Ada beberapa alasan:
-
traceability :Perintah yang dijalankan dengan sudo dicatat. Perintah yang dijalankan dengan bash adalah terkadang dicatat, tetapi dengan detail yang lebih sedikit dan menggunakan mekanisme yang mudah diblokir.
-
pemisahan hak istimewa :hampir setiap perintah tidak sama dengan setiap memerintah. Masih banyak yang tidak memerlukan root
-
pengeditan file :file web dimiliki oleh pengguna non-root dan dijalankan oleh pengguna non-root... jadi mengapa Anda mengeditnya dengan root?
-
mitigasi serangan :Pertimbangkan skenario yang benar-benar tidak hipotetis berikut ini:Workstation Anda mendapatkan beberapa malware di dalamnya yang memfilter login FTP/SCP/SFTP/SSH Anda dari database autentikasi tersimpan dari klien yang sesuai dan mengirimkannya ke penyerang. Penyerang masuk ke perangkat Anda untuk melakukan kerusakan. Sekarang, dapatkah mereka menutupi jejak mereka, atau akankah apa yang mereka lakukan terlihat oleh Anda? Saya berbicara dengan seseorang yang baru lebih dari sekali setiap minggu kepada siapa hal ini baru saja terjadi.
-
mitigasi serangan otomatis :Server yang diretas di Brasil sedang memindai jaringan Anda dan membuka server SSH yang mendengarkan. Nama pengguna apa yang digunakan penyerang untuk serangan otomatisnya? Mungkin
webuser
, atautest
, atauwww
atauadmin
-- tetapi lebih dari yang lain:root
.
Tentu ada banyak lagi alasan, tetapi ini adalah yang pertama muncul di kepala saya.
Baru saja melihat ini, agak terlambat, tapi...
Tidak - server web sederhana dapat dikelola oleh root dan pada dasarnya tetap aman.
Memang benar bahwa ada beberapa manfaat untuk admin sebagai non-root, tetapi ini kecil dan sangat dilebih-lebihkan oleh sebagian besar nasihat keamanan. Jauh lebih penting untuk mengamankan layanan yang dihadapi jaringan Anda. Tetap perbarui server web dan periksa kelemahan lapisan aplikasi di aplikasi web Anda.
Untuk menanggapi poin tylerl:
-
traceability - ini mungkin valid jika Anda memiliki beberapa admin, tetapi jika hanya Anda, maka Anda sepenuhnya dapat dilacak bekerja sebagai root.
-
pemisahan hak istimewa - Saya berharap dalam praktiknya Anda akan melakukan hal yang sangat kecil sebagai non-root sehingga tidak ada bedanya.
-
pengeditan file - Lihat di atas
-
mitigasi serangan - Jika Anda memiliki malware di workstation Anda, semua taruhan dibatalkan. Jika Anda menggunakan sudo tanpa kata sandi, serangan yang dia sebutkan masih berfungsi. Jika Anda menggunakan su maka malware dapat memperoleh kata sandi Anda menggunakan keylogger.
-
mitigasi serangan otomatis - Jika Anda mengikuti saran standar untuk menggunakan kata sandi yang kuat (atau gunakan kunci SSH sebagai gantinya) maka brute forcer tidak akan bisa masuk.