Sudo als root ersatz, welche nachteile hat der Benutzer?

[Lord_Carlos]

Durch den anderen sudo thread bin ich etwas verwirt geworden, deswegen Frage ich hier nochmal nach.

Situation A:
Ich benutzte auf meinem privaten laptop sudo um Programme (z.B. apt) mit den noetigen root rechten zu starten. Welchen nachteil habe ich dadurch gegen ueber jemanden der sudo nicht installiert hat?

Situation B:
Mal angenommen ich teile mir ein server mit 2 - 3 anderen Menschen. Alle sollen root rechte haben, welchen nachteil hat es das via sudo zu erledigen gegen ueber das jeder das root pw bekommt?

[guennid]

Er muss sich in ein zusätzliches, schwer durchschaubares Programm einarbeiten, für lauter Dinge, die er mit su ohne diesen Mehraufwand erledigen könnte. Ich würde die Frage mal umgekehrt formulieren: Welche Vorteile bietet ein zusätzliches sudo gegenüben su. Es gibt übrigens noch ein Prgrämmchen, das da mitspielt: super. Aber keine Angst, Poettering hat das Problem su ja schon im Blick.

Grüße, Günther

[Lord_Carlos]

Gut, stellen wir die Frage anders:

Mal angenommmen man macht folgendes:
apt-get install sudo
adduser foo sudo

Und dann die beiden Situationen von oben, welchen Nachteil hat der Benutzter?

______

Vorteil fuer mich persoehnlich:

• Kein umloggen erforderlich, daher werden alle befehle in einer bash history gespeichert.
• Wenn ein Befehl mehr rechte braucht als ich erst angenommen habe kann ich einfach sudo !! eingeben.
• Auf einem geteielten system kann ich jemanden die sudo rechte wieder nehmen, haette er das root pw gekannt muesste ich das wieder aendern und mehrere menschen muessten es sich neu merken.
• Es wird unter dem jeweiligen benutzter gelogged und nicht unter einem geteielten benutzter root.*

Ich will ich nicht von sudo ueberzeugen, ich will nur verstehen warum hier im Forum von sudo abgeraten wird. Ich verstehe es wirklich nicht.

*Steht im debian wiki, selber keine Erfahrung damit.

[catdog2]

Ich benutzte auf meinem privaten laptop sudo um Programme (z.B. apt) mit den noetigen root rechten zu starten. Welchen nachteil habe ich dadurch gegen ueber jemanden der sudo nicht installiert hat?

Sudo ist ein recht komplexes Programm was an sich schon mal die Angriffsfläche erhöht. Ansonsten kommt es sicherlich darauf an wie du es konfiguriert hast. Letzten Endes dürfe auf einem solchen System wo eh du root bist relativ unerheblich sein ob du sudo jetzt das user oder das root pw abfragen lässt. Selbst diese einige Minuten ohne Passwort Option ist wohl nicht so problematisch. Aktuell unter X dürfte eh alles was mit deinen Benutzerrechten läuft einfaches Spiel haben weil es einfach das PW abgreifen kann, egal ob es jetzt das von root ist oder dein eigenes.

Mal angenommen ich teile mir ein server mit 2 - 3 anderen Menschen. Alle sollen root rechte haben, welchen nachteil hat es das via sudo zu erledigen gegen ueber das jeder das root pw bekommt?

Da ist sudo eine sehr angenehme Sache. Es kann jeder sein eigenes Passwort wählen anstatt, dass alle das root PW kennen müssen, man kann versuche und fehl versuche loggen,jemanden aussperren ohne für alle das PW zu ändern,…. Da kommen die ganzen Features von sudo halt langsam zum tragen. Nachteile seh ich kaum. Zur Verbesserung der Sicherheit zusätzlich ssh nur per key und Verwendung dieser user nur für den Zweck des root werdens.

[uname]

Wer einmal root war könnte eine Hintertür eingebaut habe. Immer sudo zu schreiben ist müßig. Bei sudo -s wird man root und die History wäre als root gespeichert.
Beides hat Vor- und Nachteile. Ich brauche es persönlich aber nicht.

[guennid]

@Lord_Carlos
Niemand - der sich damit auskennt! - hat Nachteile durch die Benutzung von sudo. Es mag Szenarien geben, in denen es sinnvoll ist, sudo zu benutzen (ich denke, du hast eines angeführt). Es geht mir nicht um sudo-bashing. Ich denke nur, dass er für den "normalen" Desktopuser überflüssig ist, der, nur weil er von ubuntu kommt, meint, ein sudo benutzen zu sollen und sich damit nur eine zusätzliche Fehlerquelle schafft. Man müsste also differenzierter fragen: In welchen Zusammenhängen erscheint eine Benutzung von sudo sinnvoll. Ich selbst nutze es auch, wenn mir die Erstellung eines shell-scripts mit super zu kompliziert wird - aber ich mach's ungern, weil ich aufgrund der hervorragenden Dokumentation von sudo meistens nicht so recht weiß, was ich tue.

Grüße, Günther

[TomL]

Und dann die beiden Situationen von oben, welchen Nachteil hat der Benutzter?

Ich glaube, dass "sudo" keine Nachteile hat oder gefahren beinhaltet, die von dem PC-User selber ausgehen, schon mal gar nicht, wenn der weiss, was er tut. Ich bin nur leider zu ahnungslos um die Gefahr treffend einzuschätzen, die von aussen besteht. Wir zwei hatten das gerade noch an anderer Stelle, gestern oder vorgestern.... mit dem Browser und dem Filedialog, der zwar vom Browser ausgeführt wird, aber von der Website initiiert wird.

Das Problem an der Stelle ist, welches ich aber nicht genau einschätzen kann, was kann eine Website noch für Aktionen im Browser auslösen....?... möglicherweise auch durch eine Sicherheitslücke im Browser oder schlimmstenfalls durch eine Backdoor in einem anderen Programm welches Netzzugriffe ausübt... ?... und sei es nur, weils mich auf eine neue Version hinweist, denn dann ist es im Web. Wenn es einem Angreifer gelingt, die Kontrolle über irgendetwas in meinem PC zu übernehmen, was root-Rechte hat, ist die Sicherheit gelaufen.... oder mit anderen Worten, sie ist faktisch nicht mehr vorhanden. Und wenn ein Anwender in der Gruppe "sudo" enthalten ist, dann hat ein Angreifer die Chance (wenn er einmal drin ist) über tatsächlich alle Programme und Scripte, die sich über diese Gruppe autorisieren, die komplette Kontrolle über das System zu übernehmen.... bis hin, dass es für mich völlig unbemerkt bleibt, weil ich bewusst unter Debian auf einen Virenscanner verzichtet habe. Das heisst, ich würde eine Kompromittierung NIE bemerken.

Als Laie -der ich ganz sicher bin- halte ich die Gruppe "sudo" für gefährlich. Diese Haltung ist aber nicht neu bei mir..... ich habe das schon genauso restriktiv unter Windows mit der Gruppe "Administrator" gehandhabt.... und zwar knallhart.... bis hin zum Verzicht auf Programme, die Admin-Rechte für den Regelbetrieb benötigten. Das hat mich bisher in 20 oder 25 Jahren auf allen meinen Systemen davor bewahrt, jemals auch nur einen einzigen Virus beseitigen zu müssen.

[KBDCALLS]

Wenn man den Rechner mit keinem andern teilen muß und man weiß was man tut ist das kein Problem. Sobald man das User Passwort geknackt wird kann man sudo anstellen was man will. Es sei denn man konfiguriert sudo so das nur bestimmte Befehle erlaubt sind.

Zum Beispiel fdsik -l ist er laubt . Ein fdisk /devsda wäre dann verboten.

Man kann auch mit sudo www-data werden.

sudo -s -u www-data

Normalerweise darf der sich nicht einloggen.

Code: Alles auswählen

www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

Das passiert mit su und gesetztem Passwort.

Code: Alles auswählen

su www-data
Passwort: 
This account is currently not available.

[catdog2]

Es sei denn man konfiguriert sudo so das nur bestimmte Befehle erlaubt sind.

Man kann da aber in der Praxis nur einige sehr starr festgelegte Aktionen erlauben. Da ist man ansonsten schnell in Situationen wo man ausbrechen kann.

Das passiert mit su und gesetztem Passwort.

Code: Alles auswählen

# su -s /bin/bash www-data 
bash: /var/www/.bashrc: Permission denied
www-data@burns:/root$

[DeletedUserReAsG]

Ich denke, für den Benutzer gibt es keinen wirklichen Nachteil, sofern er sich an einige Grundsätze hält (etwa „Du sollst keine Fremdquellen nutzen!“) – wenn man für irgendwas mal wirklich zu root wechseln muss, tut‘s ein sudo su oder auch sudo bash. Für den Admin des Systems mag sich sich die Frage anders beantworten lassen, aber danach wurde hier ja nicht gefragt.

[catdog2]

tut‘s ein sudo su oder auch sudo bash

Weiss auch nicht warum manche immer su hinterherschieben, sudo -i sollts eigentlich tun und ist kürzer.

//edit: ok kürzer auch nicht aber es wirkt schlanker

[DeletedUserReAsG]

Dafür erkennt man bei sudo su/bash gleich, wo das Problem liegt (wenn man es als solches ansehen mag) – auch ohne sudo installieren und sich die Hilfe ausgeben lassen zu müssen, oder so.

[niesommer]

die komplette Kontrolle über das System zu übernehmen.... bis hin, dass es für mich völlig unbemerkt bleibt, weil ich bewusst unter Debian auf einen Virenscanner verzichtet habe. Das heisst, ich würde eine Kompromittierung NIE bemerken.

Virenscanner sind ja bis jetzt auch recht nutzlos unter Linux, zum Glück auch. Aber vor einer unbemerkten Kompromittierung kannst du dich schützen am einfachsten mit rkhunter es gibt aber noch eine reihe anderer Programme zu diesem Thema.
Das Stichwort für Desktopbenutzer ist: Intrusion Detection Systeme - IDS Host basiert also Host basierte Einbruchserkennung. Hier ein paar weiterführende links zu dem Thema:
IDS
grundlagen_sicherheit
rkhunter
http://www.pro-linux.de/artikel/2/453/i ... mp-co.html

Damit sollte es dir möglich sein das ein evtl. Einbruch nicht unbemerkt bleibt.
Aber eines ist noch zu beachten: immer wenn du updates fährst und es damit zu Änderungen kommt schlägt es Alarm! Das bedeutet eben das man das ganze bewusst und kontrolliert machen sollte.

Möglicher rkhunter befehl:

Code: Alles auswählen

rkhunter --update &&  rkhunter --versioncheck  && rkhunter --pkgmgr dpkg -c -sk

nach alarm bei updates (fehlalarm):

Code: Alles auswählen

rkhunter  --propupd

siehe:

Code: Alles auswählen

man rkhunter

Sonst stimme ich deinen Ausführungen wie auch die von @KBDCALLS zu. sudo gehört sinnvoll auf Servern eingesetzt, mit einer sehr genauen und aufwendigen Konfiguration der zugelassenen Befehle, sonst sehe ich sudo eher als Sicherheitsproblem an, ganz besonders in der berühmten Ubuntu Konfiguration.

Ich benutze nur su und früher als es das noch gab sux
http://mash-systems.de/blog/debian-whee ... lermeldung
http://mash-systems.de/blog/debian-jess ... nachbilden

[TomL]

Für mich ist bei der Betrachtung su oder sudo gar nicht relevant, mit welchem "Werkzeug" der User autorisiert wird, eine Admintätigkeit ausführen zu dürfen, weil beides ja zum selben Ergebnis führt, und anscheinend soll er das ja auch dürfen.

Mir geht's um was anderes. Ich stelle mir jetzt mal einen Raum vor, nehmen wir als Beispiel einen Lagerraum für besondere Verbrauchsmaterialien. Der Raum hat ne normale unverschlossene Tür, normale Drückergarnitur. Der Raum wird -so ist es beabsichtigt- nur von berechtigten Personen betreten. Das funktioniert solange gut, wie nicht in der pinkelpause des Pförtners jemand fremdes das Gebäude betritt. Der Raum ist zugänglich. Das ist die Situation, wie ich sie im übertragenen Sinne mit einem Eintrag in der Gruppe sudo gleichsetze.

Alternativ gibts die Möglichkeit, die Tür mit einer Schließfeder zu versehen, den Drücker gegen einen starren Knauf zu ersetzen und der handvoll Berechtigte nen Schlüssel zu geben, mit dem sie den Zugang zeitlich begrenzt öffnen. Das ist für mich die kurze Anmeldung mit su.

Na klar, man kann auch jedes sudo mit nem Passwort versehen, das spart zumindest bei Einzelaktionen das sonst notwendige exit. Ich habe mich halt gegen sudo als tägliches Allzweck-Werkzeug entschieden. Ich glaube, es ist egal was man tut,... wichtig ist zu wissen, was passieren könnte, und das man genau das selber im Griff hat .

[prankenandi]

Hallo,

eine Frage/Erwaehnung zu dem ganzen sudo vs su Thema haette ich nun doch noch, da es (irgendwie) noch keine Erwaehnung fand (, ich es uebersehen habe) oder vielleicht doch einfach zu trivial ist?!

Situation A:
Ich benutzte auf meinem privaten laptop sudo um Programme (z.B. apt) mit den noetigen root rechten zu starten. Welchen Nachteil habe ich dadurch gegen ueber jemanden der sudo nicht installiert hat?

Zitat aus dem wiki von Ubuntuusers: [1]

Der Befehl sudo ändert die Umgebungsvariable $HOME standardmäßig nicht auf den entsprechenden Pfad zum Ziel-Benutzer. Startet man Programme mit sudo, besteht die Gefahr, dass Konfigurationsdateien mit falschen Rechten im Heimatverzeichnis des ursprünglichen Benutzers erstellt werden. Startet dieser das Programm später unter seinem eigenen Namen - also ohne sudo - so kann er die Konfiguration nur noch lesend oder eventuell gar nicht mehr öffnen. Daher sollte sudo immer mit der Option -H verwendet werden. Dies gilt auch bei Systembefehlen, die keine Konfigurationsdateien unter $HOME ablegen. Die grafischen sudo-Alternativen leiden nicht unter diesem Problem: Dort wird die Umgebungsvariable $HOME umgestellt.

Nun habe ich das noch nie beachtet und m.W. auch noch nie Probleme gehabt, aber ist das nicht ein wichtiger Aspekt der ab und an bei der Erwaehnung von sudo Beachtung finden sollte? Vielleicht haben die Leute von Ubuntu mir auch einfach zu sehr "Angst" gemacht?! Auf jeden Fall war das mir als Laien nicht von Anfang an klar, bei der "blauaeugigen" Benutzung von sudo.

[1] https://wiki.ubuntuusers.de/sudo

[Lord_Carlos]

Sonst stimme ich deinen Ausführungen wie auch die von @KBDCALLS zu. sudo gehört sinnvoll auf Servern eingesetzt, mit einer sehr genauen und aufwendigen Konfiguration der zugelassenen Befehle, sonst sehe ich sudo eher als Sicherheitsproblem an, ganz besonders in der berühmten Ubuntu Konfiguration.

Wenn die Sudo Benutzter sowie vollen Zugriff bekommen sollen also eine direkte alternative zu root, ist die debian/ubuntu Konfiguration immernoch ein sicherheitsproblem?

Debian wiki sagt:

As of DebianSqueeze, if you ask for the Desktop task during the installation, that pulls in sudo with a default configuration that automatically grants sudo-ing rights to any member of the sudo group.

_____________

@TomL:
Eine Webseite hat nicht Zugriff auf deine Daten.
Wenn jemand es doch schafft ein Script auf deinen Rechner auszufuehren dann kann er sicherlich mit ein paar trix auch dein SU password abfangen. Z.B. eine art Keylogger oder schummel su. Ich bin mal so frei und behaupte dann ist es schon zu spaet.
Wenn jemand physikalischen Zugriff auf dein Rechner hat kann er auch eine live system starten und den Kernel austauschen