Hal berikutnya yang perlu dilihat adalah keamanan sistem anda menghadapi serangan pemakai lokal. Apakah kita baru saja menyebut "pemakai lokal"? ya.
Memperoleh akses ke pemakai lokal adalah salah satu hal yang diusahakan penyusup, pada saat berusaha mengeksploitasi rekening root. Dengan kurangnya keamanan lokal, mereka lalu dapat meng"upgrade" akses pemakai normal mereka ke akses root menggunakan berbagai bug atau setup pelayanan lokal yang tidak baik. Jika anda memastikan keamanan lokal anda ketat, maka penyusup akan perlu melompati rintangan lain.
Para pemakai lokal dapat pula menyebabkan banyak kerusakan terhadap sistem anda meski (khususnya) jika mereka benar-benar siapa yang mereka katakan. Dengan memberikan rekening kepada orang-orang yang tidak anda kenal atau tidak memiliki kontak informasi adalah sebuah ide yang buruk.
Anda perlu memastikan untuk memberikan rekening pemakai hanya sesuai dengan kebutuhan untuk menyelesaikan tugas mereka. Jika anda memberikan anak anda (usia 10) sebuah rekening, anda mungkin ingin mereka hanya dapat mengakses pengolah kata atau program gambar, tetapi tidak dapat menghapus data yang bukan miliknya.
Beberapa aturan yang baik ketika membolehkan orang lain berhak mengakses mesin Linux anda :
Banyak rekening pemakai lokal digunakan dalam gangguan keamanan adalah yang tidak pernah digunakan selama berbulan-bulan atau bertahun-tahun. Karena tidak ada yang menggunakannya mereka menjadi alat penyerangan yang ideal.
Rekening yang paling dicari di mesin anda adalah rekening superuser. Rekening ini memiliki otoritas atas seluruh mesin, yang mungkin juga mencakup otoritas atas mesin lain yang ada di jaringan. Ingatlah bahwa anda hanya perlu menggunakan rekening root untuk tugas tertentu yang singkat dan gunakanlah rekening pemakai normal untuk hal lainnya. Menggunakan rekening root sepanjang waktu adalah ide yang sangat sangat sangat buruk.
Beberapa trik untuk menghindari pengacauan komputer anda sebagai root:
Jika anda benar-benar butuh untuk mengijinkan seseorang (semoga sangat dapat dipercaya) untuk memiliki akses superuser pada mesin anda, terdapat beberapa alat yang dapat membantu. Sudo memungkinkan pemakai menggunakan password mereka untuk mengakses sejumlah perintah terbatas sebagai root. Hal ini akan memungkinkan anda untuk, sebagai contoh, mengijinkan pemakai untuk mengeluarkan dan melakukan mount media removable pada sistem Linux anda, tetapi tidak memiliki kewenangan root lainnya. Sudo juga mencatat usaha yang berhasil dan gagal, memungkinkan anda untuk melacak siapa yang menggunakan perintah apa untuk melakukan hal apa. Untuk alasan ini sudo bekerja dengan baik bahkan di tempat banyak orang memiliki akses root, tetapi gunakan sudo sehingga anda dapat melacak perubahan-perubahan yang terjadi.
Meskipun sudo dapat digunakan untuk memberi kewenangan khusus bagi pemakai untuk tugas khusus, ia juga memiliki beberapa kelemahan. Ia seharusnya digunakan untuk sejumlah tugas tertentu, seperti memulai kembali server, atau menambahkan pemakai baru. Program-program yang memberikan shell escape
akan memberi akses pemakai root. Ini mencakup kebanyakan editor, sebagai contoh. Juga, program seperti /bin/cat dapat digunakan untuk menulisi file, yang dapat menyebabkan root tereksploitasi. Pertimbangkan sudo sebagai cara bagi akuntabilitas, dan jangan mengharapkannya untuk mengganti pemakai root yang juga aman.