root-konto vs standardkonto

[Hakinger]

Jag har lyckats med att få en kompis att köra Linux. Men han ställde mig på pottan om detta med admin-konton.

I windows kan man ju skapa ett adminkonto och i den sen ett vanligt standardkonto som man använder istället för adminkontot (när man vill känna sig extra säker). Dvs man måste knappa in adminkontots lösenord för att göra systemförändringar/installationer.

I ubuntu skapas ju bara ett konto vid installationen. Den har adminrättigheter, men man måste knappa in kontots lösenord för systemförändringar eller när man använder sudo.

Ett par frågor uppkom som jag trasslat in mig i då jag inte förstår riktigt:
1. Kontot som skapas i ubuntu vid installationen. Är det motsvarande adminkonto i Windows som skapas vid installationen? men med skillnaden att man måste ange lösenordet vid systemförändringar i ubuntu?

2. Finns det någon vits med att i ubuntu logga in på det kontot man skapat vid installationen och där skapa ett konto utan adminrättigheter  och använda den som dagligt konto. dvs att när systemförändringar ska göras i standardkontot så använder man adminkontots lösenord (eftersom standardkontots lösenord inte fungerar för det)?

Frågan uppstod när kompisen frågade mig hur man loggar in på ubuntu ifall det enda kontot man har från installationen skulle t.ex. bli skadad av nåt malware eller annan skada så att man inte kan logga in. Jag föreslog då windowsvarianten att efter installationen skapa ett standardkonto som man använder istället.

 

Redigerad 26 september, 2019 av Pentti H

[Mikael63]

1. Ja det skulle jag påstå

2. Nej, det krånglar bara till det om man är ensam användare.

 

OM root-kontot skulle haverera tror jag inte man är hjälpt av att också ha ett vanligt konto.

Det är då bättre att skapa regelbundna backuper med Timeshift.

[Cecilia]

Om man är rädd för att ens konto ska bli skadat av någon anledning är det ju lämpligt att skapa ett likadant adminkonto, oavsett om det är Linux eller Windows. Det är inte särskilt bra att bara ha ett begränsat konto utan tillräckliga rättigheter när man ska försöka få det ordinarie kontot brukbart igen.

[fagerja]

Ubuntu och dess derivat har inte root-kontot aktiverat. Du kan aktivera root-kontot med kommandot sudo su -. Sedan lägger du in lösenord med kommandot passwd. Om du aktiverar root så använd ett starkt lösenord och använd kontot enbart för administrering. Med programmet visudo kan du redigera vilka rättigheter sudoers (användare som får använda sudo) har. Du måste ha root-rättigheter för att använda visudo.

 

Själv använder jag sudo vid enstaka ändringar och su vid mera omfattande. Det blir irriterande att hela tiden knäppa in lösenordet om man använder sudo vid omfattande ändringar.

 

[Automan]

22 timmar sedan, skrev Pentti H:

Ett par frågor uppkom som jag trasslat in mig i då jag inte förstår riktigt:
1. Kontot som skapas i ubuntu vid installationen. Är det motsvarande adminkonto i Windows som skapas vid installationen? men med skillnaden att man måste ange lösenordet vid systemförändringar i ubuntu?

Ja, det stämmer

 

22 timmar sedan, skrev Pentti H:

2. Finns det någon vits med att i ubuntu logga in på det kontot man skapat vid installationen och där skapa ett konto utan adminrättigheter  och använda den som dagligt konto. dvs att när systemförändringar ska göras i standardkontot så använder man adminkontots lösenord (eftersom standardkontots lösenord inte fungerar för det)?

Eftersom du normalt inte har något behov av adminrättigheter är det en god idé att skapa ett konto utan adminrättigheter. Det minskar risken ytterligare för att av misstag ändra eller ta bort något som ska vara kvar. 

 

22 timmar sedan, skrev Pentti H:

Frågan uppstod när kompisen frågade mig hur man loggar in på ubuntu ifall det enda kontot man har från installationen skulle t.ex. bli skadad av nåt malware eller annan skada så att man inte kan logga in. Jag föreslog då windowsvarianten att efter installationen skapa ett standardkonto som man använder istället.

Helt rätt förfarande, även om risken att drabbas av det är betydligt mindre. En annan fördel är att då har du kvar möjligheten att logga in med adminkontot för att där radera det infekterade kontot eller skapa upp ytterligare ett användarkonto.

 

 

[Mikael63]

2 timmar sedan, skrev Automan:

Det minskar risken ytterligare för att av misstag ändra eller ta bort något som ska vara kvar. 

Fast man kan ju ändå inte göra så mycket av detta utan att ange lösenordet för det konto som skapas vid installation.

 

Jag har visserligen inte haft annat konto än det enda som man skapar vid installationen men om jag skulle ha ett annat konto med lägre behörighet och ser att ex. Uppdateringshanteraren flaggar för att det finns nya uppdateringar, ska jag då tvingas logga ut från ett konto och in med ett annat, där jag likafullt måste verifiera med lösen för att uppdateringarna ska verkställas?

Nä, vilket onödigt bök...

[Automan]

6 timmar sedan, skrev Mikael63:

Fast man kan ju ändå inte göra så mycket av detta utan att ange lösenordet för det konto som skapas vid installation.

Visst är det så, men du kan göra ännu mindre med ett konto som saknar sudo behörighet och med det får du lite bättre säkerhet

6 timmar sedan, skrev Mikael63:

Jag har visserligen inte haft annat konto än det enda som man skapar vid installationen

Jag har alltid kört med konton som saknar sudo behörighet när jag är inloggad på datorn och inte är i behov av att installera eller avinstallera saker. Det har fungerat mycket bra för mig.

6 timmar sedan, skrev Mikael63:

men om jag skulle ha ett annat konto med lägre behörighet och ser att ex. Uppdateringshanteraren flaggar för att det finns nya uppdateringar, ska jag då tvingas logga ut från ett konto och in med ett annat, där jag likafullt måste verifiera med lösen för att uppdateringarna ska verkställas?

Nej, något sådant är inte nödvändigt. Är du inloggad med en användare som inte har sudo behörighet och vill installera uppdateringar, räcker det med att du anger lösenordet för den användare som har behörighet att köra sudo. Uppdateringarna kommer då att installeras och du behöver inte logga ut.

 

[Mikael63]

Jag ser nog att det är större risk att något går åt skogen om man som nybörjare ska fippla med olika konton än att bara ha ett konto..

 

Men det tycks råda förvirring, åtminstone från min sida, vilken gradskillnad det då är frågan om.

Skulle det gå att få en enkel förklaring där det då skulle ingå tre olika kontotyper varav den ena typen är den som skapas när man installerar ex. Linux Mint? 

[Hakinger]

Tack automan för svaret. Jag provade med att skapa ett adminkonto till och degraderade min dagliga till standardanvändare. Enda skillnaden jag upplevt hittills är att istället för att använda mitt vanliga lösenord använder jag admin-kontots vid uppdateringar, installationer osv.
Men det funkade inte längre att köra det terminalbaserade VPN Surfshark som jag har installerat när jag var admin i mitt dagliga konto. Den kräver lösenordet för det inloggade kontot för att starta.
Den säger som svar i terminalen att jag inte är med i sudoersgruppen (och att det kommer att rapporteras!... Till vem är oklart ) Antar att jag får installera om surfshark helt enkelt och ange admin-kontots lösenord vid installationen.

Hursomhelst så kommer jag nog att köra som standardanvändare och ha ett adminkonto. Kanske är det lite overkill till liten nytta, men det är inte särskilt besvärligt eller skadligt, och jag får samma fluffiga känsla av lite mer säkerhet som när jag använder windows där jag alltid kört som standardanvändare.
Men som Mikael63 påpekar så kanske det kan vara förvirrande för en absolut nybörjare som min polare som alltid kört med adminkontot i Windows.

Redigerad 28 september, 2019 av Pentti H

[Mikael63]

19 timmar sedan, skrev Automan:

Nej, något sådant är inte nödvändigt. Är du inloggad med en användare som inte har sudo behörighet och vill installera uppdateringar, räcker det med att du anger lösenordet för den användare som har behörighet att köra sudo. Uppdateringarna kommer då att installeras och du behöver inte logga ut.

Jag inser att det kanske var ett dåligt exempel, eller delvis.

Man måste till mitt försvar säga att jag under alla år, både i Windows och i Linux, enbart kört med en användare (förutom en period när det var flera familjemedlemmar som delade på en och samma dator) och jag har inte egentligen reflekterat över detta.

Men jag tror jag börjar inse en skillnad här...

 

De åtgärder som påkallar lösen, som ex. uppdatering då, efterfrågar ju enbart lösen. Jag tolkar resonemanget som att sådana åtgärder, som enbart kräver lösen, kan både en "vanlig" användare och en admin-användare få utföra bara lösen anges.

En åtgärd som kräver lite mer, som att spara (skriva över) en mycket viktig konfigurationsfil kräver dessutom att man "är" root. För att "bli" det anger man sudo + det man vill göra och anger då även lösen.

 

Om jag skulle förklara detta för mig själv, med de tre nivåerna jag skrev tidigare, skulle det kunna bli så här:

1. Den högsta nivån, root. En användare på nivå 2. kan "bli" root temporärt medan en användare på nivå 3. inte kan bli det.

2. En "privilegierad" användare som måste ange lösen för att ex. uppdatera eller lägga till en skrivare OCH som dessutom kan få "bli" root, nivå 1.

3. En vanlig användare som måste ange lösen för att ex. uppdatera eller lägga till en skrivare men som INTE kan få "bli" root, nivå 1.

 

Stämmer detta?

 

Och sorry @Pentti H för att jag kidnappar tråden för egna syften men du kanske också har nytta av detta.

[Automan]

Hej!

 

1 timme sedan, skrev Pentti H:

Tack automan för svaret. Jag provade med att skapa ett adminkonto till och degraderade min dagliga till standardanvändare. Enda skillnaden jag upplevt hittills är att istället för att använda mitt vanliga lösenord använder jag admin-kontots vid uppdateringar, installationer osv.

Hur man upplever det är beroende av hur ofta man är inne och gör ändringar i installationen, lägger till, tar bort program, ändrar i konfigurationsfiler mm. För min egen personliga del har jag inget behov av att ha sudo behörighet i det dagliga arbetet i datorn. 

 

1 timme sedan, skrev Pentti H:

Hursomhelst så kommer jag nog att köra som standardanvändare och ha ett adminkonto. Kanske är det lite overkill till liten nytta, men det är inte särskilt besvärligt eller skadligt, och jag får samma fluffiga känsla av lite mer säkerhet som när jag använder windows där jag alltid kört som standardanvändare.
Men som Mikael63 påpekar så kanske det kan vara förvirrande för en absolut nybörjare som min polare som alltid kört med adminkontot i Windows.

En dator blir inte säkrare än vad användaren tillåter den göra. Det kommer troligen fungera utan problem att alltid vara inloggad med ett konto som har sudo behörighet och så länge man tänkte efter INNAN man matar in sitt lösenord över vad det är som ska installeras är risken låg för att drabbas av problem.

 

Att jag ändå gör på detta sätt själv är mer för att det tillkommer ett extra steg innan jag kan ändra något i systemet och med det ökar möjligheten för att jag inte av slentrian matar in sudo lösenordet utan att läst igenom vad som kommer att ske.

 

 

[Automan]

Hej!

Ska försöka ge ett konkret exempel där det kan vara bra att inte ha sudo behörighet. Antag att vi har en familj med 2 vuxna och 2 barn som använder en dator gemensamt som har någon utgåva av Ubuntu installerad.

 

Datorn konfigureras med ett adminkonto som har sudo behörighet och därefter 4 konton med normal behörighet (Menar att de saknar sudo behörighet)

 

Varje familjemedlem loggar in på sitt eget konto, då datorn ska nyttjas.

 

Exempel 1

En av barnen hittar ett program på nätet som verkar intressant. Han eller hon laddar hem filen som är i .deb format. Dubbelklickar på den för att starta installationen. Får då en fråga om att ange sitt lösenord. Personen anger sitt lösenord, men får därefter ett felmeddelande att programmet inte kan installeras för personen är inte medlem i sudoers gruppen.

 

Exempel 2

En av familjemedlemmarna hittar ett intressant program, där det även finns ett separat programförråd som går att lägga till. Provar detta, men misslyckas för behörigheten saknas att genomföra detta.

 

I exemplen ovan kan alla nyttja datorn, men bara den som har tillgång till kontot med sudo behörighet kan göra ändringar i systemet.

 

50 minuter sedan, skrev Mikael63:

Om jag skulle förklara detta för mig själv, med de tre nivåerna jag skrev tidigare, skulle det kunna bli så här:

1. Den högsta nivån, root. En användare på nivå 2. kan "bli" root temporärt medan en användare på nivå 3. inte kan bli det.

2. En "privilegierad" användare som måste ange lösen för att ex. uppdatera eller lägga till en skrivare OCH som dessutom kan få "bli" root, nivå 1.

3. En vanlig användare som måste ange lösen för att ex. uppdatera eller lägga till en skrivare men som INTE kan få "bli" root, nivå 1.

 

Stämmer detta?

 

Och sorry @Pentti H för att jag kidnappar tråden för egna syften men du kanske också har nytta av detta.

 

Ja, det stämmer med visst tillägg för punkt 3.

 

Det är ingen skillnad i behörighet mellan att vara inloggad som root eller att du kör ett kommando med sudo. Bägge 2 ger full root access. Skillnaden ligger i att root har full  behörighet hela tiden, medan sudo ger root behörighet för det aktuella kommandot som ska köras.

 

En vanlig användare kan i princip inte göra några ändringar alls. För att installera t.ex. säkerhetsuppdateringar måste denne känna till lösenordet för det användarkonto som har sudo behörighet. Det räcker inte med att ange sitt eget lösenord. Dock krävs det ingen utloggning utan det räcker att ange lösenordet för användaren som har sudo behörighet.

 

Om det skulle finnas fler än 1 användare upplagt på datorn som har sudo behörighet, kommer "normal" användaren få upp en dialog, där denne kan ange för vilken av de 2 admin användarna som lösenordet ska anges.

 

Är man den ende som använder datorn och tänker efter INNAN man gör någon ändring är risken mycket låg för att drabbas av problem. För min egen del har jag gärna det extra besväret att byta användare de gånger jag har behov av att göra ändringar i installationen.

 

Sedan är också fördelen med Linux att man har friheten att själv välja hur man vill ha sitt system uppsatt. Har försökt argumentera varför jag föredrar att vara inloggad med användare utan sudo behörighet, men det innebär inte att det skulle vara fel av dig att endast köra med en användare. Det hela beror på vilka behov man har och vad som passar en själv bäst.