Miklos Capek wrote:
[...] Aber man muss doch auch für Anfänger Argumente liefern können, nicht nur sagen, das macht man nicht. Was macht ein Kind, den du sagst, es soll etwas nicht tun?
Hmm, Du hast nicht wie ein wirklicher Newbie und schon gar nicht wie ein Kind gewirkt, weswegen ich der Meinung war, dass Du Dich selbst ein wenig ueber das Thema haettest schlau machen koennen (es ist hier ja nur bedingt On-Topic). Primaere Antwort von mir, warum man als root nicht unter X arbeiten sollte: die X-Umgebung ist unsicher, es gab/gibt etliche Exploits - warum sollte man sich also dieser potenziellen Gefahr aussetzen? Hinzu kommt, dass viele Grafikprogramme a) wesentlich komplexer sind als Kommandozeilentools und daher von Natur aus anfaelliger sind (Programmierer sind auch nur Menschen) und b) oft nicht wirklich mit Sicherheitsaspekten designed und implementiert wurden (bei GUIs steht eben oft die anwenderfreundliche Bedienung im Vordergrund, nicht der Sicherheitsaspekt) - siehe dazu generell auch [1], [2] und [3]. Wie ich auch schon schrieb: schau Dir mal an, was alles fuer Prozesse starten, wenn Du Dich zum Beispiel als root via kdm in KDE einloggst. Selbst wenn Du Dich aber nicht direkt in KDE einloggst und einfach nur als root aus einem xterm eine KDE-Anwendung startest, kommt die ganze Aktivitaet mit Interprozesskommunikation in Gang... Als weiteren Gruende sehe ich: - Man sollte so wenig wie moeglich als root arbeiten. Loggt man sich graphisch als root ein, so ist die Verlockung gross, einfach mal einen Web-Browser aufzumachen und sich z.B. einen neuen Treiber herunterzuladen. Als root im INet surfen ist aber eine ziemlich dumme Aktion, die Bugs/Exploits diverser Web-Browser sind sicherlich auch Dir bekannt. Wechselst Du in so einem Falle wirklich auf einen einfachen User, bevor Du ins INet gehst? - Loggt man sich als root graphisch ein, wird man viele Aktionen machen, die man eigentlich nicht als root machen muss, was also potenziell gefaehrlich ist (ist auch eine Art Selbstschutz). - [... Liste weiter fortsetzbar...] In einer anderen Mail hast Du angefuehrt, dass eine GUI einen gewissen Schutz bietet, weil vor z.B. Loeschaktionen nochmals rueckgefragt wird. Das halte ich allerdings fuer kein wirkliches Argument (aus eigener leidvoller Erfahrung): mit der Zeit nerven die Rueckfragen einfach nur noch und man klickt schnell auf den OK-Button, ohne genau nachzuvollziehen, was da eigentlich steht und was fuer eine Aktion ausgefuehrt werden wuerde. Ich habe in meiner Linux-Anfangszeit mal meine Windows-Installation, die unter /dosc gemountet war, durch solch eine Aktion platt gemacht - das hat mich dann doch geheilt. Als root muss man immer aufmerksam sein, eine GUI schuetzt da IMHO nicht. Auf der Kommandozeile habe ich wenigstens die Chance, komplexere Aktionen erst einmal zu testen, indem ich z.B. in einer Schleife statt eines "rm" eben schlicht ein "echo" verwende. Bei grafischen Tools fehlt oft eine Moeglichkeit, sein Kommando (z.B. rekursives Loeschen) zu testen. Als root ist also immer 100% Aufmerksamkeit noetig. Dein Argument, es sei egal, ob man sich als root via kdm einloggt oder nicht, ist einfach zu widerlegen: Schau Dir an, wem der X-Server gehoert, wenn Du Dich als root direkt einloggst oder wenn Du Dich als User einloggst und per "sux" zu root wirst. Im zweiten Falle gehoert der X-Server dem User und es muss root erst erlaubt werden (da gibt es verschiedene Mechanismen), den X-Server des Users anzusprechen. In einer alten Email hast Du geschrieben, man muesse, wenn man "sux" nutzt, oft das Passwort eingeben etc. - wie ich schon mal schrieb: das ist nicht noetig. Du kannst einfach ein weiteres xterm abspalten (xterm &) und das ohne Passwort. Du kannst Programme im Vordergrund oder Hintergrund laufen lassen, Du kannst Programme anhalten, Du kannst Ausgaben umleiten, u.v.m. - ich sehe da ehrlich gesagt nicht die Umstaendlichkeit, die Du angefuehrt hast. Fazit: ich sehe keinen einzigen Grund, mehr als root zu machen als unbedingt noetig - in diesem Punkt sind sich sicher auch alle einig. Schon alleine das spricht IMHO gegen ein grafisches Login als root, andere Argumente wurden oben genannt, und es gibt sicherlich noch etliche weitere... Gruesse, Th. [1]http://www.linuxsecurity.com/docs/LDP/Security-HOWTO/local-security.html#roo... [2]http://www.kilnar.com/linux/linux-admin-FAQ/Linux-Admin-FAQ-8.html#ss8.5 [3]http://www.linuxsecurity.com/docs/LDP/Security-HOWTO/password-security.html#...