Безопасность администратора


Наиболее искомым счетом на вашей машине является счет суперпользователя - администратора (root). Этот счет имеет доступ ко всем ресурсам машины, который также может включать доступ к другим машинам в сети. Помните, что вы должны использовать счет администратора только для очень ограниченного набора определенных задач, а в большинстве случаев должны регистрироваться как обычный пользователь. Работать все время как администратор является ОЧЕНЬ ОЧЕНЬ ОЧЕНЬ ПЛОХОЙ ИДЕЕЙ.

Несколько приемов, чтобы избежать последствий из-за путаницы в счетах, с которыми вы работаете:

  • Когда выполняете некоторую комплексную команду, попытайтесь сначала запустить ее в неразрушающем виде ... особенно команды, содержащие заменители (wildmarks): например, вы собираетесь сделать "rm foo*.bak", а вместо этого сначала сделайте "ls foo*.bak" и убедитесь, что вы собираетесь удалить действительно то, что думаете. Также помогает использование подтверждений при выполнении таких команд.
  • Некоторые находят полезным делать "touch /-i" в их системах. Это заставит команды типа "rm -rf *" спрашивать вас, действительно ли вы хотите удалить все файлы. (Это происходит таким образом, что ваш shell сначала распознает "-i", и передает ее как опцию для rm). Однако это не поможет для rm команд без * в теле. ;(
  • Регистрируйтесь как администратор только для выполнения одиночных специфических задач. Если вы вдруг поймаете себя на том, что вы пытаетесь выяснить как что-то работает или как что-то сделать,- сейчас же перерегистрируйтесь как обычный пользователь и не возвращайтесь к счету администратора пока вы действительно не будете уверены, что нужно сделать администратору.
  • Очень важными являются _пути_по_умолчанию_ администратора. Путь по умолчанию, или переменная окружения PATH, определяет то место, где shell ищет программы. Попытайтесь ограничить пути по умолчанию администратора насколько это возможно и никогда не используйте '.', обозначающую "текущай каталог", в ваших установках PATH. Кроме этого никогда не разрешайте запись в каталоги, прописанные в переменной PATH, поскольку это может позволить взломщику модифицировать существующие или записать новые программы в этих каталогах, разрешив им таким образом запустить эту программу администратору в тот момент, когда ему понадобиться выполнить данную программу.


  • Содержание раздела