Umstieg auf Debian, ein paar Fragen

[geier22]

Verstehe ich das richtig, dass Updates die das Betriebsystem (zB Sicherheitsupdates) betreffen, genauso über apt-get dist-upgrade aktualisiert werden wie die Updates die Programme betreffen? Also alles in einem?

Ja - aber vorher nicht apt update vergessen !!!!
Aber bei Stable ist es nicht unbedingt nötig ein apt dist-upgrade zu fahren.

Code: Alles auswählen

apt update && apt upgrade 

sollten reichen.
Aber da gibt es hier genug Stable - Nutzer die die das genauer sagen können. Ich fahre nur Testing, und da ist apt dist-upgrade (bzw. apt full-upgrade) grundsätzlich notwendig. Siehe :
https://manpages.debian.org/stretch/apt ... .8.de.html

[guennid]

Updates von "Programmen" wirst du in stable nicht kriegen, allenfalls in den backports.
Die Zeilen mit "deb-src" brauchst du nicht, wenn du nicht selbst bauen willst, die können dann weg.
Ich würde in den Zeilen mit "stable", dieses mit "stretch" ersetzen, das schützt dich beim Release-Wechsel vor ungewolltem System-Wechsel. Ansonsten ist es egal.

Aber bei Stable ist es nicht unbedingt nötig ein apt (get) dist-upgrade zu fahren.

Das mag so sein, sicherer im Sinne ALLE benötigten STABILEN Pakete installiert zu bekommen, ist es allemal.

Vorsicht mit apt(-get)! Es gibt beides. Man kann beides störungsfrei benutzen, habe ich mir sagen lassen, man sollte aber dann bewusst entscheiden, was man jeweils tut. Ich bleibe bei apt-get, weil ich so lernunwillig bin, will sagen, ich sehe z.Z. für mich keinen Grund, es nicht zu tun.

[KP97]

Verstehe ich das richtig, dass Updates die das Betriebsystem (zB Sicherheitsupdates) betreffen, genauso über apt-get dist-upgrade aktualisiert werden wie die Updates die Programme betreffen? Also alles in einem?

Ja, das ist so. Es wird das Repo angesprochen, welches Du in Deiner sources.list eingetragen hast. Dort sind alle Pakete, die Dein System betreffen.
Du solltest tunlichst vermeiden, wenn Du ein Stable hast, andere Debian Zweige wie Testing oder unstable einzubinden, das geht meistens schief.
Um das System aktuell zu halten, genügt ein

Code: Alles auswählen

apt update 
apt full-upgrade

als root auf der Konsole.
Und selbstverständlich kann man auch Synaptic benutzen, da spricht überhaupt nichts gegen.
Mach Dich mit Debian vertraut:
https://wiki.debianforum.de/Grundsatzfragen

Und noch ein Hinweis am Rande: In Debian wird standardmäßig kein sudo benutzt, da reicht ein su auf der Konsole.

[scientific]

Das letzte stimmt so nicht.
Der Installer fragt dich nach einem aktivierten Rootaccount. Gibt man hier nein an, wird sudo installiert, und der anzulegende User kann sudo benutzen.

Lg

[TomL]

Das letzte stimmt so doch. Vom Standard her, was für mich bedeutet, dass man dem Default-Weg des Installers folgt, ist "sudo" nicht aktiviert. Debian ist auch bis in letzter Konsequenz so ausgestaltet, dass man kein "sudo" braucht. Und wenn man den Standard-Weg des Installers verlassen will, also "sudo" anstatt root-Passwd verwenden will, muss man sogar eine konkrete Warnung ignorieren und die Eingabe des Root-PWD explizit überspringen.
Aus dem Installer:
"Sie müssen ein Passwort für "root", das Systemadministrator-Konto, angeben. Ein bösartiger Benutzer oder jemand, der sich nicht auskennt und root-Rechte besetzt, kann verheerende Schäden anrichten."

Aber davon unberücksichtigt kann man trotzdem dem Buntu-Weg folgen und sudo aktivieren. Empfehlen würde ich das jedenfalls heute nicht mehr.

j.m.2.c.

[guennid]

Ergo, debianx: Wenn schon Debian statt *buntu ...

Aber es soll ja Leute geben, die mögen kein su.

[scientific]

Stimmt so nicht. Keine bösartige Warnung. Nur ein Hinweis...

Alles andere ist Ideologie...

Warum verbreitet ihr so Schwachsinn?

[geier22]

Stimmt so nicht. Keine bösartige Warnung. Nur ein Hinweis...

Alles andere ist Ideologie...

Warum verbreitet ihr so Schwachsinn?

Finde ich auch
Beides ist "Debian-Way" - Zumindest auf Einzelplatz - Rechnern.

[TomL]

Stimmt so nicht. Keine bösartige Warnung. Nur ein Hinweis...

Alles andere ist Ideologie...
Warum verbreitet ihr so Schwachsinn?

Schwachsinn? Nein, ganz sicher nicht.... aber dafür mal wieder das übliche, dass Du wie gehabt nicht richtig liest, was geschrieben steht. Ich habe nichts von "bösartiger Warnung" gesagt, sondern lediglich auf eine konkrete Warnung hingewiesen, die der Installer selber anzeigt. Und der Wortlaut in der Warnung "'Sie müssen ein Passwort..." ich wiederhole "müssen" .... zeigt eindeutig den empohlenenen und gewollten Weg des Installers. 'Müssen' und 'bösartig' sind vom Installer verwendete sehr suggestive Begriffe und viel mehr eine eindeutige Warnung als nur ein unwichtiger Hinweis.

Und es ist keine Ideologie, sondern eine Tatsache, dass mit dem per Default eingestellten 15-minütigen Password-Keep wirklich jedes unberechtigte Programm und jedes unberechtigte Plugin und jedes unberechtigte AddOn binnen kurzer Zeit den Rechner mit root-Rechten komplett übernehmen kann. Nur weil Dir das nicht bekannt ist, muss Du nicht andere Ansichten als Schwachsinn hinstellen. Schwachsinn ist es, Dinge zu verharmlosen, die nicht harmlos sind.

Ich werde und will das ganz sicher nicht wieder erneut diskutieren... mir gings jetzt hier nur um die mal wieder obligatorische Unsachlichkeit mit "Schwachsinn".

[geier22]

Und es ist keine Ideologie, sondern eine Tatsache, dass mit dem per Default eingestellten 15-minütigen Password-Keep

Müsste doch in der /etc/sudoers stehen, wenn ich recht informiert bin. Steht aber bei keiner einzigen Installation von Debian. hab jetzt bei 6 Stück (incl. VM's) nachgesehen.
Gerücht oder wo steht das ?

wirklich jedes unberechtigte Programm und jedes unberechtigte Plugin und jedes unberechtigte AddOn binnen kurzer Zeit den Rechner mit Root- Rechten komplett übernehmen kann

Musst du mir auch mal erklären:
Währen ich in einem Terminal per sudo einen Befehl ausführe, muss ich in einem zweiten erneut das PW (su oder sudo) eingeben um Befehle ausführen zu können, die Root Rechte benötigen.
Wie kommt dann ein Add-on (ich nehme an, ein Browser Add-on) an Root Rechte ?
Im Systemprotokoll sieht das dann so aus: (Terminal mit 2. Reiter). Nach meinem Verständnis wird die Session sofort nach Eingabe des Befehls wieder geschlossen. (das Terminal ist übrigens immer noch geöffnet)

Code: Alles auswählen

11:56:07 sudo: pam_unix(sudo:session): session closed for user root
11:56:07 sudo: pam_unix(sudo:session): session closed for user root
11:56:07 sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
11:56:07 sudo:     hans : TTY=pts/2 ; PWD=/home/hans ; USER=root ; COMMAND=/sbin/ifconfig
11:55:33 sudo: pam_unix(sudo:session): session closed for user root
11:55:33 sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
11:55:33 sudo:     hans : TTY=pts/0 ; PWD=/home/hans ; USER=root ; COMMAND=/bin/dmesg

AHH JETZT HAB ICH ES GEFUNDEN (Ubuntu-Wiki)

Administrator auf Zeit
Der voreingestellte Zeitraum von 15 Minuten, in dem das Passwort bei sudo-Aktionen nicht abgefragt wird, kann verändert werden; beispielsweise auf den Wert 0. Dazu fügt man diese Zeile hinzu oder hängt timestamp_timeout = 0 , mit Komma getrennt vom bereits existierenden Parameter, an die bestehende Defaults-Zeile daran:
# Timeout auf Null setzen. Standardwert ist 15 Minuten.Defaults timestamp_timeout = 0
Danach muss man bei jedem sudo-Aufruf das Passwort eingeben.

[Radfahrer]

Natürlich kann man sudo unter Debian verwenden.

Wenn man es denn braucht!

Auf einem Rechner, auf dem nicht verschiedene administrative Aufgaben auf verschiedene(!) Nutzer aufgeteilt sind, braucht man es definitiv nicht!
Nur, weil Ubuntu diesen Missbrauch eingeführt hat, muss man es doch nicht nachmachen.

[guennid]

Popcorn ist nicht so mein Ding, aber ich glaube, es ist an der Zeit, die Erdnussflips bereitzustellen!

[geier22]

Erdnussflips mag ich nicht

[KP97]

Oh je, hätte ich das mal bloß nicht erwähnt, dabei war das nur ein gut gemeinter Hinweis für einen Neueinsteiger.
@Radfahrer hat es schon auf den Punkt gebracht.
Aber laßt uns diese Diskussion nicht weiterführen, das hatten wir doch schon zur Genüge.
Der TE sagt nichts mehr...wir werden ihn doch nicht verscheucht haben...;-)

@scientific
"Schwachsinn"...damit hängst Du Dich ganz schön weit aus dem Fenster...mal wieder....wie @TomL schon richtig bemerkte...

[debianx]

Der TE sagt nichts mehr...wir werden ihn doch nicht verscheucht haben...

Aber nein im Gegenteil , hab nur eine Weile nicht geguckt.
Der Installer hat bei mir zumindest intuitiv sowieso seine Wirkung erfüllt, bevor ich das hier alles zum Thema su gelesen hab, hatte ich sowieso schon ausschließlich das root-Konto für root Dinge benutzt.
Durch die Option "Benutzer wechseln" kann man sogar im laufenden Betrieb mal kurz zum root rüber gehen und etwas per apt laden und dann wieder abmelden und zurück.
Allerdings hab ich mich jetzt schon öfters dabei erwischt unter root aus Faulheit Firefox zu starten und dort nach Konsolebefehlen zu googlen
Optimal wäre es vermutlich im root auch nur die apt Dinge zu erledigen und schnell wieder raus...

Grüße

[geier22]

urch die Option "Benutzer wechseln" kann man sogar im laufenden Betrieb mal kurz zum root rüber gehen und etwas per apt laden und dann wieder abmelden und zurück

Als root deine Oberfläche aufzurufen solltest du tunlichst vermeiden. Da öffnets du wirklich jedem und allem Tür und Tor.
Root : im Terminal wenn fertig mit exit als root raus.
brauchst du mal Grafische Programme als Root (da fällt mit ansich nur der Dateimanager und der Editor ein :

Code: Alles auswählen

gksu programm

[debianx]

Achso ich dachte umgekehrt, root-Dinge nicht über einen nicht-root-User-Terminal zu machen wäre besser. Also sich richtig als root anzumelden wie hier geschrieben. http://debiananwenderhandbuch.de/anmelden-root.html

"Am einfachsten gelingt dies, wenn Sie sich bereits am Login-Prompt mit dem Benutzernamen root und dem dazugehörigen Passwort anmelden."

Genau das habe ich bisher gemacht nur das ich von einem User komme per "abmelden"->"benutzer wechseln" und dann beim root anmelden.

Umgekehrt wenn ich jetzt als gewöhnlicher Nutzer angemeldet bin, wo ich kompromittierbare Programme wie Firefox, Thunderbird etc nutze, wäre es dann nicht unsicherer wenn man dort das root Kennwort eingibt und root-Dinge ins Terminal schreibt?

[geier22]

Ich gehe aber schon davon aus, dass du eine grafische Oberfläche installiert hast. Was du gelesen hast bezieht sich auf eine Minimalinstallation ohne X-Server.
Wenn dem so ist, wirst du TTY 1 gar nicht sehen, es sei denn, dein X-Server startet nicht, weil irgend etwas schief gelaufen ist.
Oder du rufst mit z.B. Strg+Alt + F4 eine Konsole auf, was im Normalfall aber nicht nötig ist. Oder du hast keinen Display-Manager installiert.
Wenn du den Recovery- Modus aus dem Grub-Menü aufrufst, musst du zwangsweise dein root- PW eingeben.
Administrator- Sachen machst du über die normale Konsole (Terminal) innerhalb deiner Grafischen Oberfläche als root. Das reicht für alles, was mir bekannt ist aus.
Als Root die Grafische Oberfläche aufrufen und dann noch ins Internet zu gehen ist extrem gefährlich, weil dann alle Programme mit root- Rechten agieren. Andersherum gesagt: Sie können und dürfen alles.

[TomL]

Achso ich dachte umgekehrt, root-Dinge....

Eigentlich ist das ganz einfach.... Du bist als User angemeldet und möchtest etwas als "root" machen. Öffne einfach ein Terminal, melde dich mit "su" als root an und tu, was zu tun ist. Wenn Du fertig bist, meldest Du Dich mit "exit" als root ab und bist im offenen Terminal wieder ein normaler Benutzer. Und tatsächlich sehe ich es so, dass es ausser synaptic und vielleicht gparted kaum noch GUI-Apps gibt, die man wirklich als "root" starten muss. Und dafür brauchts kein gksu o.ä., sondern dafür gibts jetzt schon Polkit-Wrapper, die das Programm mit pkexec starten.

Mein Rat wäre, auf gar keinen Fall normale grafische Anwender-Programme als root zu starten.... wenn sie eigentlich in Deinem User-Space laufen müssten. Damit kannst Du Dir üble Probleme einfangen, wenn auf einmal durch den root-Zugriff Owner-Rechte verbogen werden. Und ausserdem, den Browser als root zu starten ist schon fast fahrlässig. Debian braucht diesen ganzen Scheiss nicht, den man von Windows kennt. Alle Debian-Programme sind entgegen der Windows-Philosophie grundsätzlich zu 100% ohne root-Rechte funktionsfähig, solange sie nicht an den Systemeinstellungen rumschrauben wollen.... und das tun normale Anwenderprogramme nie. Also.... Programme NUR dann mit root-Rechten starten, wenn eine echte Veränderung am System angesagt ist. Das ist u.a. auch eine der Philosophien, die m.E. Debian so sicher machen.... solange der Anwender nicht selber diese Sicherheit wieder untergräbt.

j.m.2.c.

[debianx]

Danke für die Infos.
Ok das heißt am besten einfach bei einem beliebigen User in der Konsole zum root werden und dort wieder raus gehen. Dann ist es ja eigentlich wie bei Ubuntu.
Ist denn das Aufrufen der grafische Oberfläche des root grundsätzlich schon gefährlich? Oder dient es nur zum Selbstschutz von Anfängern wie mich die dann dummerweise Firefox oder ähnlich von dort starten.
Denn wenn man nur das Terminal dort benutzt sollte es auch ok sein oder?

Aber nochmal eine hypothetische Überlegung:
Ein normales Benutzerkonto wird kompromittiert durch z.B Firefox.
Der Angreifer erlangt dadurch Zugriff auf die Tastatureingaben die unter diesem angemeldeten Benutzerkonto eingegeben werden.
Wenn man sich dann im kompromittierten Benutzerkonto im Terminal als root anmeldet hat doch der Angreifer das root Passwort...?!

Wäre es daher nicht "sicherer" die root-Aktivitäten auch nur unter der angemeldeten Oberfläche des root zu machen?

[TomL]

Ok das heißt am besten einfach bei einem beliebigen User in der Konsole zum root werden und dort wieder raus gehen.

Nee, nicht mit einem beliebigen, sondern mit dem, mit dem Du gerade angemeldet bist. Es ist nicht notwendig, sich dafür noch mit einem anderen User anzumelden. Sinnigerweise sollten nur Dein Password und das root-Password nicht das gleiche sein.

Dann ist es ja eigentlich wie bei Ubuntu.

Nee, soweit mir bekannt ist, ist das überhaupt nicht so. Wenn ich mich recht erinnere, ist per Default bei Ubuntu kein root-Password vorgesehen, sondern der betroffene Anwender erhält das Recht, unter seinem eigenen Account Änderungen am System durchzuführen. Und dazu ist er Mitglied der Gruppe sudo und kann dann diese Änderungen nach Eingabe seines eigenen Passworts durchführen. Das ist m.M.n eine völlig andere Philosophie... die eigentlich, wie Radfahrer schon bemerkt hat, missbraucht wurde, weil die ursprüngliche Intention zu sudo eine völlig andere war. Und zwar nicht einem Hauptbenutzer volle root-Rechte zu geben, sondern einem Stellvertreter-Admin beschränkte und explizite root-Rechte für eine besondere Aufgabe zu geben. Der wesentliche Unterschied ist, dass es bei Debian 2 verschiedene Accounts sind, einmal der User und einmal root. Bei Ubuntu wechselt der User nicht den Account, sondern wird via sudo selber berechtigt, Änderungen am System durchzuführen.

Ist denn das Aufrufen der grafische Oberfläche des root grundsätzlich schon gefährlich?

Nur insofern, dass das Einfluss auf Owner-Rechte haben kann, weil vielleicht durch einen schreibenden Zugriff Besitzrechte verändert werden könnten. Das könnte dann zu merkwürdigen Phänomenen bis hin zu Datenverlust führen, wenn man wieder als User darauf zugreifen will und mit diesem Problem unsachgemäß umgeht. Wie gesagt, sowas ist völlig unnötig und widerspricht dem Debian-Gedanken. Ich würds lassen, das ist unnötig und man braucht das nicht. Ich habe mich auf etlichen System in mehreren Jahren noch nicht ein einziges Mal als root auf einer grafischen Oberfläche anmelden müssen. Ich starte wohl synaptic oder gparted mit root-Rechten, aber das tue ich aus meinem Account heraus und gebe beim Start des Programms das root-Passwort ein.... nicht meines, sondern das von root.

Aber nochmal eine hypothetische Überlegung:
Ein normales Benutzerkonto wird kompromittiert durch z.B Firefox.

Keine Ahnung... nur wenn Du vielleicht auf echte attackierende Seiten gehst..... so einfach geht das aber alles nicht. Wenn ich "unseriös" surfe, mach ich das allerdings nicht in meinem Firefox-Konto, sondern starte ne VM... und da ist mir das dann egal. Weil in der VM nix anderes installiert ist.

Wäre es daher nicht "sicherer" die root-Aktivitäten auch nur unter der angemeldeten Oberfläche des root zu machen?

Nicht Debian ist das Problem, sondern der Anwender, der Debian sabotiert *lacht*. Machs einfach, wie ich gesagt habe, aus Deinem Account heraus im Terminal als root anmelden und tun, was zu tun ist, dann abmelden. Wenn Du auf zweifelhafte Seiten surfst, oder das Tracking reduzieren willst, geht das prima über eine VM... und auch das ist kein Hexenwerk. Es reicht sogar schon, für diese zweifelhafte Seiten Firejail mit flüchtigen Einstellungen für den Firefox zu nutzen. Da kriegst Du bei jedem Firefox-Start ein neues Profil. Und du kannst sogar alles 3 gleichzeitig nutzen, den regulären FF fürs Debian-Forum, einen Firejail-FF für die bösen Seiten, einen VM-FF fürs Banking... oder was auch immer....

Ich würde einfach mal anfangen... allein mit dem Wechsel nach Debian hast Du schon einen großen Schritt Richtung Sicherheit getan.

HTH

[uname]

Es bringt eher Nachteile als Vorteile sich an einer Oberfläche direkt als root anzumelden. Erst mal muss man verstehen, dass root sowieso immer aktiv ist. root ist der Systembenutzer. Schau dir z.B. die Ausgabe von top an. Nun ist es sinnvoll so viel wie möglich als Anwender und nicht als root durchzuführen. Wird die Anwendung wie z.B. Firefox gehackt oder machst du als Anwender einen Fehler trifft es nur den Benutzer und nicht das ganze System. Auch wenn es idiotisch ist z.B. Firefox überhaupt als root laufen zu lassen wäre es noch schlechter den Desktop wie Gnome und dann den Firefox als root laufen zu lassen

[MartinV]

Aber nochmal eine hypothetische Überlegung:
Ein normales Benutzerkonto wird kompromittiert durch z.B Firefox.
Der Angreifer erlangt dadurch Zugriff auf die Tastatureingaben die unter diesem angemeldeten Benutzerkonto eingegeben werden.
Wenn man sich dann im kompromittierten Benutzerkonto im Terminal als root anmeldet hat doch der Angreifer das root Passwort...?!

Ja.
Und "kompromittiert" heißt hier, es reicht, wenn z. B. ein Firefox-Addon Zugriff auf den X Server bekommt. Jedes Programm kann auf die Tastatureingaben aller anderen Programme zugreifen. Dabei ist es egal, ob man su, sudo, gksu, pkexec oder sonst etwas nimmt. Hier muß man darauf vertrauen, daß Firefox das verhindert. (Darüber hinaus können Programme sogar Tastatureingaben in anderen Programmfenstern simulieren, also z.B. Befehle und Paßwörter ins Terminal tippen.)

Sehr viel sicherer ist es, mit STRG+ALT+F1...F12 auf die Konsole zu wechseln und sich dort als root anzumelden. Auf die Konsole hat der X Server keinen Zugriff.

Das Konzept vom X Server ist sehr alt und basiert u.a. darauf, daß alle installierten Programme vertrauenwürdig sind und nicht voneinander isoliert werden müssen. Aus diesem Grund (und noch einigen weiteren Gründen) wird seit ein paar Jahren Wayland entwickelt, das der Nachfolger von X werden soll. In Wayland sind solche Späße (Keylogger und Tastatursimulation) nicht mehr vorgesehen.

Gnome 3 und KDE 5 verwenden zum Teil schon Wayland, aber da die meisten Programme bisher nur auf X funktionieren, lassen Gnome 3 und KDE 5 gleichzeitig einen X Server laufen (Xwayland). Die Sicherheitsbedenken für Paßwörter bleiben uns in Gnome 3 und KDE 5 erhalten, bis irgendwann auf Xwayland verzichtet werden kann.

Es ist auch möglich, Wayland ganz ohne X/Xwayland laufen zu lassen. Leider funktionieren erst wenige Programme nur in Wayland ohne X.

[scientific]

Firejail ermöglicht über die Nutzung von Xnest die Abschottung der graphischen Programme untereinander.
Habs noch nicht getestet...
Aber das kommt noch.

[hikaru]

Firejail ermöglicht über die Nutzung von Xnest die Abschottung der graphischen Programme untereinander.

Xnest funktioniert doch sicher im Prinzip genauso wie Xephyr.
D.h. darunter läuft ein Host-X-Server und die Abschottung verschiedener Xnest-Instanzen gegeneinander funktioniert nur so lange wie die Abschottung zwischen einer kompromittierten Xnest-Instanz und dem Host funktioniert. Vom Host-X-Server kann ich aber beliebigen Fokus in verschiedene Xnest-Instanzen setzen und dort auch Programme starten. D.h., wenn ich es einmal schaffe aus der Xnest-Instanz auszubrechen, dann kann ich beliebige andere Instanzen manipulieren.

Und falls nicht für verschiedene Xnest-Instanzen verschidene User verwendet werden, dann ist dieses "ausbrechen" trivial, denn ich kann dem User einfach ein Startscript in irgendeinen Autostart legen. Vermutlich macht Firejail u.a. diese essenzielle Usertrennung. Ohne Fachmann zu sein halte ich es aber trotzdem für ein fragwürdiges Konzept, Sicherheit durch verschachtelte X-Sessions erreichen zu wollen.

Edit:
Ich kann sogar direkt aus einer Xephyr/Xnest(?)-Instanz heraus Programme in einer anderen starten, ohne Umweg über den Host (oder auch direkt auf dem Host). Selbst getrennte User helfen da nicht mehr weiter, jedenfalls nicht über das Maß hinaus, das auch auf einem einzelnen Host-X-Server möglich wäre.
Falls also Firejail nicht noch irgendeine Magie betreibt die ich gerade nicht bedenke, dann ist das ganze Konzept verschachtelter X-Instanzen aus Sicherheitssicht Humbug.