ควรจะดำเนินการเป็น แม้แต่การกระทำส่วนใหญ่ที่เกี่ยวข้องโดยตรงกับการจัดการระบบ (เช่นการดูสิ่งที่ผู้ใช้กำหนดค่าและการอ่านบันทึก) มักไม่ต้องการroot
สิทธิ์
นอกจากนี้เช่นเดียวกับที่อาจเกิดขึ้นโปรแกรมที่เป็นอันตรายสามารถดูสิ่งที่ประเภทคนที่พวกเขาทำงานsudo
หรือsu
หรือสร้างปลอมsudo
/ su
รหัสผ่านพรอมต์ที่อาจเกิดขึ้นโปรแกรมที่เป็นอันตรายสามารถสร้างหน้าจอล็อกอินปลอมเกินไป
อะไรทำให้ผู้ใช้เป็นผู้ดูแลระบบ
สมาชิกกลุ่ม
ใน Ubuntu 12.04 และต่อมาsudo
ผู้บริหารเป็นสมาชิกของกลุ่มที่เรียกว่า
ใน Ubuntu 11.10 และก่อนหน้านี้admin
ผู้บริหารเป็นสมาชิกของกลุ่มที่เรียกว่า
เมื่อระบบ Ubuntu ก่อน 12.04 ได้รับการอัพเกรดเป็น 12.04 หรือใหม่กว่าadmin
กลุ่มจะถูกเก็บไว้เพื่อความเข้ากันได้แบบย้อนหลัง (และยังคงมอบอำนาจการดูแลระบบให้กับผู้ใช้ในนั้น) แต่sudo
ก็มีการใช้กลุ่มเช่นกัน
บัญชีผู้ใช้ที่ จำกัด
ฉันสามารถใช้บัญชีผู้ใช้แบบ จำกัด แทนบัญชีผู้ดูแลระบบได้หรือไม่
ถ้าคุณชอบแน่นอน สร้างบัญชีผู้ใช้ที่ จำกัด ในการตั้งค่าระบบ > บัญชีผู้ใช้และเข้าสู่ระบบในฐานะผู้ใช้นั้น
ฉันสามารถทำให้บัญชีผู้ดูแลระบบของฉันเป็นบัญชีผู้ใช้ที่ จำกัด ได้หรือไม่
ใช่เพียงลบออกจากsudo
และadmin
กลุ่ม (ดูด้านบน)
แต่คุณควรตรวจสอบให้แน่ใจว่ามีบัญชีผู้ดูแลระบบอย่างน้อยหนึ่งบัญชีเพื่อให้คุณสามารถดูแลระบบของคุณได้ ถ้ามีไม่ได้แล้วคุณจะต้องบูตโหมดการกู้คืนหรือซีดีที่มีชีวิตและทำให้ผู้ใช้บางคนเป็นผู้ดูแลระบบอีกครั้ง ( คล้ายกับการรีเซ็ตรหัสผ่านผู้ดูแลระบบที่หายไป )
เครื่องมือกราฟิกสำหรับการจัดการผู้ใช้และกลุ่มมักจะทำให้คุณไม่ต้องสร้างระบบโดยไม่มีผู้ดูแลระบบหรืออย่างน้อยก็เตือนคุณ โดยทั่วไปเครื่องมือบรรทัดคำสั่งจะไม่ (เชื่อว่าคุณรู้ว่าคุณกำลังทำอะไร)