[sudo] password

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 15:56:15

Lord_Carlos hat geschrieben:Wenn du jetzt via einer webseite ein sudo befehl ausfuehen kannst. kannst du dann jetzt nicht schon die user .bashrc veraendern und das su password abfangen?
Ganz ehrlich... ich weiss nicht, was alles mit krimineller Energie möglich ist, weil ich mich noch nicht damit beschäftigt habe. Und ich denke eher in den Bahnen von Prävention als an Infiltration oder Infektion. Und bei der Prävention kenne ich den größten Schwachpunkt des Systems, das größte Risiko für das System... der Banause heisst "Tom" *lacht*.
Also ich bin davon überzeugt, dass root-Rechte für normale Anwender ein enormes Sicherheitsrisiko darstellen. Wer die .bashrc verändern kann, kann wahrscheinlich nach einiger Zeit alles tun, wenn der Anwender "sudo" darf. Ich habe auf keinem unserer Systeme root-Rechte und bin konsequent ebenso "nicht-privilegiert" wie alle anderen Anwender auch. Ganz im Gegenteil, ich habe für mich zur Verwendung sogar einen noch unprivilegierteren Benutzer "inet" angelegt.... mit dem ich im Web surfe. Und gucke ich auf den bösen Erwachsenen-Seiten gehe ich noch nen Schritt weiter.... nur gekapselt in einer VM. Tja, ein bisschen Paranoia darf ja wohl jeder ...oder? :mrgreen:

TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 15:58:20

Lord_Carlos hat geschrieben:Was?
*lacht*.... das waren zwei Beispiele.... nicht Bild UND NoPaste, sondern Bild (irgendwohin) ODER NoPaste :lol:

TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 16:05:56

äh.... zu Deinem Bild...... und das ist aus ihm geworden.....
https://www.youtube.com/watch?v=RpoHzLkWL_0
und in seiner Freizeit
https://www.youtube.com/watch?v=Oqklx9R6Obg

s.c.n.r.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: [sudo] password

Beitrag von Lord_Carlos » 08.12.2015 16:07:24

Wenn jemand via einer webseite deine bashrc veraendern kann, dann kann er auch dein 'su root' abfangen und es bringt dir nichts mehr.
Koennen webseiten aber (noch) nicht.

Wenn ich auf einer Webseite datenhochlade, dann durchsuch ich die Festplatte mit dem Browser, nicht mit JS von der webseite.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 08.12.2015 16:35:54

Danke für die Antworten. Ich verstehe aber immer noch nicht, warum ich als User, wenn ich ihm die Gruppe sudo gebe, Rechte bekommt, Pakete unter Gnome zu Verwalten und Updates etc. zu machen. Das alles geht "ohne" die installation von sudo. Warum ist das so und wo ist die sudo Gruppe konfiguriert, das Úser die in der sudo Gruppe sind Administrative Vorgänge erledigen dürfen?

Was ein sudo darf und was nicht wird meines wissens in der /etc/sudoers festgehalten. Warum geht das denn noch wenn ich einen beliebigen User die sudo grp zuteile? Es muss doch eine konigdatei irgendwo geben was die sudo Gruppe darf und was nicht.

uname
Beiträge: 12450
Registriert: 03.06.2008 09:33:02

Re: [sudo] password

Beitrag von uname » 08.12.2015 18:04:42

Les doch bitte noch mal meinen Beitrag von oben. Dann bekommst du auch deine Antworten.

TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 19:30:56

witesoul hat geschrieben:Danke für die Antworten. Ich verstehe aber immer noch nicht, warum ich als User, wenn ich ihm die Gruppe sudo gebe, Rechte bekommt, Pakete unter Gnome zu Verwalten und Updates etc. zu machen. Das alles geht "ohne" die installation von sudo. Warum ist das so und wo ist die sudo Gruppe konfiguriert, das Úser die in der sudo Gruppe sind Administrative Vorgänge erledigen dürfen?

Was ein sudo darf und was nicht wird meines wissens in der /etc/sudoers festgehalten. Warum geht das denn noch wenn ich einen beliebigen User die sudo grp zuteile? Es muss doch eine konigdatei irgendwo geben was die sudo Gruppe darf und was nicht.
Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root. Daraus leite ich ab, dass der Desktop beliebige Rechte vergeben kann, beliebige Programme als root auszuführen erlauben kann und letzten Endes alles "selber" prüft, parsed und ausführt. Dafür gibts dann vermutlich auch solche zusätzlichen Apps wie kdesudo oder gksudo, die innerhalb des Desktops mit entsprechenden root-Rechten autorisiert sind und quasi interne oder logisch integrierte Komponenten für den Desktop dasrstellen. An diesem Punkt kann die Gruppe 'sudo' vom Desktop und diesen sudo-Abkömmlingen m.E. ganz einfach direkt gelesen und innerhalb der GUI-Umgebung für die zum User delegierten root-Aufgaben entsprechend berücksichtigt werden.... eben wer darf, und wer nicht.

Geht man dann ins Terminal gilt auf einmal die normale Linux-Autorisierung, denn dort sind eben diese Desktop-Besonderheiten unbekannt und die Gruppe "sudo" ohne installiertes Paket "sudo" unwirksam. Und wenn man dort root-Rechte benötigt, macht man es als "su" oder es muss eben vorher das Paket "sudo" installiert werden, welches dann in der Folge die sudoers beachtet. Erst der folgende Eintrag in der sudoers

Code: Alles auswählen

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL
berücksichtigt die Gruppe 'sudo' und würde einen eingetragenen User autorisieren, root-Jobs zu erledigen. Obs wirklich so ist, weiss ich nicht... aber so, wie ich Debian bisher erlebt habe, gehe ich davon aus, dass es so ist. Die 'großen' Linux-Desktops müssen sich dem Windows-Komfort annähern, denn nur so ist Akzeptanz bei Umsteigern möglich. Und wenn ein GUI versucht. den Anwender vor der Konsole zu bewahren, also alles konsequent innerhab des GUI zu realisieren, gehts vermutlich nicht anders, als Linux an der einen oder anderen Stelle passend geradezubiegen... gerde auch vor dem Hintergrund, dass eben X nicht so einfach den User wechsel kann. Das heisst, wenn ich als User in der Konsole zu root geworden bin, ist es ja auch nicht so einfach möglich, ein GUI-Frontend zu starten - auch da bedarf es wieder weiterer Eingriffe. Die Konsole holt einen dann wieder auf den Boden der Tatsache zurück.

Hat jemand 'ne bessere Erklärung? :?:

Benutzeravatar
MSfree
Beiträge: 11668
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 08.12.2015 20:01:02

TomL hat geschrieben:Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root.
Deine Vermutung ist nicht richtig. Schau einfach selbst mit ps augx nach, welche Prozesse unter welchem Benutzer laufen.

Wenn ein Programm zwingend root-Rechte braucht, wie z.B. /usr/bin/passwd, weil es die Dateien /etc/passwd und /etc/shadow ändern können muß, wird im Dateisystem, gezielt für einige wenige Programme das suid-Bit gesetzt.

So zeigt z.B. der Befehl ls -l /usr/bin/passwd

-rwsr-xr-x 1 root root 39104 6. Dez 2009 /usr/bin/passwd

Das keine unscheinbare "s" heißt, daß das Porgramm mit den Rechten des Programmbesitzers (hier root) läuft.

Die gleiche Technik wendet man bei Desktopprogrammen an, wenn man es nicht vermeiden kann, Abläufe mit root-Rechten durchzuführen.'
Zuletzt geändert von MSfree am 09.12.2015 08:11:41, insgesamt 1-mal geändert.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 00:44:38

uname hat geschrieben:Les doch bitte noch mal meinen Beitrag von oben. Dann bekommst du auch deine Antworten.
uname ich denke du verstehst nicht meine Fragen.
TomL hat geschrieben: Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root.
MSfree hat geschrieben:Deine Vermutung ist nicht richtig. Schau einfach selbst mit ps augx nach, welche Prozesse unter welchem Benutzer laufen.
Wisst ihr denn auch wo diese Konfiguriert sind? Es ist ja ein Fakt, das die Gruppe sudo angelegt wird auch ohne das das sudo Paket installiert ist. Wo kann man also nach sehen wie die Gruppe sudo konfiguriert ist? Das würde mich sehr interessieren.

DeletedUserReAsG

Re: [sudo] password

Beitrag von DeletedUserReAsG » 09.12.2015 02:05:34

Wo kann man also nach sehen wie die Gruppe sudo konfiguriert ist?
Was genau meinst du? Wie der Eintrag in die Datei kommt? Wurde bei der Installation aus ’ner Vorlage übernommen. Oder welche Eigenschaften die Gruppe hat? Das, was in der /etc/group steht, ist alles, was an den Gruppen selbst konfiguriert sein kann. Dass ein Mitglied der Gruppe »sudo« das Programm sudo nutzen darf (sofern es installiert ist), ist keine Eigenschaft der Gruppe, vielmehr schaut das Programm selbst nach, ob der aufrufende User in der Gruppe ist oder nicht.

Kurz noch was anderes, weil ich gerade drüber gestolpert bin:
uname hat geschrieben:
charno hat geschrieben: Angeblich wird sudo automatisch installiert, und so konfiguriert dass der während der Installation angelegte Benutzer Benutzer alle Rechte hat, wenn während der Installation kein root-passwort angegeben wird.
Das stimmt für Debian nicht. Bei Ubuntu kommt der erste Benutzer (UID=1000) in eine Gruppe, die per sudo berechtigt ist beliebige Befehle als root auszuführen. Bei Debian ist dem nicht so.
In einem der Screenshots unter https://debian-handbook.info/browse/sta ... steps.html ist zu lesen: „If you leave this empty, the root account will be disabled and the system’s initial user account will be given the power to become root using the "sudo" command“.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 11:48:31

niemand hat geschrieben:Was genau meinst du? Wie der Eintrag in die Datei kommt?
Nach der Debian Installation existiert eine Gruppe sudo. Ganz "UNABHÄNGIG" ob sudo installiert wurde oder nicht. In meinem Fall ist "KEIN" sudo installiert. Ich kann aber unter der Gruppenverwaltung meinem User (nicht root) die Gruppe sudo zuweisen. Sobald ich in der Gruppe sudo mit meinem User Konto (nicht root) kann ich Pakete verwalten, Quellen einbinden und Pakete installieren Laufwerke mounten und möglicher weise noch viel mehr. Das alles geht mit dem Userpasswd (ich benötige kein rootpasswd).

Diese Funktionen beschränken sich allerdings "NUR" auf die in der Gnome Oberfläche gestarteten Programme. (KDE und andere habe ich nicht getestet). Programme wie z.B. Synapsis, oder im Nautilus eine Partition mounten.
Sobald ich in den Terminal gehe und sudo befehle starten will geht das nicht.... logischer weise, weil sudo ist "MIT ABSICHT NICHT" installiert.

Wie oben beschrieben ist aber denn noch der Gruppe sudo, Sonderrechte zugesprochen worden. Wo sind diese konfiguriert?
niemand hat geschrieben:Das, was in der /etc/group steht, ist alles, was an den Gruppen selbst konfiguriert sein kann.
In der /etc/group steht ja nur drin wer in welcher Gruppe ist. Der User bekommt aber Sonderrechte sobald er in der Gruppe sudo ist. Offensichtlich ist das wohl nicht alles dazu. Will das keiner sehen oder kann das keiner sehen? Oder drücke ich mich unverständlich aus?

Benutzeravatar
MSfree
Beiträge: 11668
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 09.12.2015 12:07:08

witesoul hat geschrieben:Wie oben beschrieben ist aber denn noch der Gruppe sudo, Sonderrechte zugesprochen worden. Wo sind diese konfiguriert?
Nein, sudo bekommt keine generellen Sonderrechte zugesprochen. Programme wie synaptic laufen mit suid root und damit mit root-Rechten. Diese Programme prüfen selbst intern ab, ob der aufrufende User in der sudo-Gruppe ist und schalten gewisse Möglichkeiten intern frei.

Da geht gar nichts über irgendwelche Konfigurationsdateien.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 12:12:14

Ach und das Synaptic der Gruppe sudo angehört habe ich auch gecheckt. Hier das Ergebnis.

Code: Alles auswählen

root@erde:~# cat /usr/share/menu/synaptic
?package(synaptic):needs="X11" \
  section="Applications/System/Package Management" \
  title="Synaptic Package Manager" \
  icon="/usr/share/synaptic/pixmaps/synaptic_32x32.xpm"\
  command="x-terminal-emulator -e synaptic-pkexec"
root@erde:~# which synaptic-pkexec
/usr/bin/synaptic-pkexec
root@erde:~# ls -l /usr/bin/synaptic-pkexec
-rwxr-xr-x 1 root root 43 Jan 30  2012 /usr/bin/synaptic-pkexec
root@erde:~# 
Das scheint dann ja irgend etwas mit dem x-terminal-emulator zu tun zu haben. Ob das noch in das sudo Thema rein passt möchte ich nicht entscheiden. Weil es ist ja auch eine sudo Basis existent.

Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.

Benutzeravatar
MSfree
Beiträge: 11668
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 09.12.2015 12:20:18

witesoul hat geschrieben:root@erde:~# which synaptic-pkexec
Sorry, ich benutze synaptic nicht und habe es auch nicht installiert. Aber meines (in dieser Hinsicht sicher veralteten) Wissens, sollte es auch eine Datei "synaptic" unter /usr/bin geben.
Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.
Das ist im C++-Quelltext für das Synaptic-Programm fest einprogrammiert und nicht von aussen beeinflußbar.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 12:50:02

Es trifft aber auch auf die Standartmäßige Paketverwaltung von Debian zu. Nautilus etc. Wozu nimmt man diese Funktionen in den Programmen auf und regt sich teilweise über das sudo System (Programm) auf? Wenn das in den Systemprogrammen selbst bereits vorprogrammiert ist. Dann ist sudo doch bereits fester Bestandteil des Betriebssystems und alle Sicherheitslücken die bei sudo bemängelt werden sind existent und fest verankert.

Rein theoretisch wäre dann sudo als eigenes Programm überflüssig!!! Denn es geht ja um die Sicherheit des Roots. Wenn ich einen normalen User Hacken würde und über die Paketverwaltung quellen hinzufügen würde, die infiziert sind, gute Nacht.

Vielleicht sehe ich das auch zu streng oder übersehe sogar etwas. Aber das ist wirklich nicht begreifbar für mich :facepalm: .

KP97
Beiträge: 3737
Registriert: 01.02.2013 15:07:36

Re: [sudo] password

Beitrag von KP97 » 09.12.2015 13:35:47

Es gibt nicht nur einen Mechanismus, der Programme mit Rootrechten startet.
Beispiele:
Das Paket policykit-1 bringt das Programm pkexec mit, welches u.a. von Synaptic verwendet wird.
Das Paket gksu bringt auch u.a. ein Rootterminal mit, evtl. hast Du das schon aufgerufen.
Dann gibt es noch su-to-root oder sux (veraltet), von den einzelnen Gruppen gar nicht erst zu reden.
@MSfree hat es ja schon ewähnt.
Du solltest die manpages lesen, dort ist das ganz gut erklärt.
Im debianhandbuch findet sich auch einiges dazu:
http://debiananwenderhandbuch.de/

Hier im Forum gab es schon öfter Diskussionen zu sudo, auch da hilft die Suchfunktion weiter.

TomL

Re: [sudo] password

Beitrag von TomL » 09.12.2015 13:52:21

witesoul hat geschrieben:Ach und das Synaptic der Gruppe sudo angehört habe ich auch gecheckt.

Code: Alles auswählen

root@erde:~# which synaptic-pkexec
/usr/bin/synaptic-pkexec
root@erde:~# ls -l /usr/bin/synaptic-pkexec
-rwxr-xr-x 1 root root 43 Jan 30  2012 /usr/bin/synaptic-pkexec
Das scheint dann ja irgend etwas mit dem x-terminal-emulator zu tun zu haben. Ob das noch in das sudo Thema rein passt möchte ich nicht entscheiden. Weil es ist ja auch eine sudo Basis existent.Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.
Ich habe das Gefühl, dass Du hier jede Menge völlig durcheinander wirfst...... ist aber nicht schlimm, weil das ja auch einigermaßen kompliziert ist. :roll:

root ist nicht sudo, Synaptic gehört nicht zur Gruppe "sudo", sondern dem Besitzer root. Das was Du hier als Beispiel anführst, beschreibt NUR die Besitzrechte, aber keine Ausführungsrechte. Das bedeutet nur, wem gehört die Datei "synaptic".... und hier ganz offensichtlich gehört sie dem Besitzer "root". Das hat aber überhaupt nix damit zu tun, wer berechtigt ist, sie auszuführen. Also in diesem Beispiel ist "root" zwar der Eigentümer der Datei, und dieser Eigentümer erlaubt ALLEN Benutzern sie zu starten. Das bedeutet, jeder kann das Programm zwar starten, aber nicht jeder ist zu dem berechtigt, was das Programm tut. Startet es ein unberechtigter User, wird es wohl gestartet, aber vermutlich mit einer Fehlermeldung beendet oder es verlangt das root-Password.

Was ist sudo? sudo ist -etwas missverständlich- zweierlei. Zum einen ist sudo ein Programm, was eigentlich bedeutet "substitute user and do". Und das bedeutet, dass ein User zum Stellvertreter eines anderen User wird.... üblicherweise durch/von "root". Aber dieser andere User muss ihm das zuvor erlauben.

Und zum zweiten ist sudo eine Gruppen-Eigenschaft, um mehreren unterschiedlichen User genau eben diese Vertreterrechte zu geben, wenn eben diese User in der Gruppe sudo durch das Gruppenkennzeichen der Gruppe sudo (GID) gruppiert werden. Das sollte eigentlich exakt das gleiche sein, als wenn man einen User unter Windows in die Gruppe "Administratoren" einträgt. Nur ist es das leider bei Linux nicht.... deshalb nicht, weil es keine durchgängige Beachtung der Gruppe "sudo" gibt. Wie du selber festgestellt hast, funktioniert es unter dem Desktop (weil der (wie ich oben schon erläutert habe) sein eigenen Süppchen kocht), aber in der Konsole funktionierts eben nicht.

Fazit:
Also, sudo ist einersetis ein Programm, was aber nicht zwingend installiert sein muss... aber dann funktioniert natürlich auch kein "sudo" in der Konsole
Die Gruppe "sudo" sollte eigentlich zu pauschalen Adminrechten autorisieren, tut sie aber nicht, weil sie eben nicht durchgängig beachtet wird.

Aber... und das ist das wichtige, Fakt ist: dem Moment, wo eine Anwendung entweder das Kommando "sudo" erfolgreich ausführt (auf Grund der Berechtigung des Users) oder es wegen der Gruppe "sudo" tut, ab dem Moment gibt es keine Sonderrechte für den User oder die Gruppe, sondern es werden einfach nur alle Beschränkungen aufgehoben. Warum? Weil er als temporärer "root" (Administrator) zu ALLEM berechtigt ist.

Mit dem Kommando "sudo" kann man sich bei der Ausführung eines Befehls temporär für diesen Befehl als Vertreter von "root" anmelden.... verwirrend ist, dass das überhaupt funktioniert. Meines Erachtens sollte es das auch nicht. Eindeutiger wäre es, wenn man "sudo root" schreiben müsste. Aber daraus kann man wieder folgendes ableiten: Du kannst auch mit dem Kommando "sudo" die Vertretung eines anderen Users übernehmen.... wenn Du der Klaus bist, dann zum Beispiel mit "sudo herbert", eben die Aufgaben von Herbert. Aber damit verlierst Du währenddessen deine root-Berechtigung, wenn Herbert eben diese Rechte nicht hat.... denn für die Vertretung bis du ja dann "Herbert".
Zuletzt geändert von TomL am 09.12.2015 14:22:52, insgesamt 3-mal geändert.

Benutzeravatar
MSfree
Beiträge: 11668
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 09.12.2015 14:01:15

witesoul hat geschrieben:Rein theoretisch wäre dann sudo als eigenes Programm überflüssig!!! Denn es geht ja um die Sicherheit des Roots. Wenn ich einen normalen User Hacken würde und über die Paketverwaltung quellen hinzufügen würde, die infiziert sind, gute Nacht.
Genau deshalb fleigt bei mit sudo auch von jedem Ubuntu sofort nach der Installation runter.

Hier mal ein ganz einfaches Beispiel, wie man sein System kompromitieren kann:

Code: Alles auswählen

sush.c:
----------------------------------------------------------
#include <stdio.h>

int main(void)
{
  seteuid(0);
  setuid(0);
  setgid(0);
  setegid(0);
  system("/bin/bash");
  return 0;
}
----------------------------------------------------------

su
gcc -o sush sush.c
chown root.root sush
chmod 4755 sush
exit
Jeder, der dann sush aufruft, bekommt eine bash mit root-Rechten. Daher empfehle ich, das Programm nach dem Ausprobieren auch schnell wieder zu löschen :mrgreen:

TomL

Re: [sudo] password

Beitrag von TomL » 09.12.2015 14:16:03

MSfree hat geschrieben:Genau deshalb fleigt bei mit sudo auch von jedem Ubuntu sofort nach der Installation runter.
Ich bin der Meinung, dass man "sudo" (App) durchaus verwenden kann. Man sollte nur tunlichst vermeiden, Anwender in der Gruppe "sudo" einzutragen. User in der Gruppe "sudo" ist für mich die gleiche Fahrlässigkeit wie unter Windows pauschale Adminrechte und deaktivierte UAC. Die Anwendung "sudo" ist prima, wenn man Anwender über die sudoers ganz explizit zu gewissen Dingen berechtigen will. Das in Verbindung mit nem Bash-Alias und der Anwender kann gewisse Dinge so tun, als wäre es ganz normaler Standardkram.

Und, was ich für eine Besonderheit halte, sind eigene Scripts, die rootrechte erfordern. Meines Erachtens dürfen solche Scripte niemals im Homedir des Users liegen, auf die er selber Schreibrechte hat. Alle meine eigenen Scripte, die root-Rechte erfordern, liegen ausnahmslos in /usr/local/bin und werden sofort, nach dem sie dort reinkopiert wurden, auf root:root und rwx, --x, --x festgeschrieben. Die Berechtigung für diese Scripte regel ich dann wieder über die sudoers, explizit für den User.... und da brauchts dann wieder "sudo". Aber einen User in der Gruppe "sudo" gibts bei mir auch nicht.

Benutzeravatar
MSfree
Beiträge: 11668
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 09.12.2015 14:42:55

TomL hat geschrieben:Ich bin der Meinung, dass man "sudo" (App) durchaus verwenden kann. Man sollte nur tunlichst vermeiden, Anwender in der Gruppe "sudo" einzutragen.
Naja, das Problem ist, daß das eine zum nächsten führt:

sudo usermod -G sudo $LOGNAME
User in der Gruppe "sudo" ist für mich die gleiche Fahrlässigkeit wie unter Windows pauschale Adminrechte und deaktivierte UAC.
Ach komm, UAC nervt doch nur unnötig!

*duck*
Die Anwendung "sudo" ist prima, wenn man Anwender über die sudoers ganz explizit zu gewissen Dingen berechtigen will.
Solange du ihm verbieten kannst usermod auszuführen.
und, was ich für eine Besonderheit halte, sind eigene Scripts, die rootrechte erfordern. Meines Erachtens dürfen solche Scripte niemals im Homedir des Users liegen, auf die er selber Schreibrechte hat.
Soweit ich mich erinnere, funktioniert suid bei Skripten nicht. Daher ist es ziemlich egal, wo sie liegen, sie werden immer mit dem Benutzer ausgeführt, der sie aufruft.

TomL

Re: AW: [sudo] password

Beitrag von TomL » 09.12.2015 15:14:28

Wie gesagt, keine pauschale rootberechtigung, sondern ich bezog mich explizit auf einzelne Programme oder Scripte. Ich bin auch gegen die grosse Kelle mit allumfassender Berechtigungen via Gruppe "sudo" oder NoPasswd in sudoers.
MSfree hat geschrieben:Soweit ich mich erinnere, funktioniert suid bei Skripten nicht. Daher ist es ziemlich egal, wo sie liegen, sie werden immer mit dem Benutzer ausgeführt, der sie aufruft.
Es geht um die Write-Rechte auf das Script. Wenn ein Script root-Jobs erledigt und der Anwender zum Start des scripts via sudoers berechtigt ist, darf der Anwender selber keinesfalls Write-Rechte auf das Script haben. Denn damit könnte er über das manipulierte Script quasi alles im Namen von root tun. Deswegen in usr/local/bin, aber ohne suid-bit, sondern explizit über sudoers berechtigt . Das Problem dabei ist imho nicht mal der Anwender, sondern ein möglicher Angreifer, der sich dessen bedient.

Mit "sudo" werden sie selbstverständlich mit root-Rechten aufgeführt.
Zuletzt geändert von TomL am 09.12.2015 15:29:44, insgesamt 1-mal geändert.

Benutzeravatar
MSfree
Beiträge: 11668
Registriert: 25.09.2007 19:59:30

Re: AW: [sudo] password

Beitrag von MSfree » 09.12.2015 15:27:33

TomL hat geschrieben:Es geht um die Write-Rechte auf das Script. Wenn ein Script root-Jobs erledigt und der Anwender zum Start des scripts via sudoers berechtigt ist, darf der Anwender selber keinesfalls Write-Rechte auf das Script haben.
Die Schreib- und Leserechte kann sich der Anwender aber per
sudo chmod a+rw <Skriptname>
vorher auch noch kurz beschaffen, um das Skript zu manipulieren.

TomL

Re: AW: [sudo] password

Beitrag von TomL » 09.12.2015 15:31:42

Nein, kann er nicht, wenn das Script in usr/local/bin liegt und diese Attribute hat: root:root und rwx,--x,--x
Und via Eintrag in der sudoers kann er es mit rootrechten ausführen, aber darüber hinaus geht nix.

Ich nutze das für mount, unmount, ifup, ifdown, systemctl poweroff. Genau das soll er, darf er, aber eben nichts anderes. Wo steht, dass er chmod mit root-Rechten starten darf? Du hast nicht alles gewissenhaft gelesen, was ich geschrieben haben ... und das so mühsam am Handy. *fg*
Zuletzt geändert von TomL am 09.12.2015 15:38:15, insgesamt 1-mal geändert.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 15:36:31

Danke für deine Mühe TomL, den andere ebenfalls.
TomL hat geschrieben:Aber... und das ist das wichtige, Fakt ist: dem Moment, wo eine Anwendung entweder das Kommando "sudo" erfolgreich ausführt (auf Grund der Berechtigung des Users) oder es wegen der Gruppe "sudo" tut, ab dem Moment gibt es keine Sonderrechte für den User oder die Gruppe, sondern es werden einfach nur alle Beschränkungen aufgehoben. Warum? Weil er als temporärer "root" (Administrator) zu ALLEM berechtigt ist.
Ich habe das nicht durcheinander gebracht, ich wollte nur sicher gehen, das es nichts mit den Besitzerrechten zu tun hat. Ich kenne Linux seit ich ein kleines Kind bin und habe unzählige male den Umstieg versucht, doch nie wirklich die Geduld gehabt. Von daher kenne ich etwas der Geschichte und Bedienfreundlichkeit etc., auch hat man mir gesagt, das sudo von Ubuntu in die Unix, Linux Welt eingeführt wurde. Wann wurde denn die Gruppe sudo und die Funktionen der Programme um die Beschränkungen aufzuheben gemacht worden?
Es gab doch sicherlich nicht von Anfang an die Gruppe sudo in der Installation von Debian Standard mäßig.

Sicherlich sehe ich das auch so, das jemanden in die sudo Gruppe zu packen ein hohes Sicherheitsrisiko ist, aber die Möglichkeit besteht. Wenn eine Möglichkeit besteht wird sie aber auch benutzt. Wenn sie benutzt wird, ist es mit der Sicherheit... naja... was eben so alles diskutiert wird.

Wo wir gerade beim diskutieren sind. Welches Suchwort müsste ich eingeben um Diskussionen über das Thema zu finden? Das ist echt ein starkes Stück was ich da jetzt gelesen habe. Mich würde interessieren was dazu die Fachleute zu sagen, wenn ich als leihe (ok, vielleicht nicht ganz) bereits solche Bedenken dazu habe.

Benutzeravatar
MSfree
Beiträge: 11668
Registriert: 25.09.2007 19:59:30

Re: AW: [sudo] password

Beitrag von MSfree » 09.12.2015 16:08:16

TomL hat geschrieben:Wo steht, dass er chmod mit root-Rechten starten darf? Du hast nicht alles gewissenhaft gelesen, was ich geschrieben haben ... und das so mühsam am Handy. *fg*
Doch doch, das habe ich schon gewissenhaft gelesen. Und es ist auch gut, wenn du das auf deinem System so feingranuliert und sorgfältig eingerichtet hast. Zumindest das, was Ubuntu mit sudo treibt, ist absolut haarsträubend und daher:

sudo passwd root

weil Ubuntu ein Zufallspasswort für root erzeugt, damit keiner sich als root anmelden kann :facepalm: Gefolgt von:.

apt-get purge sudo

Ich habe auch ehrlich gesagt, gar keine Lust, mir das jedesmal so wohlüberlegt einzurichten und dabei möglicherweise Flüchtigkeitsfehler zu machen. Für mich ist sudo broken by Design und gehört glücklicherweise nicht zur Standardeinrichtung bei Debian.

Antworten