braucht man "sudo" ?
Re: braucht man "sudo" ?
Soweit es meinen Desktop angeht, kann ich mit Sicherheit sagen, dass ich kein sudo brauche.... allerdings bin ich mir ziemlich sicher, dass jetzt einige entsetzt aufschreien, wie man denn sowas machen kann
So sieht meine selbst-gebastelte Taskleiste aus:
Von links nach rechts der (mein Favorit) Midnight-Commander, Double-Commander, lxterminal und Notepadqq. Grün ist immer als User, blau als root... ich klicks an, krieg was ich will und hab was ich brauche. Geregelt ist das wie...?... natürlich über Polkit-Policies und PKLA-Files für mich.
So sieht meine selbst-gebastelte Taskleiste aus:
Von links nach rechts der (mein Favorit) Midnight-Commander, Double-Commander, lxterminal und Notepadqq. Grün ist immer als User, blau als root... ich klicks an, krieg was ich will und hab was ich brauche. Geregelt ist das wie...?... natürlich über Polkit-Policies und PKLA-Files für mich.
Zuletzt geändert von TomL am 28.11.2017 17:32:26, insgesamt 2-mal geändert.
Re: braucht man "sudo" ?
*Aufschrei*TomL hat geschrieben:28.11.2017 17:24:44allerdings bin ich mir ziemlich sicher, dass jetzt einige entsetzt aufschreien,
Jedes beliebige Programm kann bei Dir mit XTEST root werden?ß?
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.
Re: braucht man "sudo" ?
Was ist XTE$T?
So wie ich das sehe, kann ein Programm den MC, den DC , ein Terminal oder Notepadqq als root starten.... find ich jetzt nicht sehr beunruhigend....
So wie ich das sehe, kann ein Programm den MC, den DC , ein Terminal oder Notepadqq als root starten.... find ich jetzt nicht sehr beunruhigend....
Re: braucht man "sudo" ?
Die X server extension XTEST ermöglicht die Simulation von Tastatureingaben und Mausklicks ohne den User. Sie ist standardmäßig aktiviert.
xdotool eignet sich zum Ausprobieren.
Imaginiertes Szenario: Der neue Firefox mit WebGL sendet Bilder von Deinem Desktop an Webserver, ein fieses AddOn/Javascript/wasauchimmer bekommt Zugang zu X, der Kapuzenmann auf der anderen Seite vom Internet klickt mit Hilfe von XTEST Dein root-lxterminal an und darf und kann alles.
xdotool eignet sich zum Ausprobieren.
Imaginiertes Szenario: Der neue Firefox mit WebGL sendet Bilder von Deinem Desktop an Webserver, ein fieses AddOn/Javascript/wasauchimmer bekommt Zugang zu X, der Kapuzenmann auf der anderen Seite vom Internet klickt mit Hilfe von XTEST Dein root-lxterminal an und darf und kann alles.
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.
Re: braucht man "sudo" ?
Wie öffnet ein Addon ein lxterminal ohne das ich das bemerke? Glaubst Du, ublock origin tut sowas? Das ist nämlich das einzige von mir verwendete AddOn. Wie gesagt, ich finde das nicht mehr beunruhigend als die Gefahr, dass mir beim Surfen eine Boing 747 aufs Haus fällt.
Code: Alles auswählen
root@thomaspc:~
# dpkg -l | egrep "xtest|xdotool" -i
root@thomaspc:~
Re: braucht man "sudo" ?
Es kann ein AddOn ein, oder irgend eine Sicherheitslücke im Browser. Es ist keine Neuigkeit, das Browser zu den riskantesten Programmen gehören.TomL hat geschrieben:28.11.2017 17:58:17Wie öffnet ein Addon ein lxterminal ohne das ich das bemerke?
Mit "xdotool unmap" kann ich ein Fenster verschwinden lassen und weiterhin Tastatureingaben hineinsenden, ohne daß es in der Taskleiste stehen würde.
Als Kapuzenmann mit gefundener Sicherheitslücke im Browser würde ich abwarten, bis längere Zeit keine Tastatur- oder Mausereignisse von Dir angezeigt werden, um einen Moment abzupassen, wo Du wahrscheinlich mal nicht am Rechner sitzt. Dann root-Terminal anklicken und direkt mit xdotool unmap verschwinden lassen. Mehr als ein kurzes Aufblitzen des Fensters ist nicht zu sehen.
(Vielleicht könnte ich das Fenster auch außerhalb des sichtbaren Bildschirmbereichs öffnen, habe ich noch nicht ausprobiert. Das würde es noch einfacher machen und den sichtbaren Effekt auf ein kurzes Flackern der Taskleiste reduzieren).
Fazit:
X ist unsicher.
root und X zusammen ist sehr unsicher.
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.
Re: braucht man "sudo" ?
Ist der Umstand, dass ich das (s.o.) gar nicht installiert habe unbedeutend? Vielleicht diskutieren wir auch kurz die Sicherheitslücken (m)einer Apache-Installation mit Zugang vom Internet, den ich auch nicht installiert habe.... die Gefahr kompromittiert zu werden, die vom Apache-Server ausgeht ist zumindest theoretisch viel größer..... oder?MartinV hat geschrieben:28.11.2017 18:12:06Mit "xdotool unmap" kann ich ein Fenster verschwinden lassen und weiterhin Tastatureingaben hineinsenden, ohne daß es in der Taskleiste stehen würde.
Re: braucht man "sudo" ?
Ja. xdotool ist nur das shell-Tool, um XTEST zu nutzen. Die XTEST-Funktionen stellt X über das X11-Protokoll jeder Anwendung bereit.TomL hat geschrieben:28.11.2017 18:16:57Ist der Umstand, dass ich das (s.o.) gar nicht installiert habe unbedeutend?
Man kann XTEST auch deaktivieren beim Aufruf von X (mit Option "-extension XTEST" ). Wird aber distributionsübergreifend nicht gemacht. Warum? Ist mir ein Rätsel. Kein ehrliches Programm braucht das.
Je nach Display Manager oder startx könnte man das nachträglich manuell konfigurieren; wenn irgendwo die Möglichkeit besteht, eigene Optionen an X zu übergeben, einfach "-extension XTEST" ergänzen.
( -extension schaltet aus, +extension schaltet ein).
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.
Re: braucht man "sudo" ?
Ich glaube, dass der Weg von einer Sicherheitslücke im Browser zu einem Remote-Desktop erheblich länger ist, als du den einschätzt.MartinV hat geschrieben:28.11.2017 18:12:06Als Kapuzenmann mit gefundener Sicherheitslücke im Browser würde ich abwarten, bis längere Zeit keine Tastatur- oder Mausereignisse von Dir angezeigt werden, um einen Moment abzupassen, wo Du wahrscheinlich mal nicht am Rechner sitzt. Dann root-Terminal anklicken und direkt mit xdotool unmap verschwinden lassen. Mehr als ein kurzes Aufblitzen des Fensters ist nicht zu sehen.
Re: braucht man "sudo" ?
Wenn mir die Lücke z.B. Kontakt mit X über Javascript erlaubt, ist der Weg ziemlich kurz.tobo hat geschrieben:28.11.2017 18:31:59Ich glaube, dass der Weg von einer Sicherheitslücke im Browser zu einem Remote-Desktop erheblich länger ist, als du den einschätzt.
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.
Re: braucht man "sudo" ?
Das wird langsam arg offtopic.
Abseits aller Theorie würde mich zum xtest eine Demo (quasi ein exploit) interessieren, wo das funktioniert. Ansonsten schieb ich das auf den Stapel von "ja und wenn aber".
Abseits aller Theorie würde mich zum xtest eine Demo (quasi ein exploit) interessieren, wo das funktioniert. Ansonsten schieb ich das auf den Stapel von "ja und wenn aber".
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: braucht man "sudo" ?
Mir macht's zunehmend Spass: Da sagt einer ``sudo'' und die tollsten, buntesten OT-Threads, die man sich vorstellen kann, entstehen aus dem Nichts.
Use ed once in a while!
Re: braucht man "sudo" ?
Zumindest für XTEST ein hello-world-exploit in bash:TRex hat geschrieben:28.11.2017 19:13:15Abseits aller Theorie würde mich zum xtest eine Demo (quasi ein exploit) interessieren, wo das funktioniert.
Code: Alles auswählen
#/bin/bash
# Dieses XTEST Beispiel braucht xdotool, Xephyr und openbox
Xephyr :2 &
sleep 1
DISPLAY=:2 openbox &
sleep 1
xdotool mousemove --window $(xdotool search Xephyr) 10 10 click 3
sleep 1
xdotool mousemove_relative --sync 45 10
sleep 1
xdotool click 1
sleep 1
xdotool type "hello world"
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.
Re: braucht man "sudo" ?
Sorry, ich meinte eigentlich einen exploit in Bezug auf Javascript. Ich bin nicht beeindruckt von der Fähigkeit, mit der Shell den Xorg zu steuern.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: braucht man "sudo" ?
Browser exploits und Javascript sind nicht mein Gebiet. Da bleibt mir nur, den Browserprogrammieren zu vertrauen, daß sie das schon verhindern werden.TRex hat geschrieben:28.11.2017 20:11:42ich meinte eigentlich einen exploit in Bezug auf Javascript
Oder den Browser nicht auf dem regulären X Server laufen zu lassen, sondern zu isolieren (mit firejail oder VirtualBox, oder wenigstens auf einem X Server ohne XTEST laufen lassen).
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.
Re: braucht man "sudo" ?
Das wäre doch mal eine gute Maschine für Donald T. Mit sudo (schütteln unten, dellen oben).
Re: braucht man "sudo" ?
Oh Scheisse - was hab ich da nur angerichtet.......
Dennoch sind die Posts hier sehr amüsant/interessant/für mich teilweise Böhmische Dörfer......
Dennoch sind die Posts hier sehr amüsant/interessant/für mich teilweise Böhmische Dörfer......
Re: braucht man "sudo" ?
Ein Fazit ist einfach. Du hast mit dem deinstall keinesfalls etwas falsches gemacht. Debian ist so ausgestaltet, dass es vorrangig auch ohne sudo funktioniert. Wer es will oder sich der Risiken nicht bewusst ist oder die Risiken aus Überzeugung ignoriert, kann es nutzen....er muss nicht, aber er kann. Und um auf die Eingangsfrage zu kommen, nein, man braucht es nicht um Debian zu benutzen. Hier besteht ein kleiner konzeptioneller Unterschied zwischen Debian, Ubuntu und Mint
Re: braucht man "sudo" ?
... und auch ein Unterschied zum anderen Lieblingsthema: Systemd. Denn da hat man diese Wahlfreiheit nicht in gleicher Weise.TomL hat geschrieben:30.11.2017 10:06:27Und um auf die Eingangsfrage zu kommen, nein, man braucht es nicht um Debian zu benutzen. Hier besteht ein kleiner konzeptioneller Unterschied zwischen Debian, Ubuntu und Mint
(Ich weiss, ich weiss, aber der Thread war schon am Einschlafen. )
Use ed once in a while!
Re: braucht man "sudo" ?
Sachliche/informative Beiträge werden übrigens von der Moderation gelöscht, damits hier schön warm bleibt.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: braucht man "sudo" ?
Ich bin mir sicher, dass ich vor längerer Zeit auch Mint ohne Sudo benutzt habe. Ich will damit sagen, man braucht es auch bei Mint nicht. Ich denke bei Ubuntu ist es genauso, möchte da aber nicht zu sachlich werden.TomL hat geschrieben:30.11.2017 10:06:27Und um auf die Eingangsfrage zu kommen, nein, man braucht es nicht um Debian zu benutzen. Hier besteht ein kleiner konzeptioneller Unterschied zwischen Debian, Ubuntu und Mint
Re: braucht man "sudo" ?
Das ist richtig, Ubuntu braucht das auch nicht. Ich habe ne VM, in der das auch entfernt ist. Mir ging's eigentlich eher um den vom Installer gewählten Default-Weg, und da hatte bei U und M root imho zuerst kein Pwd, aber der Installer-User ist in der Gruppe sudo eingetragen. Allerdings ist mir nicht bekannt, ob das in den aktuellen Versionen immer noch so ist.thoerb hat geschrieben:30.11.2017 12:11:05Ich bin mir sicher, dass ich vor längerer Zeit auch Mint ohne Sudo benutzt habe. Ich will damit sagen, man braucht es auch bei Mint nicht. Ich denke bei Ubuntu ist es genauso, möchte da aber nicht zu sachlich werden.
Aber was m.M.n. noch wichtiger ist, ist die Haltung der Community. Mir wurde ganz klar vom root-Pwd abgeraten und dann festgestellt, dass sudo der gewählte Ubuntu-Pfad ist, dem man besser folgen soll... aus Sicherheitsaspekten. Tja....
- novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: braucht man "sudo" ?
Welche Risiken sind denn dem Programm sudo inhärent?TomL hat geschrieben:30.11.2017 10:06:27Wer es will oder sich der Risiken nicht bewusst ist oder die Risiken aus Überzeugung ignoriert, kann es nutzen....er muss nicht, aber er kann.
Natürlich kann die Rechtedelegation über sudo scheiße konfiguriert sein, das kriegt man aber auch mit anderen Methoden hin. Man kann z.B. auch "root:root" als credentials vergeben. Wie "risikolos" ist in diesem Fall su?
Wenn Du auf Debian sudo installierst ändert sich an der effektiven Rechtedelegation zunächst einmal gar nichts. In der sudoers ist lediglich konfiguriert, dass root alles darf und Mitglieder der Gruppe "sudo"[*]. Wenn der Admin da keinen user explizit rein schreibt, ist also erst mal noch gar nichts geschehen.
Richtig ist allerdings, dass mit dieser Holzhammermethode, über die Gruppenmitgliedschaft einem user sämtliche Rechte zu gewähren, nicht gerade ein Sicherheitszugewinn zu erreichen ist, vor allen Dingen nicht, wenn man eh schon einen root-Account hat und mit su arbeiten kann.
Meine Faustregel:
Willst Du eine einfache Brot-und-Butter-Rechtedelegation, ist sudo nicht das Mittel der Wahl.
Hast Du in diesem Bereich feingranulierte Anforderungen:
Code: Alles auswählen
man sudoers
[*] Wobei ich mir relativ sicher bin, dass es diesen Eintrag früher so nicht in der Standard-Konfig gab. In meinen Augen ist solch eine Vorlage tendenziell fahrlässig.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.
Re: braucht man "sudo" ?
Also für mich ist sudo lebensnotwendig.
Von wegen man braucht das nicht:Linux-User zu seiner Frau: «Mach mir ein Sandwich!»
Sie: «Warum? Ich bin nicht dein Sklave.»
Linux-User:Code: Alles auswählen
SUDO mach mir ein Sandwich
Re: braucht man "sudo" ?
Hmm,
Code: Alles auswählen
sudo make me a sandwisch
make: *** No rule to make target `me'. Stop.