Logar como root: por que não? :: Elmord's Magic Valley

Logar como root: por que não?

2012-03-27 23:14 -0300. Tags: comp, unix, security, em-portugues

Há um bom tempo atrás eu li um cara argumentando que logar como root não é necessariamente ruim. Na época não pensei muito sobre o assunto, mas agora acho que o camarada tem razão. Em uma máquina com múltiplos usuários, ou um servidor, é importante proteger os dados de um usuário dos outros, e proteger o sistema dos usuários. Mas em um sistema com um único usuário, as vantagens de usar um usuário comum ao invés do root são de mínimas a nulas.

Ameaças à segurança do sistema incluem:

Keylogging, com o intuito de roubar alguma senha ou outra informação importante. Não requer acesso de root; basta se comportar como um window manager ou um input method.
Adulterar/destruir meus dados. Não requer acesso de root; eu tenho acesso aos meus dados.
Adulterar o sistema. Para quê mesmo? Volte para o 1. *
Destruir arquivos de sistema. Arquivos de sistema são bem menos importantes do que os meus arquivos pessoais, sendo facilmente recuperáveis.
Ouvir em uma porta menor que 1024. Nossa, que medo.

O que isso nos demonstra é que os mecanismos de segurança tradicionais do Unix são largamente inúteis nos ambientes atuais. Eles não me permitem dar direito a um programa de ler seus arquivos de configuração sem também dar direito de apagar meus arquivos pessoais, nem dar direito a um programa de alterar o relógio do sistema sem também dar direito de formatar o disco. Em um mundo ideal, quando eu dou um comando do tipo cp whatever.txt /home/docs/text/, o programa cp deveria receber não strings, mas sim handlers referindo-se ao arquivo e ao diretório em questão, e só teria acesso a esses dois itens, através dos handlers, e a mais nada. (Integrar isso em uma interface gráfica e garantir acesso a arquivos de configuração e outros recursos implícitos sem causar a loucura do usuário é deixado como um exercício para o leitor.) Essa é a idéia de segurança por capabilities (não confundir com as capabilities de mortal do POSIX).

Ainda não me convenci a me logar sempre como root, mas estou em vias de. Contrapontos são bem-vindos.

Unix is dead. Long live Unix.

[* Ok, um possível objetivo de adulterar o sistema é tornar futuros ataques invisíveis, coisa que não é em princípio possível sem acesso de root. Hmmrgh.]

[P.S.: O primeiro que reclamar do "há um tempo atrás" será sumariamente apedrejado.]

Comentários / Comments (1)

Marcus Aurelius, 2012-05-29 13:17:38 -0300 #

(Comment spree! Não sabia que tinha tantos posts novos no teu blog!)

Pois é! Essa separação de poderes entre root e usuários normais fica muito estranha quando, seja por design ou por distração, o uso de root (ou setuid root) para fazer coisas “avançadíssimas” como tocar um som, ler uma mídia externa, alterar a hora, ou desligar a máquina. Tudo bem, não é qualquer um que pode mandar um comando para desligar o servidor remoto, mas na minha máquina doméstica não faz sentido ter essa proteção! Enquanto isso, os arquivos pessoais continuam legíveis a qualquer programa...

Elmord's Magic Valley

Computers, languages, and computer languages. Às vezes em Português, sometimes in English.