root vs. sudo?

[MoonKid]

Bin kurz davor ein neues System aufzusetzen und mache mir daher einige Grundsatzgedanken, die meine Entscheidung für eine bestimmte Distribution beeinflussen.

Bei Debian-/Ubuntu-basierten Distris stelle ich immer einen (für mich) entscheidenden Unterschied fest.

Bei Ubuntu gibt es ja per default nur einen User und der erlangt "einfach" per sudo root-Rechte. Das entspricht so in etwa auch dem UAC von Win7. Dabei ist das sudo-Passwort, das gleiche wie für den User selbst. Meinem Verständnis nach, wird bei systemkritischen Eingriffen (sudo) einfach nur eine Auffrischung des Passworts verlangt.

Bei Debian muss ich schon zur Installation zwei Benutzer (user & root) mit zwei Passwörtern anlegen. Das ist mir schon zuviel. Aber Debian denkt sich ja immer was dabei.

Also was ist der Hintergrund? Warum bleibt Debian bei dem älteren System und macht es nicht wie Ubuntu? Gibt es dadurch tatsächlich einen Sicherheitsgewinne?

[DeletedUserReAsG]

Bei Debian muss ich schon zur Installation zwei Benutzer (user & root) mit zwei Passwörtern anlegen. Das ist mir schon zuviel. Aber Debian denkt sich ja immer was dabei.

Musst du? Irgendwo war zu lesen, dass, wenn man das root-Passwort weglässt, man eine dem Ubuntu-Konzept ähnliche Konfiguration bekommt, bei der UID1000 in die sudoers gemalt wird.

Aus meiner Sicht ist ein normaler User, der alles via sudo starten kann, ein Sicherheitsverlust, ja. Zum Beispiel, dass er einmal sein Passwort eingeben muss, und dann für eine gewisse Zeit ohne neue Authentifikation praktisch mit Rootrechten unterwegs ist – was eine möglicherweise als User gestartete,bösartige Software sehr freuen kann. Oder sei’s auch nur, dass $User aus Gewohnheit vor jeden Befehl ein sudo schreibt (lacht nicht, sieht man leider oft genug), wodurch etwa ein Leerzeichen an der falschen Stelle bei einem rm-Lauf das / freischaufelt.

[cronoik]

Bei Debian muss ich schon zur Installation zwei Benutzer (user & root) mit zwei Passwörtern anlegen. Das ist mir schon zuviel. Aber Debian denkt sich ja immer was dabei.

Musst du nicht. Der Installer fragt dich ob du einen root Account erstellen möchtest und wenn du das verneinst passiert das was niemand geschrieben hat.

Ich denke sudo lohnt sich nur wenn mehrere Nutzer auf dem System arbeiten. Wenn man dort nur alleine ist, ist es meiner Meinung nach unnötig/"gefährlich". Denn dann kann man sich auch gleich als root anmelden (was ich nicht empfehle).

[wanne]

Zwei passwörter müssen nicht unbedingt unterschiedlich sein. Und sudo birgt im Alltag tatsächlich viele Gefahren. Defakto läuft man die ganze Zeit mit root rechten rum und ist sich dessen nicht mal bewusst. Ich habe gerade wieder vorgeführt, wie schön man sudo misbrauchen kann. (Regel war: /usr/sbin/python sript.py. Sowas ssieh dumm aus aber es gibt fast überall so probleme die irgendeiner umgeht.) Eine andere sache ist z.B. das Exportieren der DISPLAY variable. (Die auch erhalten wird, wenn man konfiguriert, dass alles gelöschet werden soll.) So kann man dann schön warten bis der user mit sudo das erste Programm mit rootrechten startet.
Wenns dir also nur um darum geht das 2. PW zu sparen nimm einfach für root und den User das gleiche pw.

[uname]

Leider ist der Thread noch nicht bei Smalltalk angekommen. Aber auch ich wollte meine äußern. Ich denke das ganze sudo-Zeug (in der Art wie es von Ubuntu genutzt wird) verunsichert die Anwender mehr als das es hilft. Es ist nämlich z.B. Quatsch zu denken, dass man bei Ubuntu keinen root-Benutzer braucht (oder schlimmer sogar denkt, dass es ihn nicht gibt). root gibt es dort auch mit im Prinzip genau zwei Unterschieden:
1.) root hat kein Passwort und kann sich demnach nicht anmelden
2.) ein oder mehrere andere Benutzer dürfen Befehle als "root" per "sudo" ausführen

Wenn ich für andere Leute (Einsteiger) Debian GNU/Linux installiere (installiere kein Ubuntu mehr), dann gibt es zwei Möglichkeiten:
1.) der Anwender versteht den Unterschied zwischen root und Benutzer und hat auch zwei Passwörter
2.) der Anwender versteht es nicht und dann vergebe ich das gleiche Passwort für den Benutzer und root.

Wer jetzt sagt 2.) wäre unter Debian unsicher dem sage ich, dass es unter Ubuntu genauso unsicher ist mit sudo-Konzept, da dort im Prinzip für den Benutzer und root auch das gleiche (wenn nicht sogar dasselbe) Passwort verwendet wird.

[schorschruffneck]

-----------------------------------------------------------------------------------------------------------------------------------------------------

[Radfahrer]

Es ist nicht so, dass unter Ubuntu der Nutzer und root dasselbe Passwort haben. Der root-Account hat gar kein Passwort, weil er bei Ubuntu überhaupt nicht benutzt wird.
Der erste, bei der Installation angelegte Nutzer (und nur der!), kann sich mittels sudo root-Rechte holen. Mit seinem eigenen Passwort! Wie das bei sudo nun mal ist.
Will man das nicht, so legt man mittels

Code: Alles auswählen

sudo passwd

ein Passwort für root an und hat dann einen ganz normalen root-Account mit eigenem Passwort.

Ich mag die Art, wie sudo unter Ubuntu eingesetzt wird auch nicht. Aber man sollte schon bei den Tatsachen bleiben.

[uname]

Das Problem ist vor allem, dass das sudo-Konzept von Ubuntu keinen wirklichen Mehrwert weder in Administration noch in Sicherheit gegenüber einem Debian-System mit dem gleichen Passwort für Benutzer und root liefert. Ein Ubuntu-Angreifer kennt die Ubuntu-Benutzerverwaltung und weiß somit, dass das Benutzerpasswort vom ersten Benutzer (UID 1000) im Regelfall auch gleich zu Administrationsrechten führt. Bei Debian könnte ein Angreifer denken, dass der Benutzer zu faul war ein root-Passwort auszudenken und hat dann ähnlichen Erfolg.
Sinnvoller wäre Ubuntu mit dem sudo-Konzept meiner Meinung nach nur dann, wenn es ein zweites Passwort gäbe (womit wir wieder beim root-Konzept wären) oder wenn man einen weiteren, produktiven Benutzer hätte, der nicht das sudo-Recht hat und natürlich über ein anderes Passwort verfügt.
Zur Anlehnung an Debian könnte man folgendes unter Ubuntu programmieren. Man ermöglicht root die Anmeldung, ändert passwd-PAM in der Form, dass die Änderung des Passworts von UID 1000 unmittelbar zur Änderung des root-Passworts führt, wirft sudo weg und ersetzt gksudo durch gksu. Der größte Aufwand wäre wohl in allen Dokumentationen das sinnlose "sudo" rauszuwerfen und auf "su" zu verweisen.

[thoerb]

Warum bleibt Debian bei dem älteren System und macht es nicht wie Ubuntu?

Nur mal so nebenbei bemerkt, so neu ist das gar nicht. Das gab es schon lange vor Debian und Ubuntu.

http://www.sudo.ws/sudo/history.html

[Radfahrer]

Warum bleibt Debian bei dem älteren System und macht es nicht wie Ubuntu?

Vielleicht, weil Debian ein richtiges Linux ist und daher auch einen richtigen root-Account bietet?

[TRex]

Die Argumentation "richtiger root-Account" ist doch auf der selben intellektuellen Ebene wie

Bei Debian muss ich schon zur Installation zwei Benutzer (user & root) mit zwei Passwörtern anlegen. Das ist mir schon zuviel. Aber Debian denkt sich ja immer was dabei.

Ich versuche mal Unterschiede/Argumente zu sammeln:

mehr oder weniger Passwörter

Wenn ich an meinem privaten Rechner ohne weitere Benutzer es für sinnvoll halte, dass ich mit einem einzigen Passwort auskomme, dann ist das doch wumpe. Das hat auch nix mit sudo vs. su zu tun - derjenige wird das dann auch manuell synchronisieren. sudo erlaubt mir auch im angemeldeten Zustand ohne Passwort zu administrieren. Wenn ich das so will, dann mach ich das so. Mit su geht das nicht - ob das nun ein Sicherheitsfeature oder fehlendes Bequemlichkeitsfeature ist, ist Geschmackssache. Wer das auf einem Multiusersystem oder gar Server macht, ist selbst schuld. Technische Lösungen lösen keine sozialen Probleme. Dass exploits ohne Passwort freie Hand haben, ist effektiv ein Konfigurationsproblem.

richtiger root-Account

Kriegt man durch einen Zweizeiler. Darum lass ich das nicht gelten. Was ist das überhaupt, ein richtiger root-Account? Warum ist das ohne Argumente mehr wert als eine ordentliche sudo-Konfiguration?

schlampige sudo-Konfiguration

Code: Alles auswählen

%wheel ALL=(ALL) NOPASSWD: ALL

Feuer frei, die Tore sind offen. Kein Argument gegen sudo, sondern gegen den, der das eingerichtet hat - unter der Voraussetzung, dass auf dem System eine Notwendigkeit für Passwortschutz herrscht. Ersetze NOPASSWD durch PASSWD und schon sind wir auf su-Niveau - 1 (ein Passwort für beide), was bereits weiter oben beschrieben wurde.

Erhalt der Umgebungsvariablen

Gibts bei beiden Systemen.

Edit: einige Argumente gibts auch hier:

https://help.ubuntu.com/community/RootSudo

[schorschruffneck]

-------------------------------------------------------------------------------------------------------------------------------------------------------------

[wanne]

Edit: einige Argumente gibts auch hier:

https://help.ubuntu.com/community/RootSudo

Die finde ichzum großen Teil falsch: 1-3 Treffen alle auch auf einen extra root account mit gleichem passwort zu.
Zu 4: Ob jetzt in /var/log oder in ~/.bash_history gelogt wird ist Wurst.
5 und 9 ist Quatsch -c bewirkt bei su genau das gleiche; Ein Befehl wird ausgeführt sudo sh gibt eine duaerhafte root shell. Hat absolut nichts mit dem Kommando zu tun.
6 und 8 täscht falsche sicherheit vor: Wer einmal root war kann das immer wieder werden. Will man su nur bestimmten Usern erlauben kann man das auch mit pam regeln. Aber wie gesagt: Funktioniert nur wenn die benutzer auch freiwillig mitspielen und gegen ehrliche nutzer braucht man kein rechtemanagement..
Zu 5. ist zu sagen, das UID 0 nicht unbedingt root heißen muss. Nur da Benutzernamen alles andere als geheim sind habt eigentlich noch nie jemand ernsthaft was daran verändern versucht.
Bleibt 7 Das ist tatsächlich ein Vorteil von sudo, den Ubuntu aber gar nicht nutzt. (Und der dank dem ziemlich obskuren aufbau von sudo auch nur extrem schwer zu nutzen ist.)

Dagegen fehlen die wichtigsten Nachteile:

• sudo ist ein zuätzliches sehr sicherheitskritisches Programm, das prinzipiell Sicherheitslücken haben kann.
• Das sehr häufig eingegebene (und damit leicht abfangbare) userpasswort wird systemkritisch.
• Es gibt diverse Möglichkeiten den useraccont so zu manipulieren, dass unaufmerksame Nutzer dem manipulator bim nächsten sudo root-rechte einräumen. Das gild in Teilen allerdings auch für su. – Direkte root logins haben dagegen andere Nachteile. Trotzdem fürht das in der Praxis dazu, dass der "Hauptaccount" so schützenswert ist wie sonstwo ein root account das wird aber selten beachtet.
• Unter ubuntu cached sudo es ist nur schwer zu überschauen, was ein nutzer gerade darf. Wobei die übergabe eine sudo accounts schon aus oben genanntem Grund problematisch ist.

[peschmae]

Ich halte die Diskussion ja im grossen und ganzen für irrelevant

Allerdings versuche ich den Einsatz von sudo so weit wie möglich zu beschränken, aus dem einfachen Grund dass es schwierig zu konfigurieren ist. Ich habs praktisch noch nie hingekriegt - auch nicht mit copy & paste - dass ein von mir neu angelegter Eintrag in der /etc/sudoers auf Anhieb das gemacht hat was ich wollte.
Sicherheitsmässig war das nie ein grösseres Problem - sudo "irrt" fast immer auf der sicheren Seite, aber extrem vertrauenserweckend finde ich sowas trotzdem nicht

MfG Peschmä

[guennid]

Allerdings versuche ich den Einsatz von sudo so weit wie möglich zu beschränken, aus dem einfachen Grund dass es schwierig zu konfigurieren ist. Ich habs praktisch noch nie hingekriegt

Das spricht mir aus der Seele. Aber wenn du das schon nicht kannst ...?

Ich versuche neben su, wo immer möglich super zu nutzen für Dinge, die ich automatisiert als root erledigen möchte, aber das kriege ich auch nicht immer hin und dann und nur dann wende ich mich notgedrungen sudo zu.

Grüße, Günther

[wanne]

sudo "irrt" fast immer auf der sicheren Seite, aber extrem vertrauenserweckend finde ich sowas trotzdem nicht

Das würde ich so nicht unterschreiben. Wie gesagt: Habe an der UNI schon mehrfach stellen gefunden wo sudo lücken für beliebiegen code freiließ. Obwohl das nicht gewollt war.