Arch Linux

(Un)Sinn sudo?

Dirk

Doppelpost

efreak4u

ich nutze sudo und will es - zumindest auf meinem desktop - auch nicht mehr missen. ich habe die sudoers so eingestellt, dass die meisten programme nur mit eingabe des passwortes starten. darunter auch pacman. alleinig mpd kann ich ohne pw eingabe starten. denk mal, das ist recht sicher...

Kinch

Dirk Sohler schrieb Damit hast du dich als Administrator disqualifiziert. Gratulation! (Und schade um zie schöne zeit, die ich verschwendet habe). Warum disqualifiziert? Nun … Wenn du es zumindest so gemacht hättest, wie T.M. es beschreibt, aber das geht aus deinem Posting komplett anders hervor.

Hö? Was hat das mit security by obscurity zu tun?

Dirk Sohler schrieb Genau. Du verwendest bestimmt auch chmod 777, wenn eine Textdatei mal nicht von jemand anderem gelesen werden kann, oder? Ist ja so viel einfacher, das mal eben so schnell zu machen, anstatt es richtig, wie vorgesehen, zu konfigurieren, was?

Weiß nicht, warum du dich jetzt so angepisst fühlst. Aber du kannst mir ja mal den Unterschied in Sicherheit erklären, ob ich /sbin/halt per sudo vom Nutzer ausführbar mache, oder per HAL.

Der praktische Unterschied: Bei einem brauche ich kein HAL und ich habe ein Werkzeug, dass ich für viele Fälle einsetzen kann, was ich wie gesagt bequemer finde, als diverse Insel-Lösungen.

jean-paul

Ich habe sudo auf meinem System eingerichtet. Ich lasse so meinen User runterfahren. Asserdem brauche ich es zum compilieren für fakeroot.

Auf dem Desktop nutze ich es nicht. Aber nicht weil es Scheiße ist, sondern aus Gewohnheit.

Man kann sich mit sudo ein sehr sicheres System einrichten, man kann aber auch sehr viel Mist damit machen.

Jean-Paul

krisz

Dirk Sohler schrieb[...]
Damit hast du dich als Administrator disqualifiziert. Gratulation! (Und schade um zie schöne zeit, die ich verschwendet habe). Warum disqualifiziert? Nun … Wenn du es zumindest so gemacht hättest, wie T.M. es beschreibt, aber das geht aus deinem Posting komplett anders hervor.
[...]

Das sind aber ganz schön harte Worte 😉
Ist dein Vorschlag mit su -c "ln -s /home/user/.bashrc /root/.bashrc" nicht ebenso ein wunderbares Beispiel einer potentiellen Sicherheitslücke?

Dirk

Kinch schriebHö? Was hat das mit security by obscurity zu tun?

Ich fragte, ob es unterscheidbar ist, das System mit Pacman zu updaten und ein Programm mit Pacman zu installieren, du sagtest daraufhin, dass du das Updatemachen nicht durch eingeben-lassen, sondern durch Updatemenüpunkt-klicken-lassen machen lässt. Du sagst also nicht: „Es gibt den Befehl pacman -Syu“, sondern du sagst „klick’ da zum Updaten“, ohne auf Pacman hinzuweisen, und dass man damit bei deiner (von mir so angenommenen) Konfiguration ein Installieren beliebiger Programme möglich ist.

Für mich sieht es so aus, als ob du auf deinen Menüpunkt vertraust, und darauf, dass du dessen eigentliche Funktion verschleierst, bzw. gar nicht erst benennst.

Kinch schriebwas ich wie gesagt bequemer finde, als diverse Insel-Lösungen.

Es handelt sich um Grundkonfigurationen, nicht um Insellösungen, zumindest die Lösungen auf deine Beispiele. Aber du darfst gern weitere Beispiele nennen, wo deiner Meinung nach sudo sicherer und sinnvoller ist als su.

Dirk

krisz schriebIst dein Vorschlag mit su -c "ln -s /home/user/.bashrc /root/.bashrc" nicht ebenso ein wunderbares Beispiel einer potentiellen Sicherheitslücke?

Wenn man selbst den Account „user“ verwendet, hält es sich in Grenzen. Aber stimmt schon, das ist genau so unsicher wie sudo (passt also wunderbar in seine Konfiguration *g*) Besser ist natürlich wirklich die Trennung in globale und lokale Konfiguration, di eich ebenfalls benannt habe.

Andererseits: Wie oft arbeitet man als root (im Idealfall ja ausschließlich bei Updates *g*), dass man da permanent auf die Arbeitsumgebung des Users angewiesen wäre?

Dirk

chepaz schrieb… wenn ich mir nur Logfiles anschauen, mich aber nicht als root einloggen will (ssh-root-login disabled).

Immerhin ist das Einloggen als root per SSH deaktiviert. Aber warum root werden, nur um Logfiles zu lesen? Füge deinen User doch einfach der entsprechenden Logfileleseberechtigten-Gruppe hinzu. Unter Arch ist das die Gruppe log, unter Debian adm, und unter anderen Distributionen wird das genau so gehen.

Kinch

Dirk Sohler schrieb Für mich sieht es so aus, als ob du auf deinen Menüpunkt vertraust, und darauf, dass du dessen eigentliche Funktion verschleierst, bzw. gar nicht erst benennst.

Stimmt auch, aber trotzdem hat das nichts mit security by obscurity tu tun. Wesensmerkmal davon ist, dass es nicht mehr Sicher ist, sobald man Kenntnisse der Funktionsweise hat und das ist dem Fall nicht so.
Ich habe ein Skript, dass im Grunde nur aus einem Befehl besteht (pacman -Syu) und ohne Passworteingabe per Sudo bei Klick ausgeführt wird. Das Skript ist selbstverständlich nur durch Root beschreibar.

Selbst, wenn man weiß wo das Skript ist und was das Skript macht, müsste man trotzdem erstmal Root werden, um es zu manipulieren.

Dirk Sohler schrieb Es handelt sich um Grundkonfigurationen, nicht um Insellösungen, zumindest die Lösungen auf deine Beispiele. Aber du darfst gern weitere Beispiele nennen, wo deiner Meinung nach sudo sicherer und sinnvoller ist als su.

Bleiben wir doch bei dem Beispiel mit dem Herunterfahren. Auf dem Laptop läuft nur Fluxbox und Ziel sei es, beim Druck auf den Ausschaltknopf den PC herunterzufahren.
Sowohl sudo als auch Hal lösen genau das gleiche Problem in dem Fall: Eine eigentlich nur für den Root nutzbare Aktion durch den Benutzer durchführen zu lassen. Dabei ist "sudo" doch aber wesentlich generischer, oder?

chepaz

Dirk Sohler schriebAber warum root werden, nur um Logfiles zu lesen?

Genau das will ich ja nicht, deswegen sudo für less.

Füge deinen User doch einfach der entsprechenden Logfileleseberechtigten-Gruppe hinzu. Unter Arch ist das die Gruppe log, unter Debian adm, und unter anderen Distributionen wird das genau so gehen.

Gut zu wissen. Das schau ich mir mal noch genauer an. Wenn die Gruppen wirklich nur zum Logfilelesen da sind ist es schon besser mit Gruppen zu arbeiten als mit sudo. Vorrausgesetzt die Gruppen können nichts anderes. Wenn das nicht so sein sollte würde ich ein sudo auf less für sicherer halten.

bernarcher

chepaz schriebWenn die Gruppen wirklich nur zum Logfilelesen da sind ist es schon besser mit Gruppen zu arbeiten als mit sudo. Vorrausgesetzt die Gruppen können nichts anderes.

In diesem Fall lohnt es sich mit Gruppe log zu arbeiten, denn:

$ ls -l /var/log/*.log
-rw-r--r-- 1 root users   16653 21. Okt 09:11 /var/log/Xorg.0.log
-rw-r----- 1 root log      6977 21. Okt 09:11 /var/log/acpid.log
-rw-r----- 1 root log     37724 21. Okt 09:34 /var/log/auth.log
-rw-r----- 1 root log     11777 21. Okt 09:11 /var/log/crond.log
-rw-r----- 1 root log     31794 21. Okt 09:34 /var/log/daemon.log
-rw-r--r-- 1 root root    30079 21. Okt 09:11 /var/log/dmesg.log
-rw-r----- 1 root log      6055 21. Okt 09:26 /var/log/errors.log
-rw-r----- 1 root log    762680 21. Okt 09:34 /var/log/everything.log
-rw-r--r-- 1 root root     9686 13. Jan 2009  /var/log/kdm.log
-rw-r----- 1 root log    665324 21. Okt 09:27 /var/log/kernel.log
-rw-r----- 1 root log    602195 21. Okt 09:34 /var/log/messages.log
-rw-r--r-- 1 root root   669185 21. Okt 09:34 /var/log/pacman.log
-rw-r--r-- 1 root root       87 20. Okt 16:12 /var/log/pm-powersave.log
-rw-r----- 1 root log      3435 21. Okt 09:11 /var/log/syslog.log
-rw-r----- 1 root log     49240 21. Okt 09:11 /var/log/user.log
-rw-r----- 1 root log   1228398 21. Okt 09:11 /var/log/uucp.log

Nicht konsequent durchgehalten, die wirklich wichtigen Logs sind aber über Gruppe log ausschließlich mit Leseberechtigung erreichbar. Und die root:root-Dateien können sogar von überall here gelesen werden. Also kein Grund für root-Rechte hier.

chepaz

bernarcher schriebIn diesem Fall lohnt es sich mit Gruppe log zu arbeiten...

Ja, das ist war. Die Infos zu log/adm sind sehr spährlich gehalten, man findet kaum eine vernünftige Beschreibung. Ich hab mich jetzt in adm geschoben und den sudoers Eintrag für less beseitigt. Zumindest auf dem Server ist sudo jetzt nicht mehr nötig, für den Desktop möchte ich es aber trotzdem nicht missen. Ich halte sudo nicht für per default böse, schliesslich ist man selber dafür verantwortlich was man in sudoers reinschreibt.

Dirk

Kinch schriebWesensmerkmal davon ist, dass es nicht mehr Sicher ist, sobald man Kenntnisse der Funktionsweise hat und das ist dem Fall nicht so.

Das Script führt mittels sudo einen Befehl aus. Das Script, und somit der Befehl wird hinter dem Button versteckt. Sobald ich weiß, was der Button macht, kann ich rausfinden, was das Script macht (ein einfaches googlen nach „arch linux update“ oder „arch linux install program“ reicht schon, ganz unabhängig davon, ob man weiß, was der Button macht).

Da Pacman mittels sudo (auch hier reicht die einfache Websuche) ausgeführt werden kann, ist es für den Anwender ein leichtes, mittels sudo pacman -Sy paketname programme zu installieren, oder sonstwas mit Pacman zu machen.

Du versteckst eine Sicherheitslücke (Paketmanager vom User ausführbar) hinter einem Button. Sobald man davon Kenntnis erlangt, ist es nicht mehr sicher (was es ohnehin nicht ist).

Also wenn DAS nicht Security By Obscurity ist, was dann?

Kinch schriebSelbst, wenn man weiß wo das Skript ist und was das Skript macht, müsste man trotzdem erstmal Root werden, um es zu manipulieren.

Also wenn man weiß, was das Script macht – deiner Aussage (so wie ich es verstanden habe) nach sudo pacman -Syu – braucht man es nicht mehr. (Apropos: wie geht es dann weiter? Muss der User noch die Abfrage bestätigen, oder ist das in der Pacman-Konfiguration ausgestellt und er updatet direkt?)

Kinch schriebSowohl sudo als auch Hal lösen genau das gleiche Problem in dem Fall: Eine eigentlich nur für den Root nutzbare Aktion durch den Benutzer durchführen zu lassen.

Nein, nur sudo führt etwas aus, das eigentlich nur durch den root-Account gemacht werden kann, nämlich shutdown -h now. Die Methode über HAL führt einen DBUS-Befehl aus, und das kann jeder, der in der Gruppe power ist. Das hat mit root-oder-nicht-root nichts zu tun.

Dirk

Edit: Die letzten Beiträge übersehen, da das Forum beim Klicken auf den Link in der Übersicht, der das Datum des letzten Beitrages anzeigt, nicht auf den Letzten Beitrag zeigt.

Kinch

Dirk Sohler schrieb Da Pacman mittels sudo (auch hier reicht die einfache Websuche) ausgeführt werden kann,

Ah, ich denke hier ist das Missverständnis. Du glaubst "pacman" wäre mit "sudo" ausführbar. Nein, nur das Skript ist es. Das Skript selbst ist etwa (simplifiziert):

#!/bin/sh
pacman -Syu

Eine Sicherheitslücke gäbe es, wie gesagt, nur dann wenn man das Skript selbst edieren könnte, was aber nur dem Root möglich ist.

Eine Sicherheitslücke gibt es zwar schon, wenn man Skripte mit Root-Rechten startet, weil man zum Beispiel verseuchte Parameter einschleußen könnte. Aber ich wüsste konkret hier nicht wie das gehen sollte und ehrlich gesagt denke ich kann man bei Sicherheit auch zwischen Aufwand und Nutzen abwägen. Ein physisches Angriffszenario für den Laptop finde ich persönlich völlig abwegig.

Dirk Sohler schrieb Nein, nur sudo führt etwas aus, das eigentlich nur durch den root-Account gemacht werden kann, nämlich shutdown -h now. Die Methode über HAL führt einen DBUS-Befehl aus, und das kann jeder, der in der Gruppe power ist. Das hat mit root-oder-nicht-root nichts zu tun.

Hm, ich dachte immer Hal läuft mit Root-Rechten und somit auch - grob gesagt - dessen Aktionen. Spielt aber weiter keine Rolle.

Ich sehe immer noch nicht wo jetzt der prinzipielle Vorteil der Halschen Lösung ist, gegenüber der "sudo"-Lösung?

Dirk

Kinch schrieb[…] kann man bei Sicherheit auch zwischen Aufwand und Nutzen abwägen.

Gut, da haben wir andere Ansichten. Sicherheit kann man meiner Meinung nach nicht abwägen. Man kann etwas nur maximal möglich Sicher machen, oder es eben unsicher lassen.

Kinch schriebHm, ich dachte immer Hal läuft mit Root-Rechten und somit auch - grob gesagt - dessen Aktionen.

Nein, HAL läuft unter dem user „hal“ und DBUS läuft unter dem User „dbus“.

Kinch schriebIch sehe immer noch nicht wo jetzt der prinzipielle Vorteil der Halschen Lösung ist, gegenüber der "sudo"-Lösung?

Man muss nicht etwas potentiell unsicheres konfigurieren, sondern kann auf die bewährten, sicheren, sowieso vom System so vorgesehenen Funktionen zurückgreifen.

Kinch

Ich bin nicht überzeugt.^^ Aber ich denke, weiteres würde in einer Grundsatz-Diskussion ausarten, die im Endeffekt eh nur durch ein zivilisiertes Duell entschieden werden kann. Und da ich ein lausiger Schütze bin, lassen wirs lieber.

In dem Sinne erfreuen wir uns daran, dass wir zumindest unter Linux wie stets die Wahl haben.

Dirk

Kinch schriebIch bin nicht überzeugt.^^

Das war auch gar nicht meine Absicht 🙂

chepaz

Kinch schrieb ...lassen wirs lieber.

Dirk Sohler schrieb Das war auch gar nicht meine Absicht 🙂

Ihr könnt doch jetzt nicht einfach aufhören!
Endlich mal ein spannender Thread abseits von "Gnome/KDE/Wlan ist kaputt". 🙂

Dirk

chepaz schriebEndlich mal ein spannender Thread abseits von "Gnome/KDE/Wlan ist kaputt". 🙂

Doch, „hier gibt’s nichts zu sehen, bitte gehen Sie weiter“ 😉

« Vorherige Seite Nächste Seite »