„sudo broken by design” - Gründe für diese Aussage?

[TomL]

Ich hätte noch eine Frage. Nutzt jemand von euch Umgebungen mit mehreren Benutzern, wo einige dieser Benutzer nur eingeschränkte root-Rechte z. B. zum Starten und Stoppen von Services ausführen dürfen? Wie wird das heute überhaupt gemacht? Ist auf Serversystemen mit vielen Benutzern, nur Shell-Zugang und wenigen als root auszuführenden Befehlen tatsächlich Polkit bzw. Policykit die heutige Alternative zu sudo?

Ja, ich, bei mir ist alles, von den Mounts an und bis in die letzte Instanz user-individuell geregelt... jeder User hat nach der Anmeldung ein eigenes Debian-Umfeld, hinsichtlich Berechtigungten individuell ausgerichtet auf seinen Bedarf. Und alles vollständig über das Polkit mit expliziten Berechtigungen... sudo gibts hier nicht, und auch nicht die Möglichkeit, dass sich User höhere Rechte aneignen können.

[DeletedUserReAsG]

Du musst halt auf ein Update warten, bei dem sich eine Datei unter /etc ändert. Dann bekommst du die Frage ob du die bearbeiten willst. Dann bist du im vim. Das ist in Debian sogar default. (Du musst also gar nicht $EDITOR setzen.) Und da kannst du dann halt :! machen.

Gut, wäre dann wieder ein Konfigurationsproblem (Admin lässt einen User Programme als Root ausführen, bei denen unter Umständen ’ne Shell gestartet werden kann – hatte ich damals™ nicht dran gedacht, und wäre da auch unwichtig gewesen: der User war nur darauf festgenagelt, damit er nix aus Versehen kaputtmacht – der hätte von sich aus keine Shell aus’m Editor raus gestartet).

Die eigentliche Frage bleibt damit die Ausgangsfrage: warum sollte man sudo als „broken by design“ bezeichnen?

[OrangeJuice]

sudo ist nicht (sicher) administierbar. Deswegen verwendet man es auch nirgends mehr abseits von der Ubuntu-Variante wo by desighn alles geht.

Fedora verwendet doch auch sudo.

[AspeLin]

Mein Standpunkt ist, dass sudo nicht "broken by design" ist, nur weil es unsichere Konfigurationen zulässt. Immerhin können chmod und chown auch unsichere Zustände hinterlassen, ohne dass "by design" eine bestimmte Rechtevergabe verboten wäre. Software ist einfach nicht klug genug, um mir sagen zu dürfen, was ich im Einzelfall nicht können soll.

Den Thread habe ich sehr interessiert gelesen, hatte zum Teil etwas seifenopermäßiges (werden sie sich wieder vertragen?)!

[bluestar]

sudo ist nicht (sicher) administierbar.

Diese Aussage mag für dich gelten, ich lasse diese Aussage nicht gelten.

Wie gesagt: Null sichere Anwendungsfälle. Das nenne ich broken by desighn.

Wenn du keine Anwendungsfälle für sudo hast, dann mag dies für dich gelten...

Wir haben unterschiedlichste Anwendungsfälle, ein typischer Fall:
Ein Script welches Daten aus einer Datenbank zieht und einem Dienst bereitstellt/aktualisiert und danach den Dienst neu startet.
Das Script wird von Support-Mitarbeitern gestartet, die keinen Root-Zugriff auf das System haben.

Um auf deine Aussage noch einmal einzugehen: Jeder Server-Dienst im Netzwerk, der keine Verschlüsselung(TLS) und ggfs. Benutzer-Anmeldung unterstützt wäre somit auch "broken by design".

Ich glaube damit würdest du den Erfindern des HTTP und des FTP-Protokolls den Sinn der Entstehung dieser Protokolle absprechen, weil sie ja zum Zeitpunkt ihrer Entwicklung schon "broken by design" waren...