[gelöscht]
Zuersteinmal vorweg: Ich möchte keinen Flamewar lostreten oder den Eindruck erwecken, ich würde trollen wollen.
Mir geht es einfach nur darum ein paar Argumente für bzW. gegen die Nutzung von sudo bzw, su zu sammeln.
Ich benutze sudo lediglich zum mounten, den Rest mache ich über eine root-console. Nun hatte ich überlegt sudo komplett zu deinstallieren, bin aber nicht ganz sicher,
ob das wirklich die beste Lösung ist.
Führe ich Befehle, die ich normalerweise mit sudo ausführen würde mit su -c 'foobar' aus, so gebe ich ja ggF. mein rootpasswort preis (Stichwort Keylogger). Andererseits wäre es dann sowieso egal, weil ich, wenn ich die root-console benutze, auch mein rootpasswort preisgebe, wenn das System schon kompromittiert ist,
Geht man von einem sauberen System aus, ist es dann letztendlich egal, ob sudo oder su benutzt werden -vorausgesetzt sudo wird nicht Ubuntulike sondern nur gezielt für wenige Befehle benutzt?
linux-ka
Also in meiner /etc/sudoers config sind explizit Programme gelistet, die ich als sudo-user verwenden darf. Typischerweise sind das Dinge wie "pacman -S" "updatedb" oder "mandb" und "powertop" ohne Passwortabfrage. Da sollte auch nichts geloggt werden können. Damit kommt man den Tag über gut klar. Alles andere ist für den root gedacht, der erst einmal via xx-stelliges Passwort angemeldet werden will. Ist garantiert verbesserungswürdig, aber für mich ist das so ganz ok.
Ovion
Wenn "sudo" entsprechend ein Ersatz für "su -c" ist, dann ist es völlig egal, ob das Nutzerpasswort oder das root-Passwort abgegriffen wird. Wenn du insbesondere regelmäßig 'ne root-shell aufmachst, lohnt es sich noch weniger.
Auf der anderen Seite ist sudo angreifbar, wenn das Login-Passwort mitgeschnitten wird.
Für deinen Fall: evtl. lohnt es sich mehr, in der fstab bei den Mountoptionen einzutragen, dass auch Nutzer das Gerät mounten dürfen oder soetwas wie udiskie zu verwenden. Dann ist sudo in deinem Fall einfach komplett obsolet.
Was Keylogger angeht: ein relevantes Passwort kann mitgeschnitten werden, wenn du administrative Aufgaben durchführst, sei es nun, um mit su in eine root-Shell zu kommen oder mit sudo + Benutzerpasswort einen Befehl abzusetzen. Da bietet sudo imho keinen Mehrwert (außer man nutzt es, um für bestimmte Aufgaben kein Passwort eingeben zu müssen, aber zumindest für mount lohnt sich hier genauso (wenn nicht sogar mehr) der Weg über udiskie oder udisks).
chepaz
Da bei mir auch kein Multiusersystem rennt habe ich mich von sudo auch getrennt. Sinn von sudo ist ja nur bestimmte Rechte an bestimmte User abzutreten.
Ich behelfe mir mit einer Funktion in der .zshrc um das nervige Quotes-Leerzeichen-Getippe mit 'su -c " bla blub"' zu umgehen:
Frrun(){
rrun=${@}
su -c "$rrun"
}
Tut, zumindest in der zsh sehr gut.
shibumi
Also ich für meinen Teil nutze nur su und deinstalliere auch sudo wenn ich arch neu aufsetze. Ich persönlich finde sudo auf einem single-user-system einfach unnötig!
Wofür speicherplatz verschwenden und ein weiteres mögliches sicherheitsloch installieren wenn ich genauso gut "su" benutzen kann?
Dirk
shibumi schriebAlso ich für meinen Teil nutze nur su und deinstalliere auch sudo wenn ich arch neu aufsetze.
Ist das Mistding inzwischen in der Standardinstallation? Sind wir hier bei Ubuntu, oder was? 🙂
efreak4u
Dirk schrieb...
Ist das Mistding inzwischen in der Standardinstallation? ...
Leider ja. Ich weiss grad nur nicht, ob base oder base-devel.
Dirk
efreak4u schriebDirk schrieb...
Ist das Mistding inzwischen in der Standardinstallation? ...
Leider ja. Ich weiss grad nur nicht, ob base oder base-devel.
War da nicht mal was von wegen „Simpel und Einfach“?
efreak4u
Ist doch. Sudo ist simpel in der Anwendung und einfach dabei. XD ... gut, es wird offtopic.
Ovion
Hä!? Warum ist sudo denn in base-devel? base hätte ich verstanden, aber base-devel macht grad so überhaupt keinen Sinn für mich.
portix
Ovion schriebHä!? Warum ist sudo denn in base-devel? base hätte ich verstanden, aber base-devel macht grad so überhaupt keinen Sinn für mich.
Vermutlich weil einige der devtools sudo benötigen. Die devtools sind zwar nicht in base-devel, vereinfachen aber das Bauen von Paketen in einer sauberen Umgebung.
Dirk
portix schriebVermutlich weil einige der devtools sudo benötigen.
Du hast zwischen „devtools“ und „sudo“ ein „aufgrund von Faulheit beim Entwickeln“ vergessen.
[gelöscht]
Ich habe sudo dann mal deinstalliert.
Danke!
Ovion
portix schriebVermutlich weil einige der devtools sudo benötigen. Die devtools sind zwar nicht in base-devel, vereinfachen aber das Bauen von Paketen in einer sauberen Umgebung.
Das könnte natürlich sein, wobei die zumindest nicht explizit auf sudo dependen. Ich hab hier zumindest devtools und komplett core, da depended nix auf sudo (zumindest laut "pactree -r").
Wobei, war da nicht was "man darf als Paketmaintainer davon ausgehen, dass core komplett verfügbar ist und muss core-Pakete nicht in den dependencies aufführen"?
portix
Die beiden Skripte die sudo verwenden sind rebuildpkgs und makechrootpkg wobei makechrootpkg nicht zwangsläufig direkt sudo verwendet, es wird nur zwangsläufig im chroot benötigt, dazu muss im chroot aber vorher base-devel installiert sein. Die devtools sind ja auch zum Bauen von Paketen gedacht, und zum Bauen von Paketen muss base-devel sowieso installiert sein, base-devel gibt man für pacman ja auch nicht als Abhängigkeit an obwohl makepkg, welches zum pacman-Paket gehört, in den meisten Fällen base-devel benötigt.
Edit: Mit zwangsläufig meine ich dass das Skript im chroot sudo benötigt damit es korrekt funktioniert, ob man das vielleicht anders lösen könnte ist eine andere Frage.
Ovion
Dann ist das tatsächlich "core gilt als installiert". Macht Sinn, danke, portix!
efreak4u
[offtopic]
Dependet, was fuer ein schreckliches Wort. Benutz lieber "haengt ab von" oder "benoetigt".
Sinn machen, kann es auch nicht. Nur Sinn ergeben oder Sinn haben.
So, genug ueber Schmerzen beschwert. 😛
[/offtopic]
shibumi
Dirk schriebshibumi schriebAlso ich für meinen Teil nutze nur su und deinstalliere auch sudo wenn ich arch neu aufsetze.
Ist das Mistding inzwischen in der Standardinstallation? Sind wir hier bei Ubuntu, oder was? 🙂
ja sudo ist mittlerweile in der standard installation muss ich jedes mal deinstallieren wenn ich arch irgendwo neuaufsetze nervt ganz schön
Ähm Sekunde?
Wurden eigentlich schon Gründe gegen sudo hier genannt? Außer dem Offtopic bzgl. dem devel konnte ich bislang wenig groß als Argument dagegen lesen.
Persönlich nutze ich nämlich sudo aktiv und sehe da kein Problem. Selbst bin ich jedoch auch kein Linux-Profi und würde daher gerne mal die Contra-Seite kennen lernen.
glako
Gegenfrage: Was ist soll denn dafür sprechen?