Sicherheit von Linux, mit Sudo und ohne Sudo

Smalltalk
Benutzeravatar
Revod
Beiträge: 3190
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von Revod » 20.03.2017 16:44:29

Die Unterschiede zwischen " Pexec " und " gksu " kenne ich nicht genau.

- Es gibt Distri, die " gksu " nicht von Sudo abhängig machen. Was ich bei gksu bemerkt habe, ist dass wenn es aufgerufen wird, z. B. eine Falsh Wiedergabe stehen bleibt, resp. das ganze Desktop nicht Mal bedienbar ist. Vermutlich ist dann nur noch gksu Aktiv und das Audio System, deswegen was ich für ziemlich sicher halte. Wenn gksu mit Sudo zusammenarbeiten muss, wegen Abhängigkeit Grund ( weiss ich nicht genau ) dann kann das eben das zusätzliche Risiko sein.

- Wie Pexec in dem Zusammenhang der Tasteneingaben Überwachung / genau arbeitet weiss ich nicht, ob es Tastatureingaben es zulässt.

Wegen meine geposteten, recherchierten Links im anderen Thread ist Sudo für mich für Linux a) einen zusätzliches Sicherheit Risikofaktor und b) unnötig, warum, siehe auch uname's Post hier.

Wenn die Türe meines Wohnhauses das gleiche Schloss hätte wie meine Wohnungstüre dann können alle meine Stockwerk Nachbarn in meine Wohnung mit ihren Wohnungsschlüssel und ich in jegliche, ihrer Wohnungen rein. Mit zwei verschiedene Schlösser geht das aber nicht, es sei denn man muss einbrechen.

Genau wegen dieses Prinzip ist Sudo für mich das höhere Sicherheitsrisiko und stimmt uname's Erklärung so ziemlich überein.

thoerb
Beiträge: 861
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von thoerb » 20.03.2017 17:16:26

Revod hat geschrieben: Wenn die Türe meines Wohnhauses das gleiche Schloss hätte wie meine Wohnungstüre dann können alle meine Stockwerk Nachbarn in meine Wohnung mit ihren Wohnungsschlüssel und ich in jegliche, ihrer Wohnungen rein. Mit zwei verschiedene Schlösser geht das aber nicht, es sei denn man muss einbrechen.
Es gibt halt auch Schließanlagen. Da hast du für jedes Schloss einen passenden Schlüssel und einen Zentralschlüssel mit dem du alle Schlösser öffnen kannst.
Genau wegen dieses Prinzip ist Sudo für mich das höhere Sicherheitsrisiko und stimmt uname's Erklärung so ziemlich überein.
Ich benutze kein sudo, aber so weit ich das gesehen habe, muss man da ja auch nach dem man das erste Mal sudo eingegeben hat um als "Root" zu arbeiten, auch das Passwort eingeben. Und nach einer gewissen Zeit muss man es dann wieder erneut eingeben. Ok, bei su hat man dann zwei Passwörter aber ob dass das System jetzt wirklich sicherer macht?

Beispielsweise ein Script, dass man aus dem Internet heruntergeladen hat, müsste dann ja auch erst zusammen mit dem Benutzerpasswort und sudo ausgeführt werden damit es mit Root-Rechten irgendwas böses auf dem Rechner machen kann. Wer das mit sudo ausführt, der mach es auch mit su root.

Benutzeravatar
Revod
Beiträge: 3190
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von Revod » 20.03.2017 17:49:39

Schloss <> Schlüssel > Schliessanlagen, richtig, verlierst Du das " Passpartous " oder ist es Dir nicht bekannt wo es sich aufhält kannst Du nur eine Türe noch aufschliessen, nämlich nur die für Dich vorgesehen ist, ansonsten müssen alle andere Schlösser auf Deinen angepasst werden, genau das ermöglicht Sudo.

Script... kann ich so direkt nicht zustimmen. Mit dem Aufruf von GKSU ohne Sudo werden alle Zugriffe auf Deinen Benutzer blockiert, ausser die Eingabe des GKSU Dialog. Somit kann das Script nichts tun. Dass einen Script unter Linux sich automatisch, ohne das es vom Kernel, oder Dienst während des booten gestartet wird, wie ein Daemon habe ich noch nie erlebt, müsste wohl ein aufwendigeres Script sein.

Es gibt bösartige Scripte, die können sich in Dein Benutzer irgend wo speichern und lesen unzählige male Passwort Eingaben bis sie wissen welches Passwort für was es ist. Und um das System zu schädigen müssen sie für sich selber root Rechte erlangen, die sie auch selbstständig machen können, jedoch dafür relativ lange brauchen.

Und dann gibt es noch rootkits, die von Linux Entwickler entwickelt wurden grundsätzlich für Systemadmins um root Sperren temporär aufzuheben. Mit ein wenig " Modifikationen " können daraus ganz bösartige rootkits werden ( Musste man früher für Server Admin so machen, in Zeiten wo es noch keine CD Laufwerke gab, wegen der Ebenen Hierarchie der Berechtigungen ).

Doch wollen wir soweit gehen?! Den meisten hier ist alles klar welche Scripte was machen und man sie nicht direkt in Terminal per " Copie & Paste " eingeben sollte, schon gar nicht in ein Terminal mit root Berechtigungen.

Wenn Du alle meine Links verfolgt hast ( auch die im anderen Thread, womit ich maroc geantwortet habe ) und das ganze Beitrag von uname gelesen und richtig verstanden hast solltest Du nun wissen warum ich kein Freund vom Sudo System bin ( auch das Wikipedia Beitrag über Nach- und Vorteil. Das geringe Sudo Vorteil ist für mich in Wirklichkeit kein relevantes Vorteil ).

Etwas sarkastisch... :mrgreen:
Ein Regenmantel mit Löcher, Vorteil ist, wenn es regnet und ich damit dann ausgehe kann ich mir das Duschen und die Duschzeit sparen, auch wenn es schwarzes Regen war... :mrgreen:

Benutzeravatar
Revod
Beiträge: 3190
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von Revod » 20.03.2017 18:17:26

Sorry, muss es noch etwas bildlich formulieren...

@ thoerb

Stell Dir so einen PC-Spiel vor. Du hast es geschafft Dich ins Gegner Haus geschafft ( in dem Du Dir das Benutzerpasswort verschafft hast hast ) und stehst inmitten eines Platzes der rings herum ca. 20, oder auch mehr Türen hat, die die Administrative Berechtigungen aufschliessen und zugänglich machen.

Mit Sudo musst Du dann nur noch auf das " Sudo Dialog " klicken und nur noch das gleiche Benutzer Passwort benutzen und lachen Dir alle Schlösser entgegen und alle Türen stehen für Dich auf.

Hingegen ohne dieses " Sudo Knopf " brauchst Du einen zweites Passwort. Dann kannst Du lange auf einen Passwort Dialog Knopf / Schalter drücken und das " gleiche " Benutzerpasswort eingeben, dann lachen Dir alle Schlösser aus und die Türen weigern sich zu öffnen.

Ich Denke dieses Unterschied sollte nun " einleuchtender " sein... :)

thoerb
Beiträge: 861
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von thoerb » 20.03.2017 18:29:37

@Revod, da magst du vielleicht Recht haben, aber ich sehe das so, wenn es jemand geschafft hat auf deinen Rechner zu kommen und deinen Benutzer zu knacken, dann hast du ganz andere Sicherheitslücken um die du dir Gedanken machen solltest. :wink:

Benutzeravatar
Revod
Beiträge: 3190
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von Revod » 20.03.2017 18:42:58

... jepp stimmt und trotzdem, um am System rein zu kommen fehlt ihm / ihr immer noch " was "...

Auch ein Grund warum mir VPN's auch nicht meine Sympathie gewinnen und ohne Sudo habe ich / wir ein paar " Hintertürchen " weniger. :wink:

scientific
Beiträge: 2727
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von scientific » 20.03.2017 18:55:38

Ja so is das...

Ein Schlüssel, mit dem man jedes Schloss aufsperren kann wird Masterkey genannt.
Ein Schloss, dass man mit jedem Schlüssel aufsperren kann, ist ein Klumpert.

So ist das auch mit Männern und Frauen
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
Lord_Carlos
Beiträge: 3734
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von Lord_Carlos » 20.03.2017 18:58:19

Revod hat geschrieben: Stell Dir so einen PC-Spiel vor. Du hast es geschafft Dich ins Gegner Haus geschafft ( in dem Du Dir das Benutzerpasswort verschafft hast hast ) und stehst inmitten eines Platzes der rings herum ca. 20, oder auch mehr Türen hat, die die Administrative Berechtigungen aufschliessen und zugänglich machen.)
Und wiso ist es so viel einfacher an das Benutzter Password zu kommen?

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Revod
Beiträge: 3190
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von Revod » 20.03.2017 19:06:35

Lord_Carlos hat geschrieben:
Revod hat geschrieben: Stell Dir so einen PC-Spiel vor. Du hast es geschafft Dich ins Gegner Haus geschafft ( in dem Du Dir das Benutzerpasswort verschafft hast hast ) und stehst inmitten eines Platzes der rings herum ca. 20, oder auch mehr Türen hat, die die Administrative Berechtigungen aufschliessen und zugänglich machen.)
Und wiso ist es so viel einfacher an das Benutzter Password zu kommen?
... hatte ja nirgends geschrieben, dass es einfach sei. Doch wenn ich den Benutzer Passwort mir ergattern kann ist es mit dem Sudo Dialog, Terminal Eingabe einiges einfacher um an Admin Berechtigungen ran zu kommen.

Hingegen ohne Sudo, wenn ich das " schwierige Teil des Benutzerpasswortes " geschafft habe, dann heisst es nicht, dass ich gleich auch das root Passwort habe, müsste doch logisch sein, oder. :o

thoerb
Beiträge: 861
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von thoerb » 20.03.2017 19:53:47

Revod hat geschrieben: Hingegen ohne Sudo, wenn ich das " schwierige Teil des Benutzerpasswortes " geschafft habe, dann heisst es nicht, dass ich gleich auch das root Passwort habe, müsste doch logisch sein, oder. :o
Die Sudo-Befürworter argumentieren damit, dass man um an das Benutzerpasswort zu kommen erst mal einen Benutzernamen kennen muss, während root von vornherein bekannt ist. Deswegen empfehlen die root zu deaktivieren.

MSfree
Beiträge: 2729
Registriert: 25.09.2007 19:59:30

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von MSfree » 20.03.2017 20:12:17

thoerb hat geschrieben:Die Sudo-Befürworter argumentieren damit, dass man um an das Benutzerpasswort zu kommen erst mal einen Benutzernamen kennen muss, während root von vornherein bekannt ist. Deswegen empfehlen die root zu deaktivieren.
Uih, Security by Obscurity = ganz dünnes Eis :mrgreen:

Um Benutzername und das dazu gehörende Paßwort herauszubekommen, reicht es aus, den Windows XP Rechner, von dem sich der User einlogt, zu hacken. Kennt dieser User das Root-Paßwort nicht, wird er dieses auch nicht (richtig) eingeben und der geknackte XP-Rechner kann auch die nötigen Tastatureingaben nicht wirksam mitlesen.

Im Gegensatz dazu hat der Admin, der die Kiste auch mal als Root administriert, eine hoffentlich abgesicherte Linuxkiste ohne Windows-Trojaner.

TomL
Beiträge: 3138
Registriert: 24.07.2014 10:56:59

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von TomL » 20.03.2017 20:19:18

Meiner Meinung nach muss man das auch mal ganz emotionslos vor dem Hintergrund betrachten, dass "sudo" und "pkexec" beide exakt dasselbe leisten, nämlich ein Programm als anderer User oder mit root-Rechten zu starten. Bei beiden muss dafür ein Password eingegeben werden, mit dem man überhaupt erst autorisiert wird und bei beiden kann man die PWD-Abfrage auch rauskonfigurieren. Insofern bestehen aus dieser Perspektive gar nicht so viele Unterschiede. Anscheinend gleiche Stärken und gleiche Schwächen

Ich glaube, dass man aber trotzdem zu einem ganz nüchternen Fazit kommen kann, dass "sudo" zwar tut, was es soll und mit Sachverstand tatsächlich erfolgreich genutzt werden kann, aber das es trotzdem nicht nur entbehrlich, sondern sogar überflüssig ist. Und ganz sicher ist auch ein Fazit, dass es mit vorhandenem Sachverstand nicht mehr Risiken beinhaltet, als pkexec.

Für mich sind es simple Fakten, die mich "sudo" als unnötig und überflüssig erkennen lassen:

Code: Alles auswählen

Bei Debian ist sudo zwar Standard, aber nach        Das polkit ist Standard und somit vom Installer
Willen des Installers gemäß seiner Default-         automatisch und mit Funktionsinhalten für die 
Einstellungen nicht automatisch mit "Funktions-     Desktops installiert. Da stellt sich die Frage: 
inhalten" installiert.                              Wie sinnvoll sind 2 Pakete mit exakt gleicher 
                                                    Aufgabe?


sudo wurde Anfang der 90er für Systeme ohne         Das polkit wurde in Anlehnung an die Windows-
Endanwender und ohne Anwendungen konzipiert,        UAC entwickelt. Das heisst, die Zielrichtung 
für desktoplose Maschinen, um stellvertretende      ist direkt der End-Anwender-PC, der eben gerade
Admins zu einzelnen begrenzten Aufgaben             auch ein Multi-User-PC sein darf
an der Maschine zu bgerechtigen. 


sudo kann keine grafischen Anwendungen hand-        Das Polkit startet mit pkexec sowohl Terminal-
haben, dazu sind weitere Programme wie kdesudo      als auch grafische Anwendungen
oder gksudo notwendig, die nach Bedarf ausge-
wählt werden müssen. Das bedeutet weitere 
notwendig Programme und damit weitere mögliche 
Exploits, und weitere Ungenauigkeit bezgl. des 
Einhaltens von Vorgaben und Regeln. 


Unter sudo ist der Pwd-Keep eine Default-Ein-       Das policykit kennt auch den Pwd-Keep, der aber 
stellung, die nach der Erledigung des mit sudo      speziell für jede Ausführungs-Autorisierung 
ausgeführten Befehls das System minutenlang         explizit erlaubt werden muss. Default ist diese 
geöffnet lässt. Das heisst, für weitere Befehle     Einstellung "off"
mit root-Rechten wird zunächst kein Password 
abgefragt.


Wenn ich meine Windows-Gewohnheiten beibehalten     Das Policykit sieht dafür meines Wissens keine
möchte, weil ich ja der super-mega-coole Linux-     Möglichkeit vor.
Kenner bin und gerade mein erstes Linux erfolg-
reich installiert habe, schaffe ich mir diese 
nervige Password-Abfrage mit einem Wisch vom 
Hals:      TomL ALL=(ALL) NOPASSWD:ALL


%sudo ALL=(ALL):ALL erlaubt allen Mitgliedern       Das Policykit sieht dafür meines Wissens keine
der Gruppe "sudo" generell alle Programme mit       Möglichkeit vor. 
root-Rechten auszuführen. Meine persönliche 
Meinung dazu ist, dass ich es heute für falsch 
halte, wenn ein User überhaupt diese Möglichkeit 
hat. Selbst ein privater Anwender sollte überhaupt
keine Möglichkeit dazu haben, mit seinem Namen
system-relevante Befehle auszuführen. Ich gestehe
zu meiner Schande, dass ich zu Beginn meiner Linux-
Laufbahn versucht habe, eine exakte Abbildung von 
Windows einzurichten. Das heisst, der obige "NOPASSWD"
in der sudoers und die meisten Desktop-Icons hatte
ich mit "sudo" versehen. Bei Windows hatte ich ja 
schließlich auch permanente Admin-Rechte. Die dadurch 
ausgelösten Probleme sind heute noch unter ubunutusers 
nachzulesen, weil mein  Profil wahllos mit root:root 
und thomas:thomas zerschossen war. 


"sudo" kennt seit jeher die Gruppe "sudo".          Verschiedene Distris nutzen für das polkit in 
                                                    den typischen/obligatorischen Desktop-Rules 
                                                    ebenfalls die Gruppe "sudo".
                                                    Offene Frage: Gibt es Wechselwirkungen zwischen 
                                                    sudo und polkit? Welche? Zum Beispiel, dass die 
                                                    Einstellungen in dem einen Paket unbemerkt Löcher 
                                                    im anderen öffnen? Zumindest sollte man diese 
                                                    Möglichkeit prüfen und ggf. entsprechend reagieren.
                    
                        
Die sudo-Fähikgeiten sind arg limitiert             pkexec kann ganz einfach via bash-alias die Grund-
                                                    Funktionalität von "sudo" übernehmen, ohne dabei 
                                                    über die Schwächen von "sudo" zu verfügen und ohne 
                                                    das der Anwender diese Änderung nachteilig bemerkt. 
                                                    Im Gegenteil, gehts auch um grafische Anwendungen 
                                                    ist ggf. nur ein Wrapper zur X-Autorisierung 
                                                    notwendig.
Für mich gibts wirklich nur eine gute Begründung für "sudo", wo der Versuch das zu widerlegen auch völlig unsinnig wäre: "Ich nutze das seit jeher und weiss damit umzugehen." Wer das sagt, hat imho absolut Recht, "sudo" so wie schon immer zu nutzen und der macht auch nichts verkehrt.
Zuletzt geändert von TomL am 20.03.2017 20:35:23, insgesamt 3-mal geändert.
vg, Thomas

thoerb
Beiträge: 861
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von thoerb » 20.03.2017 20:30:18

MSfree hat geschrieben: Um Benutzername und das dazu gehörende Paßwort herauszubekommen, reicht es aus, den Windows XP Rechner, von dem sich der User einlogt, ...
Wer so was macht, dem ist eh nicht mehr zu helfen. Aber ich habe verstanden auf was du hinaus willst.

Benutzeravatar
Lord_Carlos
Beiträge: 3734
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von Lord_Carlos » 20.03.2017 20:34:56

MSfree hat geschrieben: Um Benutzername und das dazu gehörende Paßwort herauszubekommen, reicht es aus, den Windows XP Rechner, von dem sich der User einlogt, zu hacken. Kennt dieser User das Root-Paßwort nicht, wird er dieses auch nicht (richtig) eingeben und der geknackte XP-Rechner kann auch die nötigen Tastatureingaben nicht wirksam mitlesen.

Im Gegensatz dazu hat der Admin, der die Kiste auch mal als Root administriert, eine hoffentlich abgesicherte Linuxkiste ohne Windows-Trojaner.
Bin mir nicht sicher ob du das Ernst meinst. Das hat ja nichts mit Sudo oder nicht sudo zu tun.
Genau so gut kann man auch sagen der sudo benutzter logt sich uebers abgesicherte Linux ein und der admin via einer XP kiste.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Revod
Beiträge: 3190
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von Linux, mit Sudo und ohne Sudo

Beitrag von Revod » 20.03.2017 20:54:49

@ MSfree

bist mir zuvor gekommen, in der Art " Dünnes Eis " wollte ich es auch schreiben, auch im Zusammenhang mit Total Vornamen, und auch Namen mit Vornamen, weil da genügt alleine das Telefonbuch.

Hingegen 24 bit Verschlüsselung Kombinationen mit ca. 10 Zeichen in Zahlen, Buchstaben und ein bis 2 Sonderzeichen, und Minimum noch mit einen Grossbuchstabe irgend wo dazwischen kombiniert ergibt das eine recht mühsame zu knackende Verschlüsselung, ob nun root bekannt, oder unbekannt ist ( siehe WLan,, die haben auch bekannte Provider ). :mrgreen:

Ja das mit dem Benutzernamen wird auch in der Wikipedia so erklärt, wovon ich über diese " Sicherheitshürde " nicht sehr viel davon halte.

Böse Unterstellung von mir, nöö sag ich jetzt nicht... würde zu sehr ausschweifen und zu unendliche Dispute führen... bezüglich missverstehen, das kann Dir, MSfree nach Deiner Formulierung Art auch passieren, siehe " Lord_Carlos " hat sich prompt schon zu Wort gemeldet ... :mrgreen:

@ TomL

... in so fern man pexec mit sudo zusammen nutzt, inkl. der Sudo Schwächen, so habe ich es verstanden. Es wird über ksudo ( gksudo = gtk-sudo ). Über eindeutige Unterschiede von " su " und " sudo " kann ich nirgends herauslesen.

Und wie Du es selber auch schreibst, ... überflüssig ... schon deswegen ist es unlogisch es zusätzlich installiert zu haben, was für alle nicht Ubuntu und seine Derivate Distri gelten sollte.

Warum, dass man vom GKSU abgekommen ist, für System Admin Befehle wie für Terminal, Synaptic und weitere root Anwendungen versteh ich nicht.

Und Sudo sollte dazu verwendet werden wozu es Mal entwickelt wurde und gut ist. :twisted: :mrgreen:

Antworten