[gelöst] Root-Rechte...?... ohne Gruppe sudo?

[TomL]

Moin

Ich habe mir gerade mal ein paar "Infos" und "Zustände" im System angesehen und dabei was festgestellt, was ich mal wieder nicht verstehe. Wieso kann ich mit "su" auf der Konsole root werden, wenn ich gar nicht in der Gruppe sudo enthalten bin?

Code: Alles auswählen

thomas@ThomasPC:~$ su
Passwort: 
root@ThomasPC:/home/thomas# getent group sudo
sudo:x:27:
root@ThomasPC:/home/thomas# 

root@ThomasPC:/home/thomas# groups thomas
thomas : thomas cdrom floppy audio dip video plugdev scanner lpadmin netdev bluetooth
root@ThomasPC:/home/thomas# 

Bedeutet das, dass jeder mit einem lokalen Benutzerkonto einfach root werden kann und sich alles auf der Platte anschauen kann? Ich weiss wohl, dass ich mich selber in in die sudoers eingetragen habe, mit thomas ALL=(ALL:ALL) ALL. Aber bislang war ich der Meinung, das funktioniert nur in Kombination mit der Gruppe sudo. Und da ich das anscheinend vergessen habe, bin ich jetzt umso mehr überrascht, dass das mit su so problemlos klappt.

[DeletedUserReAsG]

su steht für „select user“ und hat rein nichts mit sudo zu tun. Jeder, der das Passwort für den Zieluser kennt, kann es benutzen, jeder, der dass Passwort für root kennt, kann root werden, root kann es ohne Passwort für alle User nutzen.

[TomL]

su steht für „select user“ und hat rein nichts mit sudo zu tun. Jeder, der das Passwort für den Zieluser kennt, kann es benutzen, jeder, der dass Passwort für root kennt, kann root werden, root kann es ohne Passwort für alle User nutzen.

Würde das jetzt einen Unterschied ausmachen, wenn ich mich in die Gruppe "sudo" eintragen würde? Hat es Vorteile, das zu tun... ?.... oder eher Nachteile? Und was mich jetzt an Deiner Antwort irritiert ist der "select". Ich wähle ja gar keinen anderen User namentlich aus.... das würde ich jetzt verstehen, wenn ich su root eingeben müsste, habe ich aber nie getan. Und anders rum, heisst das, jeder könnte an meinem PC einfach su thomas eingeben, wenn er mein password kennt? Ich merke gerade, dass ich wohl doch noch so einige praktische Kenntnisdefizite habe

Nachtrag... habe die Antwort zu Teil 2 von oben gerade in man su gefunden. Mit dme Select ist mir nun klar. Nur noch nicht die Bedeutung der Gruppe Sudo, wenns doch auch ohne geht.

[DeletedUserReAsG]

Für die Verwendung von su sind die Gruppen ohne Belang. Die Gruppe „sudo“ ist für das Programm sudo relevant. Und wenn su kein Argument mitgegeben wird, nimmt es root als Default. Also das Gleiche, als würde man halt su root eingeben.

Und anders rum, heisst das, jeder könnte an meinem PC einfach su thomas eingeben, wenn er mein password kennt?

Ja. Genauso, wie er sich einfach als thomas einloggen könnte, wenn er das PW kennt.

[TomL]

Ok, das habe ich soweit verstanden.... aber bei mir funktionieren doch auch "sudo commands"... habe ich mehrfach gemacht... ohne in sudo eingetragen zu sein.

Das klappt merkwürdigerweise auch ohne Gruppe sudo

Code: Alles auswählen

thomas@ThomasPC:~$ cp /etc/fstab /etc/fstabloeschen
cp: reguläre Datei „/etc/fstabloeschen“ kann nicht angelegt werden: Keine Berechtigung
thomas@ThomasPC:~$ sudo cp /etc/fstab /etc/fstabloeschen
[sudo] password for thomas: 
thomas@ThomasPC:~$ 

[DeletedUserReAsG]

Dann ist der User entsprechend in der /etc/sudoers eingetragen.

[uname]

Poste
/etc/sudoers

[TomL]

Poste
/etc/sudoers

Steht in Postiing 1 drin. Ich habe mich mit visudo in die sudoers eingetragen. Das also ersetzt die Mitlgiedschaft in der Gruppe sudo? Das ehisst, ich kann entweder das eine oder das andere machen, und beides führt zum gleichen Ergebnis?

[JTH]

Wie du in deinem ersten Beitrag hier ja schon geschrieben hast, hast du deinen Benutzer in /etc/sudoers eingetragen. Für die sudo-Gruppe könnte man/gibt es (?) einen entsprechenden Eintrag

Code: Alles auswählen

%sudo ALL=(ALL) ALL

machen, dann könnte jedes Mitglied der sudo-Gruppe sudo für jegliche Programme verwenden, ohne das der Benutzer wie bei dir explizit in der Datei eingetragen sein muss.

Edit:

Das ehisst, ich kann entweder das eine oder das andere machen, und beides führt zum gleichen Ergebnis?

Genau.

[TomL]

Alles klar.... kapiert... Gruppe sudo = viele, aber nur ein Eintrag in sudoers. Ich habe mich aber explizit eingetragen.

[Radfahrer]

Stellt sich eigentlich nur noch die Frage, wozu du sudo auf deinem System brauchst.
Viele verschiedene User, die verschiedene Rechte haben sollen?

[uname]

Eigentlich braucht man auf einem Desktop-System kein sudo auch wenn man den Anwendern bei Ubuntu gerne das Gegenteil einredet.

[Radfahrer]

Weil es bei Ubuntu völlig falsch eingesetzt wird und dadurch viele Nutzer gar nicht wissen, wozu es eigentlich gedacht ist.

[TomL]

@Uname & Radfahrer

Ihr sprecht von "sudo" und meint die Gruppe "sudo"? Also wie oben schon gepostet ist meine Gruppe "sudo" eigentlich leer, eben bis auf einen User X:27, keine Ahnung wer das ist. Ich brauche auf meinem Desktop-PC keine Gruppe sudo, mir reicht der Eintrag in der sudoers völlig aus, um root zu werden. Und sinnvoll könnte ich mir Mitglieder der Gruppe sudo nur dann vorstellen, wenn diese Leute irgendwas mit Administration zu tun haben, z.B. im Netzwerk zur Server-Wartung im 3-Schicht-Betrieb oder wenn sich viele Leute einen Rechner teilen würden (was natürlich quatsch ist) und einige wenige höhere Rechte benötigen.

[Radfahrer]

Ihr sprecht von "sudo" und meint die Gruppe "sudo"?

Nein, wir meinen sudo.
Du brauchst kein sudo, um root zu werden. Du hast unter Debian einen root-Account. Zumindest hoffe ich, dass du während der installation einen angelegt hast. Der ist dafür da, um administrative Arbeiten zu erledigen.
Wenn du root-Rechte brauchst, wechselst du im Terminal mittels

Code: Alles auswählen

su

in den root-Account. Du wirst nach Eingabe dieses Befehls nach deinem root-Passwort gefragt und bist danach root. Hast du deinen Kram erledigt, verlässt du den root-Account wieder mit

Code: Alles auswählen

exit

Unter Ubuntu wird dafür das Programm sudo vergewaltigt, indem es dafür benutzt wird, einem (dem ersten) Nutzer volle root-Rechte zu geben. Eigentlich ist sudo aber für etwas ganz anderes gedacht. Man kann damit verschiedenen Nutzern verschiedene(!) Rechte geben, ohne dass die gleich volle root-Rechte bekommen. Jemand, der z.B. Drucker verwalten darf, muss ja nicht unbedingt Software installieren dürfen. Nur mal als Beispiel. Du hast das in deinem letzten Beitrag ja schon richtig erkannt. das ist kein Quatsch, genau dafür ist sudo da.
Auf einem Desktop-Rechner Zuhause benötigt man kein sudo, da man dort ja in aller Regel auch der "Admin" ist, also das root-Passwort kennt und somit volle Rechte hat.

Mach dich einfach mal schlau (z.B. hier):
http://wiki.ubuntuusers.de/sudo
http://sidux-ev.org/techtalk/sudo-und-s ... erschiede/

[DeletedUserReAsG]

Ergänzend: wenn es sich nur um einen als Root auszuführenden Befehl handelt, bietet sich auch su -c "befehl" an. Dann vergisst man das Beenden wenigstens nicht.

[uname]

Vielleicht kann man noch abschließend ein paar Sätze zum Einsatz von su/sudo in der GUI loswerden. Im Paket gksu (Gtk+) sind die Programme gksu und gksudo aufgeführt.

Ubuntu:
Will man als normaler Anwender eine Anwendung (z.B. Paketverwaltung) als "root" (ja den gibt es unter Ubuntu) starten so wird die Anwendung per "gksudo" aufgerufen. Der Anwender muss nun falls berechtigt (/etc/sudoers) sein Passwort eingeben, um den Befehl als "root" auszuführen.
Debian:
Will man als normaler Anwender eine Anwendung (z.B. Paketverwaltung) als "root" starten so wird die Anwendung per "gksu" aufgerufen. Der Anwender muss nun das root-Passwort eingeben, welches rein gar nichts mit /etc/sudoers zu tun hat, sondern in /etc/shadow steht.

Ich denke damit sind nun alle Klarheiten beseitigt.

[TomL]

Ihr sprecht von "sudo" und meint die Gruppe "sudo"?

Nein, wir meinen sudo.
Du brauchst kein sudo, um root zu werden. Du hast unter Debian einen root-Account. Zumindest hoffe ich, dass du während der installation einen angelegt hast. Der ist dafür da, um administrative Arbeiten zu erledigen.

Ja, sicher, das Anlegen macht das Setup ja automatisch. Die Unterschiede auf der Konsole waren mir schon irgendwie klar, das ich mit sudo nicht root werde, sondern den gewünschten Befehl lediglich mit rootrechten begrenzt auf genau diesen Befehl ausführe. Dementgegen werde ich mit su zu root und bleibe das solange, bis ich das mit exit verlasse. Darum gings mir aber nicht so wirklich, sondern eher um die Gruppe "sudo" und die enthaltenen Mitglieder. Ist ein Mitglied dieser Gruppe automatisch mir rootrechten ausgestattet und benötigt für administrative Arbeiten kein Password mehr?

Ich könnte das ja mal eben testen... mich aus der sudoers entfernen und stattdessen in der Gruppe sudo eintragen..... aber ich will mir jetzt auch nix strubbelig machen.

[TomL]

Ergänzend: wenn es sich nur um einen als Root auszuführenden Befehl handelt, bietet sich auch su -c "befehl" an. Dann vergisst man das Beenden wenigstens nicht.

Warum dann nicht einfach "sudo befehl" ? Also eigentlich habe ich mir angewöhnt, je nach Umstand beides zu nutzen.... z.b. um mal eben mit "sudo nano /etc/fstab" eine Änderung vorzunehmen. Dafür muss ich gar nicht erst root werden, und vergessen kann ich da auch nix. Und wenn ich mehr machen will, dann werde ich eben mit su zu root.

[KBDCALLS]

Bei su braucht man das Root Passwort also muß der User das auch kennen . Bei sudo wird das Userpasswort benötigt. Und steht der entsprechende User nicht in der Gruppe sudo, dann kann der das auch nicht nutzen. Und damit der kein Schindluder damit treiben kann muß Sudo natürlich korrekt konfiguriert werden.

[TomL]

Bei su braucht man das Root Passwort also muß der User das auch kennen . Bei sudo wird das Userpasswort benötigt. Und steht der entsprechende User nicht in der Gruppe sudo, dann kann der das auch nicht nutzen. Und damit der kein Schindluder damit treiben kann muß Sudo natürlich korrekt konfiguriert werden.

In Verbindung mit dieser Erklärung hier wird das nun ganz klar..... gar nicht mal so einfach, das alles..... ... man verwirrt sich selber, weil man für root und user für sich selber das gleiche Password vergeben hat. Hätte ich 2 gewählt, wäre das schon viel früher aufgefallen.

[uname]

Wenn du root dasselbe Passwort wie dem normalen Benutzer gibst, verhält sich dein Debian-System fast wie ein Ubuntu-System und hat dann dieselbe Sicherheitslücke.

[TomL]

Tja... was soll ich dazu sagen...?... ich bin hinterm Router... Du kennst die von mir eingesetzte Software von diesem einem Desktop-Screen.... ich mach also wirklich nix besonderes. Im Web befinde ich mich hinter Ghostery, NoScript und Adblock Edge.... mein PC ist tatsächlich ein pC.... von meinem Gefühl her ist diese Sicherheitslücke also jetzt eher theoretisch. Aber wenn ich mich täuschen sollte, lass ich mich sehr gerne belehren und aufklären.

[uname]

Bei Windows ist es normal, dass z.B. Firewalls nicht helfen. Du fängst dir den Schadcode als normaler Anwender ein und der Trojaner kommunziert z.B. über erlaubte Ports ins Internet, um umgekehrt deinen Rechner fernzusteuern. Nun ist ist Frage ob der Schadcode im Userspace einfach auf die Eingabe des Administrator-Passwortes wartet oder bei Eingabe des Benutzerpasswortes (z.B. Bildschirmschoner) sich denkt, dass man dasselbe Passwort auch mal für den Administrator probieren könnte.
Bei Linux ist das wohl alles weniger wahrscheinlich. Deine Ansätze sind nicht schlecht. Ich habe auch feste Iceweasel-Sicherheitseinstellungen in /etc/iceweasel/pref/iceweasel.js und ~/.mozilla liegt in der Ramdisk. Bei Bekannten nutze ich sogar Xfce-Kiosk über /etc-Konfigurationen und ganz $HOME liegt in der Ramdisk bis auf ein Ablageort für wirkliche Daten. Den root-Zugriff muss ich noch weiter (wahrscheinlich per sudo) rein auf Paketaktualisierungen optimieren. Alleine das Wissen des root-Passwortes durch den Anwender ist gefährlich Mal sehen wann ich mich damit ernsthaft beschäftige.

[dufty2]

* Desktop: Strg-Alt-F1 zum anmelden von "root" auf der (virtuellen) Konsole (wg. X-Server-Problematik).

* Server: Stets "su -", da ssh mit root auch mit Zertifikat nicht erlaubt ist.

* "sudo"?: Das Paket hab' ich gar nicht installiert