sudo auf Server

[uname]

Wenn jeder root hat, koennen die doch auch die PWs der anderen sehen und neue rootlogins machen.

Naja sehen vielleicht nicht, da die Passwörter in /etc/shadow verschlüsselt sind. Aber leichter hacken oder per strace einfach am SSHD die Passwörter in Klartext mitlesen. Macht viel Spaß. Natürlich nutze ich selbst nur OTP oder SSH-Keys

[Lord_Carlos]

Wenn jeder root hat, koennen die doch auch die PWs der anderen sehen und neue rootlogins machen.

Naja sehen vielleicht nicht, da die Passwörter in /etc/shadow verschlüsselt sind.

Und wo ist der unterschied zu sudo?

[uname]

Keiner. War auch nicht das Thema. root ist root.

[Lord_Carlos]

Na dann. Ich versuche einfach nur heraus zu finden warum hier behauptet wird "Sudo sollte man vom server schmeisen"

Ich habe selber auch nochmal ein wenig umgeschaut, aber nirgends etwas gefunden was diese These unterschützt. Eher das gegenteil, weil es angeblich leichter ist bei sudo anhand der log herauszufinden welcher user was gemacht hat.

Ich sehe das mit sudo ein weiteres Werkzeug hinzugefügt wird, was potentiel kaputt / ausgenutzt werden kann. Aber dafuer muss der Angreifer ja erstmal auf den server kommen. (Angenomen man erlaubt kein pw login)

[Dimejo]

Na dann. Ich versuche einfach nur heraus zu finden warum hier behauptet wird "Sudo sollte man vom server schmeisen"

Das ist ziemlich hart formuliert. Benutze sudo wenn Du es brauchst, aber erlaube nicht jedem alles.

[Lord_Carlos]

Na dann. Ich versuche einfach nur heraus zu finden warum hier behauptet wird "Sudo sollte man vom server schmeisen"

Das ist ziemlich hart formuliert. Benutze sudo wenn Du es brauchst, aber erlaube nicht jedem alles.

Ah jetzt. Danke

Wenn ein Benutzter alle rechte bekommen soll: sudo ist besser wegen einfacher rechte verwaltung und logs.
Wenn ein Benutzter nur bestimmte sachen darf: 3x ueberlegen ob man ihm sudo und wenn ja mit welchen rechten gibt.

[wanne]

Ich habe selber auch nochmal ein wenig umgeschaut, aber nirgends etwas gefunden was diese These unterschützt. Eher das gegenteil, weil es angeblich leichter ist bei sudo anhand der log herauszufinden welcher user was gemacht hat.

Das ist eben genau der Kurzschluss zu dem sudo verleitet. sudo schreibt zwar logs, die können aber hervorragend verändert werden.
Das ist genau das Problem. Wenn Leute su nehmen dann weiß jeder, dass wer su - asuführen dar alle passwörter kennt, alle rechte hat und durch nichts überwacht werden kann (Bzw. nur von außen).
sudo trennt vermeitlcih zwischen verschiedenen Passwörtern, schreibt logs und verhindert einige offensichltich bösartige befehle.
Das ändert nichts daran, dass jemand der mit sudo root werden kann typischerweise auch alle passwörter bekommen kann. Bliebige Sachen machen kann (im Notfall indem er die Befehle anders nennt.) und eben dafür sorgen kann dass es keine logs gibt – oder gar logs die auf jemanden anderes lauten.

[Cae]

Warum reduziert ihr eigentlich sudo fast ausschliesslich auf "su root mit Benutzerpasswort"? sudo ist sehr viel vielseitiger, ich habe zum Beispiel einen Haufen explizit formulierter Befehle, die mein Benutzer darf. Davon bekommen genau drei root-Rechte: poweroff, reboot und ein Wrapper zum Netzwerk totmachen. Sowas geht bei mir ueber sudo und einen alias anstatt ueber irgendwelchen polkit-Mist.

Mit dem Rest der Regeln kann ich die Benutzerrechte von einzelnen Zweckbenutzern erhalten, deren Programme zum Beispiel nicht ~/.ssh/ lesen duerfen sollen. Ich wuerde verrueckt werden, wenn ich fuer jede Interaktion da ein Passwort fuer eingeben sollte. Oder noch bekloppter, ssh user2@localhost oder aehnlicher Murks.

Btw., wenn man die Manipulationen von Logs fuerchtet, stellt man einen dedizierten Logging-Server auf oder verwendet etwas wie SELinux, wo root eben nicht beliebige Dateien beschreiben darf.

Gruss Cae

[Lord_Carlos]

Ich habe selber auch nochmal ein wenig umgeschaut, aber nirgends etwas gefunden was diese These unterschützt. Eher das gegenteil, weil es angeblich leichter ist bei sudo anhand der log herauszufinden welcher user was gemacht hat.

Das ist eben genau der Kurzschluss zu dem sudo verleitet. sudo schreibt zwar logs, die können aber hervorragend verändert werden.
Das ist genau das Problem. Wenn Leute su nehmen dann weiß jeder, dass wer su - asuführen dar alle passwörter kennt, alle rechte hat und durch nichts überwacht werden kann (Bzw. nur von außen).

Also ... wenn mir vorher klar ist das sudo aehnliches anrichten kann wie root, dann hat es kein Nachteil?

Benutzern den ich root anvertraue kann ich somit auch sudo mit vollen Rechten geben. Und wenn man sich dann fragt, "Wer hat den jetzt den Webserver abgeschatet" kann man es einfach nachgucken welcher benutzter es genau war. (Es sei denn er will verstecken)

Warum wuerdest du in solch ein Situation allen Benutzern "auf jeden Fall" root geben?

[scientific]

Was mich bei sudo irritiert ist die Tatsache, dass man "nur" das Benutzerkennwort knacken muss, und man kann auf den Rechner vollen Zugriff erlangen... Also gebe ich Usern, denen ich wenig vertraue auch keine root-Rechte. Sowohl per root-Passwort noch per sudo.

Wenn es jemandem gelingt "das" Passwort zu hacken (ob das einen Benutzeraccounts mit sudo-Rechten, oder das root-Passwort), dann ist der Rechner auch geknackt.

Und sudo ist _ein_ Einfallstor mehr. Ich gehe aber davon aus, dass sudo ein Eingangstor ist, das von den Entwicklern und Administratoren mit Video, Bewegungsmelder, Wärmemelder, Stolperdraht uvm. überwacht wird, da es eben ein sehr exponiertes Einfallstor ist...

Ich habe auch den leisen Verdacht, dass sudo von manchen deswegen abgelehnt wird, weil es "neumodisches, und gar noch aus der Ubuntuecke stammendes Zeugs" ist, das man grundsätzlich nicht mag. Aber das mag nur mein Eindruck sein.
Als ich vor einigen Jahren Linux kennenlernte, hat mir mein Mentor diesbezüglich sehr scharf und eindrücklich erklärt, dass nur HTML1.0, fvwm1, su und xdm das "einzig Wahre" wäre... alles andere braucht man bei Linux nicht. Hab schon lange den Kontakt zu ihm verloren... Ich nehme an, er wird auch systemd nicht brauchen, genausowenig wie er eben auch sudo benötigte. Und in dieser Ecke der Linux-Gemeinschaft ist es dicht gedrängt.

Hab mich einmal mit sudo ein wenig näher auseinander gesetzt und die Konfigurationsbeispiele studiert. Da kann man wirklich schöne Dinge damit anstellen und feingranular Rechte vergeben. Wie ein Vorposter schon erwähnte... nicht nur um root-Rechte zu bekommen, sondern auch um div. Befehle einfachst unter anderen User-IDs auszuführen.

Ich hab hier am Rechner ein root-Terminal, welches einen roten Hintergrund hat (im Gegensatz zu Elfenbein beim normalen User-Terminal) und mein Prompt als root ist auch rot. Damit bin ICH gewarnt, dass ich in diesen Terminals aufpassen muss.
Und wenns wirklich ums manipulierbare Logging geht... Loggingserver, systemd-Binärlogfiles... usw. wurde auch schon erwähnt.
Und gegen Paranoia hilft nix. Gegen Altersstarrsinn hilft leider auch nix. Aber das ist eine andere Diskussion.

Just my 2 cent

scientific

[wanne]

Hab mich einmal mit sudo ein wenig näher auseinander gesetzt und die Konfigurationsbeispiele studiert. Da kann man wirklich schöne Dinge damit anstellen und feingranular Rechte vergeben. Wie ein Vorposter schon erwähnte...

Nein. Kannst du nicht. Ich habe bis jetzt in jedem sudoers file, der mehr als 10 Zeilen hatte ne Lücke gefunden, wo man durchschlüpefen kann um volle root rechte zu erlangen.
sudo ist einfach predestiniert dazu fehler zu machen.
Die kombination aus für das menschiche intuitonsvermögen viel zu mächtige formale Grammatik und den 100 unstrukturierten möglichkeiten der Bash sind einfach tödlich. Insbesondere für unbedarfte Anfänger, die das im normalfall verwenden.

HTML 1.0

HTML1.0 gibt es nicht. Aber bei der Einführung von HTML4.0 wurden ganz sicher Fehler gemacht. Es verhällt sich da wie oben mit sudo. HTML4.0 ist wahnsinnig fehleranfällig. Das hat man beim W3C im übrigen offensichtlich selbst erkannt. In allen späteren Versionen hat man die Schärfsten Kanten entfernt . Das gilt insbesonderen für XHTML1.0. Aber das war den Webentwicklern ziemlich scheißegal. Man wollte es bequem haben nicht sicher uns stabiel.

Und dass man ein bisschen aus der Geschichte lernt und gewisse Ansätze die sich immer wieder falsch herausgestellt haben hat absolut nichts mit altersstarrsinn zu tun. Damit fühle ich mit nichtmal 30 auch viel zu jung. Dazu gehört eben dass komplexe Sprachen in sicherheitskritischen Bereichen einfach nichts zu suchen haben. Die bash ignoriert mittlerweile genau aus dem Grund das suid Bit. Da hat man gelernt. Über sudo führt man sich genau dieses verhalten wieder über die hintertür ein. (Und weil du Systemd erwähnt hast: Zu große zusammenhängende Konstrukte ins Systemkritischen Bereichen sind auch so ein nogo. Dewswegen wird das von den gleichen Leuten abgelehnt. Und das heißt nicht, dass die perse ale Neuerungen ablehen. Nur eben solche die Ideen enthalten die sich in der Vergangenheit schon als dumm herausgestellt haben.)

Auch einer der Gründe, warum Software so schlecht funktioniert. Für jeden grundsätzlichen Fehler den man an bestimmter stelle erkannt hat und ausräumt kommen mindestens fünf Leute die genau die Gleiche Idee mit neuem Namen wider an anderer Stelle wider einbauen.

[scientific]

http://cetus.sakura.ne.jp/htmllint/tags ... ion=html10

"Gibt es nicht" gibt es nicht.

Das war Suse, welches mit 4.2 als erste Versionsnummer released wurde und nicht mit 1.0.
Macht auch nix, warst ja erst knapp über 10, als das "Internet erfunden" wurde.

Das WebDAV-Protokoll ist übrigens integraler Bestandteil von HTML 1.0 gewesen. Bzw. in der ersten Version war ein gleichwertiger Down- wie Upload vorgesehen, da damals noch nicht absehbar war, welch Schindluder man mit diesem Protokoll betreiben könnte... mit ein paar 100 Rechnern im Netz... Hat sich viel weiterentwickelt seit damals.

lg scientific

[wanne]

http://cetus.sakura.ne.jp/htmllint/tags ... ion=html10

"Gibt es nicht" gibt es nicht.

Ich kann auch aum meine Webseite Hauen, dass ich jetzt ne spezifikation für HTML217 gibt. Für 4,30€ im monat und die ersten beiden wochen Gratis bist du sakura dabei. Nichtmal ne eigene Domain hat er sich geleistet...
Für mich ist HTML das, was das W3C rausgibt.
Auf der Originaldomain verweist man im übrigen sogar auf das nie erschienene HTML+

[scientific]

Hmmm dann wollen wir halt einmal in der Geschichte wühlen...

Ich selber hab meine ersten Interneterfahrungen 1993 in der Schule gemacht. Nachdem in Zeitung und Nachrichten von diesem Internet, das gerade erfunden wurde, berichtet wurde, haben wir unseren EDV-Lehrer wochenlang genervt, er möge es uns doch bitte zeigen...


15 Minuten und eine 3/4 geladene Website später hat er abgebrochen und meinte, das wäre für die Schule zu teuer. Dieser Spaß alleine habe soeben 500 Schillinge gekostet. (sind so um die 35€ heute).

Das war ein HTML ohne Versionsnummer. Das nächste veröffentlichte hatte dann Version 2.0

Für mein persönliches empfinden und meine Logik ist die Version vor 2.0 etwas zwischen 0.1 und 1.99... wahrscheinlich sogar 1.0

Aber wir können gerne darum diskutieren, welcher der richtige Name des Kindes ist.
Möchte ich aber nicht.

Unter "Versionen" findest du eine nette Zusammenfassung hier: http://de.m.wikipedia.org/wiki/Hypertex ... p_Language

Du kannst auch gerne recht behalten, dass es Version 1.0 nie gegeben hat. Aber dann biete ich dir einen Job an. Unser friseur stell Perücken her. Und um die Ausbeute zu erhöhen, sucht er jemanden, der für ihn die Haare einzeln spaltet. Soll ich dir das Inserat zukommen lassen?

Ich glaub nicht.

Friede?

Und jetzt bitte weiter mit sudo oder nicht sudo. Denn das ist hier die Frage.

[Lord_Carlos]

Und jetzt bitte weiter mit sudo oder nicht sudo. Denn das ist hier die Frage.

Nachdem ich diesen Thread gelesen habe ganz klar sudo. Jedenfalls wenn man es an Benutzer gibt die sowieso root bekommen haetten und sich nur via key einloggen.

Ich sehe den vorteil nicht das sich alle via root einloggen.

[cronoik]

Ich halte sudo auch für nützlich aber, da muss ich wanne Recht geben, nur wenn es richtig konfiguriert ist. Das ist allerdings kein Argument gegen sudo, denn wer sudo nicht konfigurieren kann der sollte von Servern und Benutzerrechten gleich die Finger lassen.

[uname]

Ich sehe es ähnlich. Das Problem ist einfach, dass der "admin-Benutzer" bei Ubuntu eine "root-Flatrate" per "sudo" bekommt. Da liegt der Fehler. Natürlich kann man wie bei Ubuntu einer Benutzergruppe mit "sudo" dieses Recht einräumen. Sinnvoll ist es aber eher nicht. Der "admin-Benutzer" möchte z.B. mal Synaptic nutzen. Dafür ist es natürlich notwendig, dass diese Anwendung als "root" läuft. Aber wenn der Benutzer mal "rm -rf /" ausführen möchte, kann er das auch per "sudo" als "root" wenn er das will. Und das ist dann vielleicht weniger sinnvoll. Wobei er könnte die Chance nutzen und ein ordentliches Betriebssystem installieren ... Windows.
Eigentlich ist es beim Server alles ähnlich. Nur dass es nicht bunt ist.

[scientific]

Jetzt muss ich aber zu sudo etwas interessantes berichten...

Ich habe gerade meinen Rechner gestartet, mich dann eingeloggt und nach einer knappen halben Stunde wollte ich mich das erste Mal per sudo in einem bestimmten Verzeichnis umsehen... Und ich wurde NICHT nach meinem Passwort gefragt.
Mir fiel dieses Verhalten schon öfter auf, aber da dachte ich jedesmal, ich habe vergessen, dass ich mich kurz zuvor schon einmal eingeloggt habe...

Zumal ich mit testing ja diesen Bug https://bugs.debian.org/cgi-bin/bugrepo ... bug=762465 am Rechner habe, irritiert mich dieses Verhalten jetzt schon sehr.

Ich habe in einem Skript eine Funktion eingebaut, welches per cron als root aufgerufen wird und mit sudo -u zum jeweiligen aktuell auf X eingeloggten User wird um dort mit notify-send eine Botschaft an den User zu senden.
Also root wird zum User!!

Und dieses Skript ist vor ein paar Minuten gelaufen, bevor ich mit »sudo -i« zu root werden wollte.

Kann das in einem Zusammenhang stehen???

Dez 05 14:17:01 venus sudo[5001]: root ... kob(uid=0)

Die Einträge von 14:17 stammen vom Skript
Um 14:24 war dann mein erster Versuch bewuust, mit sudo -i zu root zu werden. Da wurde ich nicht nach dem Passwort gefragt...

Im Skript ist folgender Aufruf:

Code: Alles auswählen

sudo -u $user /usr/bin/notify-send -t 2000 -i $ICON "`basename "/"$0|sed -e 's/^-//'`" "$message"

[reba]

sudo ist default auf 15 Minuten Gültigkeit eingestellt!
sudo in einem Skript einzusetzen, ist schon mehr als fahrlässig.
Setzen die sudo-Gueltigkeitsdauer auf 1 Minute oder weniger.

[scientific]

Das klärt die frage nicht.

Warum wird mein user "freigeschaltet", obwohl root sudo nutzte um mein user zu werden!

[deberik]

Im Skript ist folgender Aufruf:

Code: Alles auswählen

sudo -u $user /usr/bin/notify-send -t 2000 -i $ICON "`basename "/"$0|sed -e 's/^-//'`" "$message"

Warum wird mein user "freigeschaltet", obwohl root sudo nutzte um mein user zu werden!

-u user, --user=user
Run the command as a user other than the default target user (usually root ). (...)

Root verwendet sudo nicht um user zu werden, sondern der sudo-Befehl wird von user ausgeführt.

Edit: Wobei das Thema ja eigentlich abgetrennt gehört.