[OT] root VS sudo

[Iñaki <ibc2@euskalnet.net>]

El Jueves, 19 de Enero de 2006 14:58, Ricardo Frydman Eureka! escribió:
> Iñaki wrote:
> > El Jueves, 19 de Enero de 2006 00:52, Ricardo Araoz escribió:
> >>El Miércoles 18 Enero 2006 16:09, Ricardo Frydman Eureka! escribió:
> >>>Iñaki wrote:
> >>>>El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka!
> >
> > escribió:
> >>>>>Iñaki wrote:
> >>>>>>>Entiendo que el compañero se refiere al potencial uso como un
> >>>>>>> usuario normal de aplicaciones que normalmente no lanzarias como
> >>>>>>> Ruth y que puedan tener alguna vulnerabilidad conocida o no.
> >>>>>>>En ese caso, no queda mas que aceptar ese argumento.
> >>>>>>
> >>>>>>Yo es que lo veo justamente al revés, sé de muchos casos de usuarios
> >>>>>>que se meten en Linux y ante el primer problema de permisos recurren
> >>>>>>a hacer todo como root, incluso arrancar su KDE o Gnome (y luego
> >>>>>>encima se quejan de que no pueden entrar en KDE como root).
> >>>>>
> >>>>>son 2 instancias diferentes: en una el problema puede ser externo, en
> >>>>>el otro, al frente de la PC, interno.
> >>>>>
> >>>>>>Yo mismo en mi Debian muchas veces estoy en una consola logueado como
> >>>>>>root y la dejo abierta (porque se me olvida cerrarla o porque voy al
> >>>>>>baño). En esos momentos podría venir mi madre y hacer un "rm / -rf".
> >>>>>
> >>>>>Fijate que yo te estoy hablando de otra cosa: vulnerabilidades.
> >>>>>Hay muchas mas probabilidades que corras aplicaciones vulnerables al
> >>>>>nivel de usuario comun , que como root.
> >>>>
> >>>>Pero estamos en las mismas, cualquier aplicación corriendo como usuario
> >>>>normal que trate de ejecutar un comando privilegiado con "sudo..." no
> >>>>podrá hacerlo pues debería ingresar la clave de usuario que por
> >>>>supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde
> >>>>está el peligro.
> >>>
> >>>Fijate que pasa si como usuario comun escribes "passwd" y entenderas el
> >>>peligro, Iñaki!
> >>
> >>jajaja!!! Me parece que hace mucho que no entrás como usuario común....
> >> Si ponés "passwd" como usuario común, lo primero que hace es pedirte tu
> >> contraseña de usuario!!
>
> Es cierto! tienes razon en eso, de todas maneras Iñaki, no es dificil
> conseguir la clave del usuario que ya eres, es cuestion de tiempo...

¿Cómo?


> man script y otros...

No conocía ese comando, muy curioso y útil, pero no me sirve para hallar mi 
clave:

  Script started on jue 19 ene 2006 15:18:51 CET
  ibc@mchine ~ $ su
  Password:
  root@machine /home/ibc $ exit
  exit
  ibc@machine ~ $ su ibc
  Password:
  ibc@machine ~ $ exit
  exit
  ibc@machine ~ $ exit
  Script done on jue 19 ene 2006 15:19:21 CET

Vamos, que los password no se ven.  ¿?¿



> Si, si claro ahora me diras que revisas todos tus archivos de
> configuracion de usuario todos los dias....

En absoluto, pero tampoco entiendo qué quieres decir con ello.


> Evidentemente, no es algo /sencillo/ pero vamos a convenir que es
> preferible que el sujeto indeseable este /fuera/ del sistema y no dentro.

Pero ¿quién es el "sujeto indeseable" en tu ejemplo?


> Y si esta dentro, yo preferiria que no lo este como un user con sudo
> habilitado....
>
> Tu no?

Pues depende del escenario, a mi hermano con el que comparto ordenador ni 
siquiera le he llegado a hablar nunca de lo que es "root". Pero claro, para 
eso ya estoy yo.

En una oficina con un departamento de informática decente entiendo que lo 
lógico sería disponer sólo de usuarios normalitos sin privilegios y que sólo 
los encargados de los sistemas puedan realizar labores de administración en 
los equipos.

Pero queda un colectivo enorme: los usuarios domésticos, los que conforman por 
decir algo el 70% de usuarios de ordenadores. Son esos que van con sus padres 
al centro comercial y se compran una impresora con escáner y un joystick que 
al llegar a casa se dan cuenta de que no entra en ningún "gujero" del 
ordenador.

Esos usuarios no quieren, y yo lo entiendo, saber qué es eso de root y demás 
peripecias. No tienen a un informático en casa para administrar su ordenador 
e igual no pueden depender constantemente de su primo friki que les instala 
el "Fisfa"y les quita los virus por un chocolate con churros.

El método "Microsoft" de acercarse a este suculento mercado de usuarios sin 
conocimientos es el de crear por defecto una cuenta de "Administrador" con 
todo el poder del mundo. Es lamentable.

En Linux en cambio aparece una distro llamada K(U)buntu que evita el incordio 
del usuario root pero sigue garantizando la seguridad. Vale, de acuerdo, 
asumamos que por el uso de "sudo" hay una muy leve pérdida de seguridad, o 
mejor dicho, un leve aumento del posible riesgo.

Lo más valioso que tiene un ordenador doméstico está en la home de los 
usuarios normales, yo no tengo un servidor web en /var/www con un PHP y una 
base de datos administrando cuenta de empleados ni nada por el estilo, y los 
usuarios más normales mucho menos aún. Por ello no tiene sentido una política 
de seguridad que se base a toda costa en el usuario root y que además 
supondría impedimentos e incordios a los usuarios. Ninguno de ellos concibe 
que para cambiar la hora del ordenador haya que pedir permisos a ¿"root"?

Concluyendo, a mí lo de "sudo" para ordenadores domésticos me parece lo 
idóneo, es mucho más seguro que la basura del usuario "Administrador" de 
Windows y la seguridad del sistema sigue casi intacta. De hecho sólo existen 
conjeturas de que el uso de "sudo" podría suponer alguna amenaza o riesgo, 
pero nada palpable aún. Este mismo hilo es la prueba de ello.



Saludos.

-- 
y hasta aquí puedo leer...