Sinn und Unsinn von sudo (was:Sudo vergiss mich nicht)

[BenutzerGa4gooPh]

@geier22: Danke für den informativen Beitrag nebst Einstieg in firejail.

[TomL]

Sudo ist aber bei nach einer autom. Installation von Debian nicht installiert.

Ich weiss jetzt nicht ganz genau was du mit automatisch meinst. Ich hatte weiter oben nur daraufhin gewiesen, dass beim Net-Installer durch Wählen des "Desktop"-Task auch sudo eingerichtet wird. Das ist für mich "offiziell", ebenso wie der Text im Debian-Wiki mit dem Thema "Nach der Installation" [1]:

Aktivierung von sudo
Unter Debian ist sudo so eingerichtet, dass nur Mitglieder der Gruppe sudo, sudo Befehle ausführen dürfen. Um einen Benutzer der sudo Gruppe hinzuzufügen, öffnet man ein Terminal und erlangt mit su - root-Rechte. Der Befehl adduser username sudo fügt den Benutzer username zur Gruppe sudo hinzu.
Zur Aktivierung der Einstellungen sollte der Benutzer Ab- und wieder angemeldet werden. In den folgenden Hinweisen wird davon ausgegangen, dass sudo eingerichtet wurde und korrekt funktioniert.

Das hat imho nicht mal was mit dem grundsätzlichen Vorhandensein unter Debian zu tun, sondern allein mit der eigenen Funktionsweise von sudo und der zur Funktion notwendigen Umgebung mit der Datei "sudoers und der Gruppe "sudo". Und dennoch ist das obige Statement m.M.n nur die halbe Wahrheit. Das obige Statement belegt lediglich, dass sudo auch ein offizielles Debian-Paket ist und beschreibt, wie man mit sudo root-Rechte erlangen kann.

Es scheint als sei das sehr offiziell

Deshalb wäre die Aussage "sudo ist kein offizielles Debian-Paket" ja auch schlichtweg falsch. Hat das eigentlich überhaupt jemand behauptet? *grübel* Aber "offiziell" und "default" sind imho trotzdem zwei unterschiedliche Aspekte.

Aus Neugier habe ich mir jetzt 2 VMs eingerichtet, einmal Lubuntu und einmal Debian-LXDE. Bei der folgenden Beurteilung des Ergebnisses dieser 2 Installationen habe ich mir als erstes einmal Gedanken dazu gemacht, was überhaupt "Default" bedeutet. Und bezogen auf diesen Fall, also 2 Installer, bedeutet Default nach meiner Interpretation, dass eine Installation nach Defaulteinstellungen prinzipiell dem Willen des Installers folgt. Das bedeutet, ich übe keinen ändernden Einfluss auf die Installation aus, die Installation erfolgt mit den durch die Entwickler festgelegten am besten geeigneten Standard-Einstellungen. Und in Folge dessen folge ich mit den Default-Parametern natürlich auch dem Willen der Programmierer, die eben festgelegt haben, wie der ideale Standard einer Basis-Installation überhaupt aussieht.

Die ideale Standard bei Ubuntu und Debian sieht tatsächlich so aus, dass in beiden Installationen das Paket "sudo" verfügbar ist. Das ist aber auch die einzige Gemeinsamkeit. "sudo" unter Debian ist zwar vorhanden, es sind aber keine Rechte vergeben. Die Gruppe "sudo" ist leer, die sudoers enthält keine benutzerbezogenen Einträge. Mein Resümee: "sudo" ist zwar da, aber bedeutungslos, das Programm ist mit den vom Installer vorgesehenen Einstellungen (nämlich keine) schlichtweg unwirksam. Der ideale und im Installer unbeeinflusste Debian-Standard verzichtet auf "sudo" als aktives Werkzeug. Stattdessen hat der Installer mit sehr dringlichen Warnhinweisen zur Notwendigkeit den "root"-Account aktiviert und verlangt im Installer dafür ein Password.

Sie müssen ein Passwort für "root", das Systemadministrator-Konto, angeben. Ein bösartiger Benuter oder jemand, der sich nicht auskennt und root-Rechte besetzt, kann verheerende Schäden anrichten."

Dabei bewerte ich die Verwendung von "Sie müssen", "bösartiger Benutzer" und "verheerende Schäden" eindeutig als suggestiv und fordernd. Als zweites wird ein normaler Benutzer angelegt, der über ein eigenes Password verfügt, keinerlei "höhere" Rechte innehat und auch nicht über die Möglichkeit verfügt, seinem Account höhere Rechte zu geben .

Ganz anders unter Ubuntu. Es wird per Defaul kein root-Account eingerichtet, der angelegte User wird stattdessen automatisch in die Gruppe "sudo" eingetragen und erlangt damit mit seinem eigenen Password Admin-Rechte. Ich sehe hier im Vergleich zu Debian einen gravierenden Unterschied bei der in der Ubuntu-Entwickler-Community etablierten Konzept-Philosophie dieses Beriebssystems. Wenn dann auf die genervte Frage eines Linux-Newbies zur Abstellung (es ist ja schließlich sein PC und er ist ja Boss über alles) dieser ständig störenden Password-Abfrage "%sudo=(ALL) NOPASSWD:ALL" geantwortet wird, hat er meines Erachtens die Sicherheit seines Systems mit einem Federstrich deaktiviert. Das ist aus konzept-philosophischer Sicht bei Debian so nicht möglich. Um diese Tür in Debian ebensoweit zu öffnen, muss sich der User gegen die Empfehlungen der Defaults (mit "su", root-Account und eigenes root-PWD) aussprechen und "sudo" manuell regelrecht in Betrieb nehmen.

Mein Fazit: Offiziell ist "sudo" in beiden Distributionen verfügbar.... bei Ubuntu ist es obligatorisch installiert, bei Debian jedoch nur eine Möglichkeit, wobei der Installer deutlich Worte spricht (s.o.) und ein anderes Vorgehen empfiehlt bzw. vorsieht. Ich halte den Debian-Weg für den eindeutig besseren Weg, weil er vielleicht auch ein wenig verhindert, dass ein unkundiger Windows-Umsteiger seine verlotterte Disziplin mit Linux fortsetzt. Wenn er es will, kann er es natürlich tun.... aber erst mal verlangt Debian mit dieser Trennung mehr Problembewusstsein für Aufgaben und Risiken und in Folge auch mehr Disziplin. Und das finde ich richtig klasse an Debian. Selbst wenn ich ein Ubuntu oder Mint für jemand anders einrichten würde, ich würde mich immer an den Debian-Restriktionen orientieren und das konsequent übernehmen.... und dementsprechend erfolgt natürlich auch mein Rat in diese Richtung.

j.m.2.c.

[habakug]

Hallo!

Ich hatte aus dem offiziellen Debian-Wiki, Abteilung "Debian-Einsteiger", zitiert:

Debian GNU/Linux ist sehr gut für Linux-Anfänger geeignet. Allerdings sollten einige Besonderheiten beachtet werden, damit der Einstieg gut gelingt.

Genau das Hinzufügen des User-Accounts zur sudo-Gruppe ist eine dieser Besonderheiten, die in dem Wiki beschrieben wird.
sudo ist übrigens mal entwickelt worden, um marodierenden setuid-Bits entgegenzuwirken. Vielleicht erinnert sich ja noch einer z.B. an dieses Ereignis [1].

Gruss, habakug

[1] http://www.heise.de/security/meldung/Se ... 41698.html

[kalle123]

Melde mich mal in diesem "hochrangigen" Diskurs zu Wort.
Kannte die Verwendung von sudo vor meinem Umstieg von PCLinuxOS auf Wheezy nicht.
Reines Desktop System. Hab mich bei der Einrichtung an den Hinweis hier gehalten und die 15 Minuten raus geworfen.
https://wiki.debianforum.de/Sudo
Ich finds einfach gut

Gruß KH

[BenutzerGa4gooPh]

@TomL:
Mit dem Debian Installer kann man wahlweise einen Server oder ein Desktopsystem aufsetzen. Lubuntu (LXDE) usw. zielt ausschließlich auf Desktop ab. Daneben gibt es Ubuntu Server!!! Die Sudo-Standards dort wären wohl das Interessante. Sonst vergleichst du wahrscheinlich Äpfel mit Birnen. Du kennst ja meine Ansicht von den unterschiedlichen Sicherheitsbedürfnissen von Servern und Desktop.

@allgemein:
Des Weiteren halte ich persönliche Nutzerdaten auf einem Desktop für wertvoller/wichtiger/sensibler als das schnell neu augesetzte Betriebssystem an sich. Daraus folgt: Eine Kompromittierung des Userspaces ist schon die maximale Katastrophe. Der Rest, das laufende, unkompromittierte System (root-Space) ist dann nicht mehr so wichtig. Diese Überlegung spricht also nicht gegen sudo wie bei Ubuntu Desktop.

Dagegen sprechen das evtl. verlorene Logging, mögliche Verdeckungsmassnahmen des Täters und unerkannte, andauernde, missbraeuchliche Verwendung des PC, Rechtsverletzungen durch Spam, Filesharing etc bei sudo-Vollzugriff auf das Gesamtsystem.

Dagegen spricht sogar die Bequemlichkeit: Welche denn, wenn man Kommandos per Copy and Paste aus Manuals holt und "sudo" davor setzen muss? "Gesudot" wird doch wohl bei Administration. Auch das so bequeme Ubuntu will dafür ein (sudo/gksudo-) Passwort, selbst bei grafischer Administration.

Also, welcher Nutzen entsteht mit den Kosten eines (wenn auch nur gering) erhöhten Risikos? Wie gesagt, rein persönliche Meinung, will keinen überzeugen, kann auch sein, dass ich manches falsch sehe. Ich "sudoe" nicht, meist ist es gut, auf alte Hasen zu hören.

@TomL: gerade gefunden, Server und Desktop sind bezüglich sudo wohl gleich, Punkt 9:
https://help.ubuntu.com/lts/serverguide ... 1463153383

[TomL]

@Jana
Wenn ich die lxde installiere, egal ob Debian oder Ubuntu,ist das immer ein Desktop-OS und deshalb stimmt der Vergleich. Würde ich heute einen Server installieren, ebenfalls egal ob Debian oder Ubuntu, hätten beide Installationen keinen Desktop installiert .... stattdessen hätten beide sudo installiert und in Betrieb genommen, wenn ich den Server nicht alleine administrieren müsste.

[TomL]

Schön, dass jemand mal nach firejail fragt - scheint irgendwie unbeliebt oder unbekannt zu sein.

Bei mir war es der Umstand "unbekannt"..... ich habe firejail in Deinem Posting jetzt zum ersten Mal bewusst gelesen und wahrgenommen. Aus Neugier hab ich es mir gerade installiert. Das war wirklich einfach, blitzschnell beim Start und mit Deinem Musteraufruf hat es auch mit meinem Palemoon sofort geklappt. Aber dennoch werde ich Firejail gerade für diese Art zu surfen, die Firejail einem Sinn gibt, nicht weiter nutzen. Mir ist aufgefallen, dass der Browser einen kompletten Lesezugriff und z.T. auch Änderungsrechte auf unsere Samba-Shares hat, in deren Gruppen ich Mitglied bin und die gemountet sind. Mein virtueller VM-User hingegen sieht in seiner VM weder die Mounts noch irgendwas anderes an relevanten Daten auf meinem Rechner, noch kann irgendwas im LAN geöffnet und gelesen werden.

Und doppelt geschossen, also Firejail noch zusätzlich in der VM, ist so ein bisschen wie dem Gürtel nicht trauen und noch Hosenträger anziehen. *fg*

[geier22]

Mir ist aufgefallen, dass der Browser einen kompletten Lesezugriff und z.T. auch Änderungsrechte auf unsere Samba-Shares hat, in deren Gruppen ich Mitglied bin und die gemountet sind. Mein virtueller VM-User hingegen sieht in seiner VM weder die Mounts noch irgendwas anderes an relevanten Daten auf meinem Rechner, noch kann irgendwas im LAN geöffnet und gelesen werden.

Das kann man einfach in der /etc/firejail/firefox.profile durch blacklisten der Verzeichnisse /shares einstellen.
Dann gibt es sogar einen netten Eintrag im systemd - Protokoll
Über die ganzen Möglichkeiten gibt es eine Doku aber ich selbst noch ziemlich am Anfang:
https://firejail.wordpress.com/documentation-2/

[TomL]

Das kann man einfach in der /etc/firejail/firefox.profile durch blacklisten der Verzeichnisse /shares einstellen.

Funktioniert!

Also, mein lieber Geier... oder soll ich besser "Hans" sagen ... ... das war jetzt ein äusserst wertvoller Tip.... ganz ehrlich, der war richtig gut... ich bin mal wieder beeindruckt. Ich habe mir in meinem Homedir das Verzeichnis "/home/thomas/firejail" angelegt, und dort drin dann zusätzlich "palemoon" und als Spielbereich "mc".

Der Start Palemoon sieht so aus:

Code: Alles auswählen

firejail --hostname=sandkasten --net=eth0 --ip=10.10.10.200 --private="/home/thomas/firejail/palemoon" /opt/palemoon/palemoon -no-remote

Aber spannender ist der Midnight-Commander:

Code: Alles auswählen

firejail --hostname=sandkasten --net=eth0 --ip=10.10.10.200 --private="/home/thomas/firejail/mc" /usr/bin/mc

Mit dem MC kann man anschließend zum einen prima das System inspizieren. um zum sehen, was geht und was (jetzt) nicht mehr geht. Und zum anderen lässt sich damit auch die Wirksamkeit oder auch Auswirkung der Profil-Parameter prüfen.

Und spannend ist noch 'ne Option.... wenn man einen virtuellen User (z.B. mit dem Namen) "inet" eingerichtet hat, kann man das Firejail-Workdir in seinem bisherigen eigenen Homedir einfach zum virtuellen User inet moven ((Rechte?) oder gleich dort einrichten) und alles weitere dort laufen lassen. Dafür ist lediglich eine Policy-Action notwendig und der Start via pkexec, was noch mehr "Hygiene" schafft und auch bestens funktioniert:

Code: Alles auswählen

/usr/bin/pkexec --user inet /usr/bin/firejail --hostname=sandkasten --net=eth0 --ip=10.10.10.200 --private='/home/inet/firejail/palemoon' /opt/palemoon/palemoon -no-remote

/usr/bin/pkexec --user inet /usr/bin/firejail --hostname=sandkasten --net=eth0 --ip=10.10.10.200 --private="/home/inet/firejail/mc" /usr/bin/mc

Firejail wird nicht alle VMs ersetzen (können), aber doch zwei bestimmte bisher genutzte ..... ich muss sagen, das ist klasse und ich schließe mich Deiner Empfehlung an.

[BenutzerGa4gooPh]

Die Beiträge mit firejail koennte wirklich ein Moderator abtrennen oder in Extra-Thread stecken und den Titel "umbenamsern". Ist hochinteressant, kompakt und andere könnten den Thread besser finden. Fast schon Wiki-faehig mit TomLs Tests und Tipps.

Mal ne Abtrennung wegen Wichtigkeit und nicht " Disziplinlosigkeit" ist doch mal was Neues?!

[geier22]

schieße mich dem Vorschlag von Jana66 an. Hatte schon ein schlechtes Gewissen

Also, mein lieber Geier... oder soll ich besser "Hans" sagen .

Jetzt hat er mich enttarnt Aber der "geier" hat historische Wurzeln. Bisher musste ich mich nur einmal
umbenennen, weil der blöde Mod auch Geier hieß, und einen zweiten Geier neben sich nicht duldete. Dann wurde aus dem Geier ein Hühnchen

Ansonsten fände ich es auch wichtig, das Thema weiter zu verfolgen. Ich bin irgendwann drüber gestolpert, als ich mich in Zuge der vielen Threads hier zum Thema Homebankig mal etwas intensiver gegoogelt hatte. Ich hatte mich dann gewundert, dass bis vor kurzem magere 3 Fundstellen in Forum waren, und Antworten nie kamen. Wenn ich nichts übersehen habe, ist firejail eine bestechend einfache Möglichkeit, mehr Sicherheit und Privatsphäre - ohne großen Aufwand - in sein System zu implementieren,

[TomL]

schieße mich dem Vorschlag von Jana66 an. Hatte schon ein schlechtes Gewissen

Mir ist das egal... ich betrachte das sowieso nicht als meinen Thread....also ist da auch nix gekapert.... meinetwegen kanns bleiben wo es ist.

Jetzt hat er mich enttarnt . Aber der "geier" hat historische Wurzeln.

Neeee, ich war das nicht... .... das warst Du selber.... das steht in mehreren Deiner im Laufe der Zeit gesposteten Systemauszüge drin, in Deinem letzten pastebin sogar gleich oben als allererstes Wort ... was solls...?... ist doch echt unwichtig.