Sinn und Unsinn von sudo (was:Sudo vergiss mich nicht)

[BenutzerGa4gooPh]

Achtung, Feind hört mit:
Wenn ihr euch schon (fast) geeinigt habet, dann schreibt mal, was an firejail bezüglich Bedienung und Sicherheit besser ist als an Virtualbox. Ich brauche schon einen plausiblen Grund, in meiner bisher sauberen Jesiie mit Backports und Pinning anzufangen ...
(Vlt. genügt auch ein Link auf eine verständliche Vergleichsseite. Ja, ich habe Google installiert, aber Auskenner kennen die besten Seiten.)
LG Jana

[Lord_Carlos]

Ich habe leider immernoch nicht verstanden warum die default Konfiguration von Debian mit sudo die Sicherheit meines Systemes Komprimiert.
TomL hat das glaube ich schonmal versucht, kann es nochmal jemand mit anderen Worten versuchen?

Danke.

[TomL]

@Jana,
ich bin mir nicht sicher, ob ich mit sandboxes wirklich Vorteile habe. Man muss ja solche Massnahmen auch immer im Verhältnis zu seinen eigenen Gewohnheiten und Gegebenheiten sehen. Ich nutze 6 Programme, die nicht aus dem Repo kommen, sondern aus dem jeweiligen Projekt-Archiv: Palemoon, Libre Office, Double Commander, DeadBeef, Calibre und FreeFileysync. Ein paar weitere kompiliere ich selber, wie OpenVPN, ODBC für Sqlite, polkit-auth-agent. Bei keinem habe ich das Gefühl, dass eine sandbox notwendig ist. Alles andere entstammt dem Debian-Repo. Mein Surf-Verhalten resp. meine Disziplin dabei schätze ich als eher "hygienisch und gewissenhaft" ein. Ich habe gerade dazu auch bereits präventive Massnahmen (z.b. VMs) umgesetzt. Wenn ich "Dinge" tue, tue ich das meistens gut vorbereitet, mit vorherigem Lesen, recherchieren, fragen, dazu dann isoliertes Testen auf 'nem PI als Testsystem, erst die fertige Lösung darf auf die Produktiv-Systeme.

Ein Restrisiko gibts ganz sicher immer. Aber ich bin trotzdem ziemlich sicher, dass mich (auch durch die Verwendung von Debian) lichtjahreweite Sprünge von der Sicherheit eines leichtsinnig betriebenen Standard-Windows-PCs trennen. Ich denke, ich brauche das also nicht. Und um jemand anderes sinngemäß zu zitieren: Manchmal erreicht man höhere Sicherheit nicht dadurch, dass man "Dinge" tut, sondern dadurch, dass man darauf verzichtet bestimmte "Dinge" zu tun. Mit anderen Worten, ich brauche kein permanent von meinem Hund getragenes Zeckenhalsband, weil ich die ausgewiesenen Zeckenreviere meide. Den Rest kriege ich mit manueller Sorgfalt in den Griff ....durch Tasten und Suchen .... was meinem Hund wiederum sichtbar gefällt.

[TomL]

Ich habe leider immernoch nicht verstanden warum die default Konfiguration von Debian mit sudo die Sicherheit meines Systemes Komprimiert. TomL hat das glaube ich schonmal versucht, kann es nochmal jemand mit anderen Worten versuchen?

Ich glaube, Du begehst hier einen Fehler.... oder unterliegst einer Fehleinschätzung... und zwar, in dem Du meine Kritik an sudo oder meine Perspektive auf sudo oder meinen Standpunkt bezüglich sudo auf Dich projizierst. Und das ist definitiv nicht richtig. Ein Fachmann wird immer auch mit einem möglicherweisen fehlerhaften (versteckt oder offen) System klarkommen und sicherstellen, dass die vielleicht vorhandenen Schwachstellen keine negativen Auswirkungen haben. Und dazu zähle ich Dich... als erfahrenen Fachmann. Also sehe ich in Deinem Umfeld auch keine Gefahr der Kompromittierung. Insofern muss man das gar nicht erklären .... oder erklären wollen.

Die Gewichtung ist eine völlig andere.... denn, wenn man mal das Linux-eigene Immunsystem betrachtet, das Alter einiger Komponenten, die interne Zerrissenheit zwischen Alt und Modern (sysvinit-systemd, xserver-wayland,sudoers-polkit plus Wechselwirkungen, vielleicht auch noch Alsa-Pulseaudo,etc.) und der Gratwanderung, alles unter einen Hut zu bringen, dazu das Bestreben sich vielleicht auf dem EndUser-Desktop-Sektor zu behaupten.... und wenn man dann zu alldem die Windows-Üblichen Gewohnheiten eines Umsteigers in Relation setzt, da hakt es meiner Meinung nach ganz gewaltig. Das Linux-Mint-User-Forum ist hierbei über eine Zeit verfolgt eine wirklich interessante Lektüre. Genau an dem Punkt und der Philosophie ein 25 Jahre altes Programm in modernen Desktops konzeptionell einzusetzen, dessen ursprüngliches Konzept etwas ganz anderes vorgesehen hat, platziere ich meine Kritik.... begründet mit dem faktischen Sachverhalt, dass die zusätzliche Software "sudo" heute eigentlich gar nicht mehr notwendig ist und es (sofern trotzdem gewünscht) gleichwertige Alternativen gibt, die systemisch bereits sowieso vorhanden sind.

[detix]

Eine etwas ketzerische Frage:
Was macht man denn wenn sämtliche Passworte mit "passwd -l root/user" stillgesetzt sind?
Änderung per Live-CD, oder nicht doch besser sudo/pkexec benutzen?

[TomL]

Eine etwas ketzerische Frage:
Was macht man denn wenn sämtliche Passworte mit "passwd -l root/user" stillgesetzt sind?
Änderung per Live-CD, oder nicht doch besser sudo/pkexec benutzen?

pkexec natürlich.... das polkit nutzen.... das ist die Alternative, von der ich spreche....weils integraler Bestandteil des Systems ist, sogar in der kleinsten debootstrap-Setup-Variante ist es bereits vorhanden. Ich nutze für alle besonderen Berechtigungen das polkit. Das ist absolut prima einzustellen, unkompliziert, leicht reproduzierbar und funktioniert klasse und zuverlässig. Der einzige Nachteil ist, dass es anscheinend noch keinen im Kernel integrierten pkspawnl() gibt... das bedeutet, man muss sich derzeit für pkexec manchmal einen Wrapper basteln.... egal... kann ich mit leben.

[BenutzerGa4gooPh]

@TomL:
Vielleicht habe ich dich oder geier22 falsch verstanden, war ja eigentlich nur nebenbei erwähnt, ich nahm daraufhin an, man könnte einfach seinen Browser mit firejails sandboxed und dadurch sicherer laufen lassen (anstelle in einer VM in VBox)? Bei unseriös erscheinenden oder unbekannten Websites beispielsweise.

[detix]

Thomas, eigentlich bezog sich das "ketzerisch" auf den Titel: Sinn und Unsinn von sudo (ich ergänze das mal um pkexec)
su und Ähnliches funktioniert so nicht mehr: es wird kein Passwort akzeptiert!
So bleibt einem nur die Möglichkeit sudo/pkexec zu benutzen um Prg als root zu starten.
Das meinte ich mit ketzerisch, es war keine Entscheidungsfrage zu sudo/pkexec...

[TomL]

Thomas, eigentlich bezog sich das "ketzerisch" auf den Titel: Sinn und Unsinn von sudo (ich ergänze das mal um pkexec)

Es sieht so aus, als wäre das mein Thread und ein von mir vergebener Titel. Das stimmt aber nicht, weder der Thread ist von mir, noch habe ich diesen Titel gewählt. Bedauerlicherweise nimmt man das aber wohl eher nur zufällig zur Kenntnis. Das gefällt mir zwar nicht, ist aber leider auch von mir nicht zu ändern. Mein Beitrag, der jetzt hier als Threadstarter herhalten muss, steht als Folge-Beitrag eigentlich im Zusammenhang mit einem anderen Thread....

Ansonsten habe ich keine Zweifel daran, dass es ohne root-Berechtigungen nicht geht. Da hast Du völlig Recht. Ich versuche nur zu bewerten, was überhaupt an Alternativen verfügbar ist und betrachte dabei die Faktoren alt, neu, konzeptioneller Zweck/Ursprung, Einsatzmöglichkeiten/Grenzen.... und m.E. gewinnt da pkexec mit Vorsprung. Na ja.... egal... genug Pudding an die Wand genagelt....

es wird kein Passwort akzeptiert! So bleibt einem nur die Möglichkeit sudo/pkexec zu benutzen um Prg als root zu starten.
Das meinte ich mit ketzerisch, es war keine Entscheidungsfrage zu sudo/pkexec...

Wenn das root-PWD "weg" ist..... dann funktioniert doch auch kein sudo oder pkexec mehr.... ?... oder täusche ich mich da? Ich hätte bei diesem Fall gedacht, dass nur noch die Live-CD funktioniert, um das root-PWD wieder einzustellen.

[detix]

Ja stimmt, dieser Faden hängt gewaltig in der Luft!
Wenn Moderatoren sowas irgendwo abtrennen dann sollten sie auch bitteschön die entsprechenden Hintergrundinformationen im ersten Post liefern!

Und nein, sudo/pkexec funktionieren weiterhin sofern man einen Autologin eines users erstellt hat...

dasgleiche (Autologin) gilt auch für Kernelparameter "s" für administrative Aufgaben, falls nichts mehr geht...
und zumindest dort, kann man dann noch "passwd -u root/user" eingeben und die entsprechenden Passworte damit wieder freischalten.

[TRex]

Wenn Moderatoren sowas irgendwo abtrennen dann sollten sie auch bitteschön die entsprechenden Hintergrundinformationen im ersten Post liefern!

Ja schon gut, ich editier es in den ersten Beitrag rein.

[detix]

Danke TRex: ist schon mal ein Anfang.
Noch netter wäre es gewesen nicht irgendeinen user als "Erstauthor", hier TomL, zu nennen sondern sich selbst!
TomL hat den (hierdurch seinen?) vermeintlichen Erstpost ja eigentlich als Antwort und nicht als Frage geschrieben.

[TRex]

Das ist recht schwierig, weil das Forum die Beiträge in chronologischer Reihenfolge verschiebt und ich nicht denke, dass ich einen Beitrag an die erste Position schreiben könnte.

Der bessere Ansatz ist IMHO dafür zu sorgen, dass ich die Beiträge nicht abtrennen muss

[NAB]

Der bessere Ansatz ist IMHO dafür zu sorgen, dass ich die Beiträge nicht abtrennen muss

Das ist mitunter nicht so leicht, weil es einzig in deinem Ermessen liegt, ob und vorallem wo ein Thread zertrennt werden "muss"

[TRex]

Ich hab einmal drum gebeten [1], der TE bat nochmal drum [2]... und es ging trotzdem lockerflockig damit weiter. Du kannst den Satz auch umformulieren in "kein OT, insbesondere, wenn es bereits mehrfach gefordert wurde".


[1] viewtopic.php?f=29&t=160849#p1091802
[2] viewtopic.php?f=29&t=160849&start=15#p1092318

[geier22]

Vielleicht habe ich dich oder geier22 falsch verstanden, war ja eigentlich nur nebenbei erwähnt, ich nahm daraufhin an, man könnte einfach seinen Browser mit firejails sandboxed und dadurch sicherer laufen lassen (anstelle in einer VM in VBox)? Bei unseriös erscheinenden oder unbekannten Websites beispielsweise.

Schön, dass jemand mal nach firejail fragt - scheint irgendwie unbeliebt oder unbekannt zu sein.
Ich starte Firefox - wenn er gar nichts speichern soll und mit einem blitz- saubereren Profil starten soll so:

Code: Alles auswählen

~$ firejail --private firefox -no-remote

Hab das mal debug mitlaufen lassen, damit ihr selbst beurteilen könnt, was passiert : 39326
Mein Standard- Aufruf (mit extra Starter) ist:

Code: Alles auswählen

firejail --private=~/privat-browser/firefox --net=eth0 --ip=192.168.0.75 --dns=8.8.8.8  firefox -no-remote

Da gibt es ein extra Verzeichiss, ~/privat-browser/firefox/ und nur darauf hat FF Zugriff. Debug - Protokoll: 39327
Hierbei werden alle Änderungen (Add Ons Lesezeichen usw.) gespeichert und beibehalten.

Ich will nicht behaupten, dass das sicherer ist, als in einer VM (die hab ich auch mit firejail zusätzlich) aber es ist eben sehr schnell eingerichtet, spart Festplatte und startet praktisch genauso schnell wie ein normaler Programmaufruf. Der weitere große Vorteil ist, dass man auf diese Weise praktisch jedes Programm starten kann, und das ganze umständliche Zeugs mit chroot und debootstrap nicht braucht. Für mich prima geeignet - fast wie KlickiBunti

[inne]

Es bleibt dabei, "offiziell" wird die Verwendung von sudo auf Desktopsystemen von Debian empfohlen und unterstützt.

Sudo ist aber bei nach einer autom. Installation von Debian nicht installiert.

[geier22]

Sudo ist aber bei nach einer autom. Installation von Debian nicht installiert.

Ich nehme immer die sog. Expert- Installation, automatisch hab ich das nur einmal gemacht, und da wurde mir einfach gnome "verordnet"

Wenn man dann bei der Software Auswahl

Debian desktop enviroment , irgendeine Oberfläche , und die Standard- Systemwerkzeuge installiert, ist sudo jedenfalls dabei.
Ich kann mir schwer vorstellen dass bei einer automatischen Installation diese Pakete nicht installiert werden.

[TomL]

Ich nehme immer die sog. Expert- Installation

Da wird es nach meiner Erinnerung auch nur dann installiert, wenn man den deutlichen (Warn-)Hinweis zum root-pwd ignoriert und kein root-pwd vergibt.

[geier22]

Da wird es auch nur dann installiert, wenn man den deutlichen (Warn-)Hinweis zum root-pwd ignoriert und kein root-pwd vergibt.

Das ist definitiv falsch.
viewtopic.php?f=29&t=160928&start=30#p1092493
Warst doch so sauer über den Beitrag. Dann lies ihn doch bitte nochmal.

[TomL]

Warst doch so sauer über den Beitrag.

Verzichte bitte auf solche Beurteilungen meiner Gemütslage. Ich war und bin zu keiner Zeit sauer.....ich bin immer entspannt.... es ist nur ein Forum.... kurzweil, vergnügen, ein bisschen lernen .... da ist kein Raum für Stress.

[habakug]

Hallo!

Sudo ist aber bei nach einer autom. Installation von Debian nicht installiert.

Ich weiss jetzt nicht ganz genau was du mit automatisch meinst. Ich hatte weiter oben nur daraufhin gewiesen, dass beim Net-Installer durch Wählen des "Desktop"-Task auch sudo eingerichtet wird. Das ist für mich "offiziell", ebenso wie der Text im Debian-Wiki mit dem Thema "Nach der Installation" [1]:

Aktivierung von sudo
Unter Debian ist sudo so eingerichtet, dass nur Mitglieder der Gruppe sudo, sudo Befehle ausführen dürfen. Um einen Benutzer der sudo Gruppe hinzuzufügen, öffnet man ein Terminal und erlangt mit su - root-Rechte. Der Befehl adduser username sudo fügt den Benutzer username zur Gruppe sudo hinzu.
Zur Aktivierung der Einstellungen sollte der Benutzer Ab- und wieder angemeldet werden. In den folgenden Hinweisen wird davon ausgegangen, dass sudo eingerichtet wurde und korrekt funktioniert.

Es scheint als sei das sehr offiziell

Gruss, habakug

[1] https://wiki.debian.org/de/DebianEinste ... stallation

[catdog2]

Der Installer bietet übrigens eine "Ubuntuartige" sudo Konfiguration an. Zumindest im Expertenmodus und ich glaube auch, wenn man kein root Passwort setzt.

[geier22]

Der Installer bietet übrigens eine "Ubuntuartige" sudo Konfiguration an. Zumindest im Expertenmodus und ich glaube auch, wenn man kein root Passwort setzt

Das passiert, wenn man die Option "root das anmelden verbieten" wählt.
der root- account wird dann zwar angelegt, über "su" ist er aber nicht erreichbar.
das hatte ich ausprobiert:viewtopic.php?f=29&t=160928&start=30#p1092513
Dann hat man das "Ubuntu - Feeling" - wenn man es dann möchte.
Ein normales "su" ergibt dann eine Fehlermeldung
Wie bei Ubuntu auch kannst man den den root -Account aber aktivieren:

Code: Alles auswählen

sudo passwd root

Letztendlich ist es so: Was bei Ubuntu Standard ist, lässt sich mit dem Debian Installer genauso einrichten. Letztendlich finde ich das alles nicht sehr schlüssig.
Für eine Desktop - Umgebung erzeugt das alles mehr als Verwirrung. Weil zumindest an einem Normalen Desktop meines Erachtens ein von beiden überflüssig ist. In beiden Fällen ist man Root. Entweder man baut Mist, oder nicht.

[inne]

Mit automatischer Installation meine ich, wenn man im D-I den Punkt "Advanced options -> Automated install" auswählt und dann alle Fragen mit ENTER bestätigt.

Ich habe hier so eine VM, und dort ist kein sudo installiert und denke mal die Installation ist fehlerfrei durchgelaufen.

Wobei ich aber glaube es hängt dann auch von weiteren Installationsfragen des D-I ab, ob man sudo installiert bekommt. Z.B. ob man den Root-Login wünscht (Bei ja, kein sudo IMO). Was da der Default ist, kann ich aus dem Stehgreif aber nicht sagen. (Es wird dann aber wohl die Variante wie bei Ubuntu sein, mit sudo ohne Root-Login.)