home *** CD-ROM | disk | FTP | other *** search
/ linuxmafia.com 2016 / linuxmafia.com.tar / linuxmafia.com / kb / Security / linspire-root < prev    next >
Internet Message Format  |  2006-01-12  |  3KB
  1. From: Rick Moen <rick @linuxmafia.com>
  2. Subject: Re: winspire
  3. Newsgroups: comp.os.linux.hardware
  4. Organization: If you lived here, you'd be $HOME already.
  5. User-Agent: tin/1.7.10-20050815 ("Grimsay") (UNIX) (Linux/2.4.27-2-686 (i686))
  6. Date: Wed, 11 Jan 2006 19:53:51 -0500
  7.  
  8. Dave Stanton <me @privacy.net> wrote:
  9.  
  10. > I assume you are aware of the one major flaw with Linspire. That is
  11. > because they have made it as close as possible to windows, it runs as
  12. > root.
  13.  
  14.  
  15. Nope.
  16.  
  17. The reason this factual error keeps being repeated is that we traditional Linux users, not being in the target market, have little motivation to seek out Linspire, and so seldom have an opportunity to observe that it's simply not so.  (On rare occasions, Linspire's management makes public a "coupon" to download LinspireOS ISOs without charge.  I've pulled down a couple of those, out of curiosity, since I try to be familiar with all common distros and a selection of uncommon ones, too.)
  18.  
  19. The misconception became established because the _first_ release of LindowsOS (now LinspireOS) completed its installer without offering the option to create a non-root user at all.  Although the installed KDE-based system was thus fully multi-user capable, and had all the security controls of any standard Linux system, the path of least resistance was to use the root login for everything.  This struck just about everyone else as a design error -- and, in particular, as a nasty pitfall for the unwary newcomers who _are_ Lindows/Linspire's target audience -- and they got flamed for it.
  20.  
  21. Which was only fair.  What is _not_ fair is that "the tale grew in the telling", i.e., critics suggested that LindowsOS 1.0 _could not_ do anything except as root, which wasn't true even then, let alone subsequently.
  22.  
  23. Post-1.0, the company has somewhat grudgingly cleaned up its act _somewhat_, and should be given credit for that.  In the current 5.0 release (and, to my knowledge, all other >1.0 releases), right near the end of installation an "Advanced Settings" screen gets shown, which has explanatory text and six buttons:
  24.  
  25.    Set Password                Configure Dial-up Settings
  26.  
  27.    Add Users                   Rename this Computer
  28.  
  29.    Set Display Resolution      Configure Network Settings
  30.  
  31. Screenshot: http://shots.osdir.com/slideshows/slideshow.php?release=293&slide=36
  32.  
  33. One could _fairly_ criticise Lindows by saying that this is still much too low-key:  Novice users are rather likely to breeze right past any "Advanced Settings" setup screen though the traditional method of keeping your elbows on the Next button.
  34.  
  35. Most other Linux distributions specifically prompt you to create a non-root user (or, like Ubuntu/Kubuntu, push the user towards using _only_ a non-root user, with only sudo access to root-user authority), and oblige anyone bypassing the "create non-root user" routine to see some scold-for-risky-behaviour warning text.  Most will agree that Linspire is negligent for not doing so.
  36.  
  37. Moreover, Linspire's CEO and other spokesbeings have become notorious for making (in my opinion) irresponsible statements defending LinspireOS's installation defaults, claiming that there's nothing wrong with routine use of the root account for desktop boxes not offering network services.  Which is, of course, nonsense.
  38.  
  39. All of that having been said, it's still simply incorrect to say categorically that LinspireOS "runs as root".  
  40.