[sudo] password
Re: [sudo] password
Les doch bitte noch mal meinen Beitrag von oben. Dann bekommst du auch deine Antworten.
Re: [sudo] password
Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root. Daraus leite ich ab, dass der Desktop beliebige Rechte vergeben kann, beliebige Programme als root auszuführen erlauben kann und letzten Endes alles "selber" prüft, parsed und ausführt. Dafür gibts dann vermutlich auch solche zusätzlichen Apps wie kdesudo oder gksudo, die innerhalb des Desktops mit entsprechenden root-Rechten autorisiert sind und quasi interne oder logisch integrierte Komponenten für den Desktop dasrstellen. An diesem Punkt kann die Gruppe 'sudo' vom Desktop und diesen sudo-Abkömmlingen m.E. ganz einfach direkt gelesen und innerhalb der GUI-Umgebung für die zum User delegierten root-Aufgaben entsprechend berücksichtigt werden.... eben wer darf, und wer nicht.witesoul hat geschrieben:Danke für die Antworten. Ich verstehe aber immer noch nicht, warum ich als User, wenn ich ihm die Gruppe sudo gebe, Rechte bekommt, Pakete unter Gnome zu Verwalten und Updates etc. zu machen. Das alles geht "ohne" die installation von sudo. Warum ist das so und wo ist die sudo Gruppe konfiguriert, das Úser die in der sudo Gruppe sind Administrative Vorgänge erledigen dürfen?
Was ein sudo darf und was nicht wird meines wissens in der /etc/sudoers festgehalten. Warum geht das denn noch wenn ich einen beliebigen User die sudo grp zuteile? Es muss doch eine konigdatei irgendwo geben was die sudo Gruppe darf und was nicht.
Geht man dann ins Terminal gilt auf einmal die normale Linux-Autorisierung, denn dort sind eben diese Desktop-Besonderheiten unbekannt und die Gruppe "sudo" ohne installiertes Paket "sudo" unwirksam. Und wenn man dort root-Rechte benötigt, macht man es als "su" oder es muss eben vorher das Paket "sudo" installiert werden, welches dann in der Folge die sudoers beachtet. Erst der folgende Eintrag in der sudoers
Code: Alles auswählen
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
Hat jemand 'ne bessere Erklärung?
Re: [sudo] password
Deine Vermutung ist nicht richtig. Schau einfach selbst mit ps augx nach, welche Prozesse unter welchem Benutzer laufen.TomL hat geschrieben:Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root.
Wenn ein Programm zwingend root-Rechte braucht, wie z.B. /usr/bin/passwd, weil es die Dateien /etc/passwd und /etc/shadow ändern können muß, wird im Dateisystem, gezielt für einige wenige Programme das suid-Bit gesetzt.
So zeigt z.B. der Befehl ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 39104 6. Dez 2009 /usr/bin/passwd
Das keine unscheinbare "s" heißt, daß das Porgramm mit den Rechten des Programmbesitzers (hier root) läuft.
Die gleiche Technik wendet man bei Desktopprogrammen an, wenn man es nicht vermeiden kann, Abläufe mit root-Rechten durchzuführen.'
Zuletzt geändert von MSfree am 09.12.2015 08:11:41, insgesamt 1-mal geändert.
Re: [sudo] password
uname ich denke du verstehst nicht meine Fragen.uname hat geschrieben:Les doch bitte noch mal meinen Beitrag von oben. Dann bekommst du auch deine Antworten.
TomL hat geschrieben: Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root.
Wisst ihr denn auch wo diese Konfiguriert sind? Es ist ja ein Fakt, das die Gruppe sudo angelegt wird auch ohne das das sudo Paket installiert ist. Wo kann man also nach sehen wie die Gruppe sudo konfiguriert ist? Das würde mich sehr interessieren.MSfree hat geschrieben:Deine Vermutung ist nicht richtig. Schau einfach selbst mit ps augx nach, welche Prozesse unter welchem Benutzer laufen.
Re: [sudo] password
Was genau meinst du? Wie der Eintrag in die Datei kommt? Wurde bei der Installation aus ’ner Vorlage übernommen. Oder welche Eigenschaften die Gruppe hat? Das, was in der /etc/group steht, ist alles, was an den Gruppen selbst konfiguriert sein kann. Dass ein Mitglied der Gruppe »sudo« das Programm sudo nutzen darf (sofern es installiert ist), ist keine Eigenschaft der Gruppe, vielmehr schaut das Programm selbst nach, ob der aufrufende User in der Gruppe ist oder nicht.Wo kann man also nach sehen wie die Gruppe sudo konfiguriert ist?
Kurz noch was anderes, weil ich gerade drüber gestolpert bin:
In einem der Screenshots unter https://debian-handbook.info/browse/sta ... steps.html ist zu lesen: „If you leave this empty, the root account will be disabled and the system’s initial user account will be given the power to become root using the "sudo" command“.uname hat geschrieben:Das stimmt für Debian nicht. Bei Ubuntu kommt der erste Benutzer (UID=1000) in eine Gruppe, die per sudo berechtigt ist beliebige Befehle als root auszuführen. Bei Debian ist dem nicht so.charno hat geschrieben: Angeblich wird sudo automatisch installiert, und so konfiguriert dass der während der Installation angelegte Benutzer Benutzer alle Rechte hat, wenn während der Installation kein root-passwort angegeben wird.
Re: [sudo] password
Nach der Debian Installation existiert eine Gruppe sudo. Ganz "UNABHÄNGIG" ob sudo installiert wurde oder nicht. In meinem Fall ist "KEIN" sudo installiert. Ich kann aber unter der Gruppenverwaltung meinem User (nicht root) die Gruppe sudo zuweisen. Sobald ich in der Gruppe sudo mit meinem User Konto (nicht root) kann ich Pakete verwalten, Quellen einbinden und Pakete installieren Laufwerke mounten und möglicher weise noch viel mehr. Das alles geht mit dem Userpasswd (ich benötige kein rootpasswd).niemand hat geschrieben:Was genau meinst du? Wie der Eintrag in die Datei kommt?
Diese Funktionen beschränken sich allerdings "NUR" auf die in der Gnome Oberfläche gestarteten Programme. (KDE und andere habe ich nicht getestet). Programme wie z.B. Synapsis, oder im Nautilus eine Partition mounten.
Sobald ich in den Terminal gehe und sudo befehle starten will geht das nicht.... logischer weise, weil sudo ist "MIT ABSICHT NICHT" installiert.
Wie oben beschrieben ist aber denn noch der Gruppe sudo, Sonderrechte zugesprochen worden. Wo sind diese konfiguriert?
In der /etc/group steht ja nur drin wer in welcher Gruppe ist. Der User bekommt aber Sonderrechte sobald er in der Gruppe sudo ist. Offensichtlich ist das wohl nicht alles dazu. Will das keiner sehen oder kann das keiner sehen? Oder drücke ich mich unverständlich aus?niemand hat geschrieben:Das, was in der /etc/group steht, ist alles, was an den Gruppen selbst konfiguriert sein kann.
Re: [sudo] password
Nein, sudo bekommt keine generellen Sonderrechte zugesprochen. Programme wie synaptic laufen mit suid root und damit mit root-Rechten. Diese Programme prüfen selbst intern ab, ob der aufrufende User in der sudo-Gruppe ist und schalten gewisse Möglichkeiten intern frei.witesoul hat geschrieben:Wie oben beschrieben ist aber denn noch der Gruppe sudo, Sonderrechte zugesprochen worden. Wo sind diese konfiguriert?
Da geht gar nichts über irgendwelche Konfigurationsdateien.
Re: [sudo] password
Ach und das Synaptic der Gruppe sudo angehört habe ich auch gecheckt. Hier das Ergebnis.
Das scheint dann ja irgend etwas mit dem x-terminal-emulator zu tun zu haben. Ob das noch in das sudo Thema rein passt möchte ich nicht entscheiden. Weil es ist ja auch eine sudo Basis existent.
Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.
Code: Alles auswählen
root@erde:~# cat /usr/share/menu/synaptic
?package(synaptic):needs="X11" \
section="Applications/System/Package Management" \
title="Synaptic Package Manager" \
icon="/usr/share/synaptic/pixmaps/synaptic_32x32.xpm"\
command="x-terminal-emulator -e synaptic-pkexec"
root@erde:~# which synaptic-pkexec
/usr/bin/synaptic-pkexec
root@erde:~# ls -l /usr/bin/synaptic-pkexec
-rwxr-xr-x 1 root root 43 Jan 30 2012 /usr/bin/synaptic-pkexec
root@erde:~#
Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.
Re: [sudo] password
Sorry, ich benutze synaptic nicht und habe es auch nicht installiert. Aber meines (in dieser Hinsicht sicher veralteten) Wissens, sollte es auch eine Datei "synaptic" unter /usr/bin geben.witesoul hat geschrieben:root@erde:~# which synaptic-pkexec
Das ist im C++-Quelltext für das Synaptic-Programm fest einprogrammiert und nicht von aussen beeinflußbar.Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.
Re: [sudo] password
Es trifft aber auch auf die Standartmäßige Paketverwaltung von Debian zu. Nautilus etc. Wozu nimmt man diese Funktionen in den Programmen auf und regt sich teilweise über das sudo System (Programm) auf? Wenn das in den Systemprogrammen selbst bereits vorprogrammiert ist. Dann ist sudo doch bereits fester Bestandteil des Betriebssystems und alle Sicherheitslücken die bei sudo bemängelt werden sind existent und fest verankert.
Rein theoretisch wäre dann sudo als eigenes Programm überflüssig!!! Denn es geht ja um die Sicherheit des Roots. Wenn ich einen normalen User Hacken würde und über die Paketverwaltung quellen hinzufügen würde, die infiziert sind, gute Nacht.
Vielleicht sehe ich das auch zu streng oder übersehe sogar etwas. Aber das ist wirklich nicht begreifbar für mich .
Rein theoretisch wäre dann sudo als eigenes Programm überflüssig!!! Denn es geht ja um die Sicherheit des Roots. Wenn ich einen normalen User Hacken würde und über die Paketverwaltung quellen hinzufügen würde, die infiziert sind, gute Nacht.
Vielleicht sehe ich das auch zu streng oder übersehe sogar etwas. Aber das ist wirklich nicht begreifbar für mich .
Re: [sudo] password
Es gibt nicht nur einen Mechanismus, der Programme mit Rootrechten startet.
Beispiele:
Das Paket policykit-1 bringt das Programm pkexec mit, welches u.a. von Synaptic verwendet wird.
Das Paket gksu bringt auch u.a. ein Rootterminal mit, evtl. hast Du das schon aufgerufen.
Dann gibt es noch su-to-root oder sux (veraltet), von den einzelnen Gruppen gar nicht erst zu reden.
@MSfree hat es ja schon ewähnt.
Du solltest die manpages lesen, dort ist das ganz gut erklärt.
Im debianhandbuch findet sich auch einiges dazu:
http://debiananwenderhandbuch.de/
Hier im Forum gab es schon öfter Diskussionen zu sudo, auch da hilft die Suchfunktion weiter.
Beispiele:
Das Paket policykit-1 bringt das Programm pkexec mit, welches u.a. von Synaptic verwendet wird.
Das Paket gksu bringt auch u.a. ein Rootterminal mit, evtl. hast Du das schon aufgerufen.
Dann gibt es noch su-to-root oder sux (veraltet), von den einzelnen Gruppen gar nicht erst zu reden.
@MSfree hat es ja schon ewähnt.
Du solltest die manpages lesen, dort ist das ganz gut erklärt.
Im debianhandbuch findet sich auch einiges dazu:
http://debiananwenderhandbuch.de/
Hier im Forum gab es schon öfter Diskussionen zu sudo, auch da hilft die Suchfunktion weiter.
Re: [sudo] password
Ich habe das Gefühl, dass Du hier jede Menge völlig durcheinander wirfst...... ist aber nicht schlimm, weil das ja auch einigermaßen kompliziert ist.witesoul hat geschrieben:Ach und das Synaptic der Gruppe sudo angehört habe ich auch gecheckt.Das scheint dann ja irgend etwas mit dem x-terminal-emulator zu tun zu haben. Ob das noch in das sudo Thema rein passt möchte ich nicht entscheiden. Weil es ist ja auch eine sudo Basis existent.Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.Code: Alles auswählen
root@erde:~# which synaptic-pkexec /usr/bin/synaptic-pkexec root@erde:~# ls -l /usr/bin/synaptic-pkexec -rwxr-xr-x 1 root root 43 Jan 30 2012 /usr/bin/synaptic-pkexec
root ist nicht sudo, Synaptic gehört nicht zur Gruppe "sudo", sondern dem Besitzer root. Das was Du hier als Beispiel anführst, beschreibt NUR die Besitzrechte, aber keine Ausführungsrechte. Das bedeutet nur, wem gehört die Datei "synaptic".... und hier ganz offensichtlich gehört sie dem Besitzer "root". Das hat aber überhaupt nix damit zu tun, wer berechtigt ist, sie auszuführen. Also in diesem Beispiel ist "root" zwar der Eigentümer der Datei, und dieser Eigentümer erlaubt ALLEN Benutzern sie zu starten. Das bedeutet, jeder kann das Programm zwar starten, aber nicht jeder ist zu dem berechtigt, was das Programm tut. Startet es ein unberechtigter User, wird es wohl gestartet, aber vermutlich mit einer Fehlermeldung beendet oder es verlangt das root-Password.
Was ist sudo? sudo ist -etwas missverständlich- zweierlei. Zum einen ist sudo ein Programm, was eigentlich bedeutet "substitute user and do". Und das bedeutet, dass ein User zum Stellvertreter eines anderen User wird.... üblicherweise durch/von "root". Aber dieser andere User muss ihm das zuvor erlauben.
Und zum zweiten ist sudo eine Gruppen-Eigenschaft, um mehreren unterschiedlichen User genau eben diese Vertreterrechte zu geben, wenn eben diese User in der Gruppe sudo durch das Gruppenkennzeichen der Gruppe sudo (GID) gruppiert werden. Das sollte eigentlich exakt das gleiche sein, als wenn man einen User unter Windows in die Gruppe "Administratoren" einträgt. Nur ist es das leider bei Linux nicht.... deshalb nicht, weil es keine durchgängige Beachtung der Gruppe "sudo" gibt. Wie du selber festgestellt hast, funktioniert es unter dem Desktop (weil der (wie ich oben schon erläutert habe) sein eigenen Süppchen kocht), aber in der Konsole funktionierts eben nicht.
Fazit:
Also, sudo ist einersetis ein Programm, was aber nicht zwingend installiert sein muss... aber dann funktioniert natürlich auch kein "sudo" in der Konsole
Die Gruppe "sudo" sollte eigentlich zu pauschalen Adminrechten autorisieren, tut sie aber nicht, weil sie eben nicht durchgängig beachtet wird.
Aber... und das ist das wichtige, Fakt ist: dem Moment, wo eine Anwendung entweder das Kommando "sudo" erfolgreich ausführt (auf Grund der Berechtigung des Users) oder es wegen der Gruppe "sudo" tut, ab dem Moment gibt es keine Sonderrechte für den User oder die Gruppe, sondern es werden einfach nur alle Beschränkungen aufgehoben. Warum? Weil er als temporärer "root" (Administrator) zu ALLEM berechtigt ist.
Mit dem Kommando "sudo" kann man sich bei der Ausführung eines Befehls temporär für diesen Befehl als Vertreter von "root" anmelden.... verwirrend ist, dass das überhaupt funktioniert. Meines Erachtens sollte es das auch nicht. Eindeutiger wäre es, wenn man "sudo root" schreiben müsste. Aber daraus kann man wieder folgendes ableiten: Du kannst auch mit dem Kommando "sudo" die Vertretung eines anderen Users übernehmen.... wenn Du der Klaus bist, dann zum Beispiel mit "sudo herbert", eben die Aufgaben von Herbert. Aber damit verlierst Du währenddessen deine root-Berechtigung, wenn Herbert eben diese Rechte nicht hat.... denn für die Vertretung bis du ja dann "Herbert".
Zuletzt geändert von TomL am 09.12.2015 14:22:52, insgesamt 3-mal geändert.
Re: [sudo] password
Genau deshalb fleigt bei mit sudo auch von jedem Ubuntu sofort nach der Installation runter.witesoul hat geschrieben:Rein theoretisch wäre dann sudo als eigenes Programm überflüssig!!! Denn es geht ja um die Sicherheit des Roots. Wenn ich einen normalen User Hacken würde und über die Paketverwaltung quellen hinzufügen würde, die infiziert sind, gute Nacht.
Hier mal ein ganz einfaches Beispiel, wie man sein System kompromitieren kann:
Code: Alles auswählen
sush.c:
----------------------------------------------------------
#include <stdio.h>
int main(void)
{
seteuid(0);
setuid(0);
setgid(0);
setegid(0);
system("/bin/bash");
return 0;
}
----------------------------------------------------------
su
gcc -o sush sush.c
chown root.root sush
chmod 4755 sush
exit
Re: [sudo] password
Ich bin der Meinung, dass man "sudo" (App) durchaus verwenden kann. Man sollte nur tunlichst vermeiden, Anwender in der Gruppe "sudo" einzutragen. User in der Gruppe "sudo" ist für mich die gleiche Fahrlässigkeit wie unter Windows pauschale Adminrechte und deaktivierte UAC. Die Anwendung "sudo" ist prima, wenn man Anwender über die sudoers ganz explizit zu gewissen Dingen berechtigen will. Das in Verbindung mit nem Bash-Alias und der Anwender kann gewisse Dinge so tun, als wäre es ganz normaler Standardkram.MSfree hat geschrieben:Genau deshalb fleigt bei mit sudo auch von jedem Ubuntu sofort nach der Installation runter.
Und, was ich für eine Besonderheit halte, sind eigene Scripts, die rootrechte erfordern. Meines Erachtens dürfen solche Scripte niemals im Homedir des Users liegen, auf die er selber Schreibrechte hat. Alle meine eigenen Scripte, die root-Rechte erfordern, liegen ausnahmslos in /usr/local/bin und werden sofort, nach dem sie dort reinkopiert wurden, auf root:root und rwx, --x, --x festgeschrieben. Die Berechtigung für diese Scripte regel ich dann wieder über die sudoers, explizit für den User.... und da brauchts dann wieder "sudo". Aber einen User in der Gruppe "sudo" gibts bei mir auch nicht.
Re: [sudo] password
Naja, das Problem ist, daß das eine zum nächsten führt:TomL hat geschrieben:Ich bin der Meinung, dass man "sudo" (App) durchaus verwenden kann. Man sollte nur tunlichst vermeiden, Anwender in der Gruppe "sudo" einzutragen.
sudo usermod -G sudo $LOGNAME
Ach komm, UAC nervt doch nur unnötig!User in der Gruppe "sudo" ist für mich die gleiche Fahrlässigkeit wie unter Windows pauschale Adminrechte und deaktivierte UAC.
*duck*
Solange du ihm verbieten kannst usermod auszuführen.Die Anwendung "sudo" ist prima, wenn man Anwender über die sudoers ganz explizit zu gewissen Dingen berechtigen will.
Soweit ich mich erinnere, funktioniert suid bei Skripten nicht. Daher ist es ziemlich egal, wo sie liegen, sie werden immer mit dem Benutzer ausgeführt, der sie aufruft.und, was ich für eine Besonderheit halte, sind eigene Scripts, die rootrechte erfordern. Meines Erachtens dürfen solche Scripte niemals im Homedir des Users liegen, auf die er selber Schreibrechte hat.
Re: AW: [sudo] password
Wie gesagt, keine pauschale rootberechtigung, sondern ich bezog mich explizit auf einzelne Programme oder Scripte. Ich bin auch gegen die grosse Kelle mit allumfassender Berechtigungen via Gruppe "sudo" oder NoPasswd in sudoers.
Mit "sudo" werden sie selbstverständlich mit root-Rechten aufgeführt.
Es geht um die Write-Rechte auf das Script. Wenn ein Script root-Jobs erledigt und der Anwender zum Start des scripts via sudoers berechtigt ist, darf der Anwender selber keinesfalls Write-Rechte auf das Script haben. Denn damit könnte er über das manipulierte Script quasi alles im Namen von root tun. Deswegen in usr/local/bin, aber ohne suid-bit, sondern explizit über sudoers berechtigt . Das Problem dabei ist imho nicht mal der Anwender, sondern ein möglicher Angreifer, der sich dessen bedient.MSfree hat geschrieben:Soweit ich mich erinnere, funktioniert suid bei Skripten nicht. Daher ist es ziemlich egal, wo sie liegen, sie werden immer mit dem Benutzer ausgeführt, der sie aufruft.
Mit "sudo" werden sie selbstverständlich mit root-Rechten aufgeführt.
Zuletzt geändert von TomL am 09.12.2015 15:29:44, insgesamt 1-mal geändert.
Re: AW: [sudo] password
Die Schreib- und Leserechte kann sich der Anwender aber perTomL hat geschrieben:Es geht um die Write-Rechte auf das Script. Wenn ein Script root-Jobs erledigt und der Anwender zum Start des scripts via sudoers berechtigt ist, darf der Anwender selber keinesfalls Write-Rechte auf das Script haben.
sudo chmod a+rw <Skriptname>
vorher auch noch kurz beschaffen, um das Skript zu manipulieren.
Re: AW: [sudo] password
Nein, kann er nicht, wenn das Script in usr/local/bin liegt und diese Attribute hat: root:root und rwx,--x,--x
Und via Eintrag in der sudoers kann er es mit rootrechten ausführen, aber darüber hinaus geht nix.
Ich nutze das für mount, unmount, ifup, ifdown, systemctl poweroff. Genau das soll er, darf er, aber eben nichts anderes. Wo steht, dass er chmod mit root-Rechten starten darf? Du hast nicht alles gewissenhaft gelesen, was ich geschrieben haben ... und das so mühsam am Handy. *fg*
Und via Eintrag in der sudoers kann er es mit rootrechten ausführen, aber darüber hinaus geht nix.
Ich nutze das für mount, unmount, ifup, ifdown, systemctl poweroff. Genau das soll er, darf er, aber eben nichts anderes. Wo steht, dass er chmod mit root-Rechten starten darf? Du hast nicht alles gewissenhaft gelesen, was ich geschrieben haben ... und das so mühsam am Handy. *fg*
Zuletzt geändert von TomL am 09.12.2015 15:38:15, insgesamt 1-mal geändert.
Re: [sudo] password
Danke für deine Mühe TomL, den andere ebenfalls.
Es gab doch sicherlich nicht von Anfang an die Gruppe sudo in der Installation von Debian Standard mäßig.
Sicherlich sehe ich das auch so, das jemanden in die sudo Gruppe zu packen ein hohes Sicherheitsrisiko ist, aber die Möglichkeit besteht. Wenn eine Möglichkeit besteht wird sie aber auch benutzt. Wenn sie benutzt wird, ist es mit der Sicherheit... naja... was eben so alles diskutiert wird.
Wo wir gerade beim diskutieren sind. Welches Suchwort müsste ich eingeben um Diskussionen über das Thema zu finden? Das ist echt ein starkes Stück was ich da jetzt gelesen habe. Mich würde interessieren was dazu die Fachleute zu sagen, wenn ich als leihe (ok, vielleicht nicht ganz) bereits solche Bedenken dazu habe.
Ich habe das nicht durcheinander gebracht, ich wollte nur sicher gehen, das es nichts mit den Besitzerrechten zu tun hat. Ich kenne Linux seit ich ein kleines Kind bin und habe unzählige male den Umstieg versucht, doch nie wirklich die Geduld gehabt. Von daher kenne ich etwas der Geschichte und Bedienfreundlichkeit etc., auch hat man mir gesagt, das sudo von Ubuntu in die Unix, Linux Welt eingeführt wurde. Wann wurde denn die Gruppe sudo und die Funktionen der Programme um die Beschränkungen aufzuheben gemacht worden?TomL hat geschrieben:Aber... und das ist das wichtige, Fakt ist: dem Moment, wo eine Anwendung entweder das Kommando "sudo" erfolgreich ausführt (auf Grund der Berechtigung des Users) oder es wegen der Gruppe "sudo" tut, ab dem Moment gibt es keine Sonderrechte für den User oder die Gruppe, sondern es werden einfach nur alle Beschränkungen aufgehoben. Warum? Weil er als temporärer "root" (Administrator) zu ALLEM berechtigt ist.
Es gab doch sicherlich nicht von Anfang an die Gruppe sudo in der Installation von Debian Standard mäßig.
Sicherlich sehe ich das auch so, das jemanden in die sudo Gruppe zu packen ein hohes Sicherheitsrisiko ist, aber die Möglichkeit besteht. Wenn eine Möglichkeit besteht wird sie aber auch benutzt. Wenn sie benutzt wird, ist es mit der Sicherheit... naja... was eben so alles diskutiert wird.
Wo wir gerade beim diskutieren sind. Welches Suchwort müsste ich eingeben um Diskussionen über das Thema zu finden? Das ist echt ein starkes Stück was ich da jetzt gelesen habe. Mich würde interessieren was dazu die Fachleute zu sagen, wenn ich als leihe (ok, vielleicht nicht ganz) bereits solche Bedenken dazu habe.
Re: AW: [sudo] password
Doch doch, das habe ich schon gewissenhaft gelesen. Und es ist auch gut, wenn du das auf deinem System so feingranuliert und sorgfältig eingerichtet hast. Zumindest das, was Ubuntu mit sudo treibt, ist absolut haarsträubend und daher:TomL hat geschrieben:Wo steht, dass er chmod mit root-Rechten starten darf? Du hast nicht alles gewissenhaft gelesen, was ich geschrieben haben ... und das so mühsam am Handy. *fg*
sudo passwd root
weil Ubuntu ein Zufallspasswort für root erzeugt, damit keiner sich als root anmelden kann Gefolgt von:.
apt-get purge sudo
Ich habe auch ehrlich gesagt, gar keine Lust, mir das jedesmal so wohlüberlegt einzurichten und dabei möglicherweise Flüchtigkeitsfehler zu machen. Für mich ist sudo broken by Design und gehört glücklicherweise nicht zur Standardeinrichtung bei Debian.
Re: [sudo] password
Vermutlich wirst Du an anderer Stelle nicht mehr Klarheit erlangen. Wenn Du Pech hast, tritt eher das Gegenteil ein. Ich persönlich denke sogar, dass das ganze Thema eigentlich relativ simpel ist... wenn man sich auf den Anfang besinnt. Am Anfang war Linux, bevor es den Versuch unternommen hat, neben Windows ebenfalls zu einem Mainstream-Tauglichen OS zu werden, wohl eher ein Serverbetriebssystem. Und im Wesentlichen gab es damals eben Anwender mit eingeschränkten Rechten und eben (den einen) root mit unbeschränkten Rechten. Nen Rechner runterzufahren, oder Schnittstellen zu deaktivieren, oder Devices auszuhängen.... für normale User undenkbar.... ist doch ein Server... so etwas darf nur root... und der weiss, was er tut.witesoul hat geschrieben:Welches Suchwort müsste ich eingeben um Diskussionen über das Thema zu finden? Das ist echt ein starkes Stück was ich da jetzt gelesen habe. Mich würde interessieren was dazu die Fachleute zu sagen, wenn ich als leihe (ok, vielleicht nicht ganz) bereits solche Bedenken dazu habe.
Auf Grund wachsender Komplexität der Systeme, der Anwedungen und Dienste und der Notwendigkeit zu durchgängiger Verfügbarkeit (7/24) wurde es notwendig, root zu entlasten... also den Mann, der root-Reche hat. Da gibts jetzt zwei Möglichkeiten, entweder das root-Password mit nem Edding auf den Bildschirm zu schreiben oder eben nur EINEN root zu belassen und dann gewissen Personen ganz gewisse Sonderrechte zu vergeben, um eben besondere Aufgaben zu delegieren.Und an diesem Punkt kommt die Gruppe "sudo" ins Spiel, und natürlich auch das dazu gehörende/korrespondierende Paket mit der Anwendungen "sudo" und "visudo" und der Datei "sudoers". Den Befehl "sudo" (substitute User & do) hatten wir oben schon, visudo dient dem Syntax-Check beim erstellen, pflegen verändern der Datei sudoers.
Und nun das, was wir heute haben.... eine grafische Oberfläche, ein Desktopenvironment, und der Versuch des OS, es dem Windows gleichzumachen und den Anwender vor der (allzuoft kryptischen) Konsole zu schützen. Das was früher undenkbar war, jederzeit ein- und ausschalten, USB-Devices wechseln, Platten ein- und aushängen, Netze (WISP) verbinden und entfernen ist heute die Regel.... was aber m.E. mit der simplen Betrachtung bzw. der damaligen Umsetzung "root" und normale User kaum möglich ist. Man sieht das ja ständig bis heute, der Chef über den Netzstecker oder den Ein/Ausschalter seines PC's ist nicht autorisiert, vom Desktop aus den Rechner runterzufahren. Er darf kein ifup/ifdown durchführen, seine eigenen USB-Platten nicht wechselnd ein- und aushängen..... das sind imho alles Relikte aus der Vergangenheit, die uns heute quälen. Um das Dilemma zu beheben, bedienen sich die Desktops eben eigener Mechanismen, über das hinausgehend, was ein rudimentäres Debian so nicht mitbringt. Und sie verwenden eben dafür die Gruppe "sudo", die m.E. aus dem ursprünglichen Paket/Intention (s.o.) einfach rausgelöst wurde,
Ob diese Betrachtung richtig ist....?... keine Ahnung.... aber ich mache so lange IT, dass ich mich schon noch an die Anfänge der Rechenzentren mit moderner EDV erinnern kann... und wie das dort logisch und logistisch und organisatorisch abgelaufen ist.
Ich habe schon öfter darüber nachgedacht.... und mittlerweile denke ich, auch hier müsste mal jemand den Mut aufbringen, den ganzen Kram über Board zu werfen und analog Systemd ein komplett neues und der heutigen Probleme angepasstes Rechtemanagement auf die Beine stellen. Aber das wird vermutlich ähnliche Massenschlägereien auslösen, wie systemd vs. sysvinit. *lol*
Re: [sudo] password
Diese Satz verstehe ich noch nicht, aber komme ich früher oder später auch noch hin. Bestimmt. Ich danke dir auf jeden Fall und stimme dir zu. Ich habe lange gewartet um eine Oberfläche so wie sie jetzt ist vorzufinden. Sicher gibt es viele Dinge die auch bei Linux chaotisch laufen. Ich muss aber auch sagen, das sehr viel Arbeit und sicher auch liebe zum Detail drin steckt. Aber ich denke immer noch, das diese Programme anfällig sein könnten für diverse Schadsoftware. Man muss eben aufpassen und wissen wie es läuft. Deshalb ist es mir so wichtig gewesen den Ursprung der Barrierenfreiheit? (habe ich das Wort richtig gewählt?) herkommt wenn man in der Gruppe sudo ist. Danke nochmals für die ausführlichen Antworten.TomL hat geschrieben:Aber das wird vermutlich ähnliche Massenschlägereien auslösen, wie systemd vs. sysvinit. *lol*
Ein völlig neu aufgesetztes Betriebssystem meinst du? Also ein neues Konzept. Hatte Windows ja auch Riesen Probleme mit weil sie bis vor Windows NT immer noch das total veraltete DOS weiter benutzt haben und abstürze noch und nöcher hatten. Der berühmte Bluescreen
Re: [sudo] password
Um sudo zu erklären
Code: Alles auswählen
whoami
Code: Alles auswählen
sudo whoami
Re: AW: [sudo] password
Das ist nicht so einfach zu beantworten. Ich bin von dem Debian-Stable-Konzept begeistert .... um 'niemand' in dem Zusammenhang noch mal zu zitieren: keine Fremdquellen! Ich finde die gesamte Debian-Philosophie klasse. Trotz der Schwächen, die Linux zweifelsfrei hat, kann man sich mit Linux trotzdem erfolgreich der Marktmacht von MS und Apple entziehen, mit einem z.zt. relativ sicheren OS ..... solange man nicht selber die Sicherheit aushebelt, z.b. mit den unter Windows üblichen Adminrechten.witesoul hat geschrieben:Ein völlig neu aufgesetztes Betriebssystem meinst du? Also ein neues Konzept.
Aber man sollte auch nicht die vorhandenen Schwächen von Linux totschweigen. Linux leidet an einer unglaublichen, geradezu dummen und fahrlässigen Ressourcenverschwendung. Warum? Weil es des Menschen Eigenart ist, nicht das anzuerkennen oder zufrieden damit zu sein, was andere geleistet haben. ... es muss immer nach eigenem Gutdünken "verbessert" werden. Das führt zu diesem konkurrierenden Distributions-Mengen-Wahnsinn ..... verantwortlich sind vermutlich auch kommerzielle Interessen (z.b. RedHat, Canonical), aber natürlich auch die ideologischen Befürworter dieses Wahnsinns.... und natürlich die das umsetzenden Programmierer.
Sysvinit ist/war so ein Relikt, was heute noch lebt. X-Server, total veraltet. Das Multimedia/Audiosystem.... eine chaotische Katastrophe. Das Rechtesystem, veraltet und inkonsistent umgesetzt bezogen auf die Gesamtheit eines modernen und zukunftsorientierten Endusersystems. Dann solche Sachen, die ich als undurchsichtig bezeichne. Ich weiche dazu mal eben auf ein Nachbarprodukt aus, und zwar Mozillas Firefox, in dem -den meisten wahrscheinlich gar nicht bewusst- eine Kooperation mit dem dritten Grossfeind enthalten ist, und zwar Google. Filter mal in der Config nach .geo oder safebrowsing. An dazu passende Äusserungen bezüglich Debian kann ich mich hier erinnern, dass sowohl MS, NSA, Apple und Google am Debian-Code gebastelt haben. All das wäre unnötig, wenn sich die Communities auf EINE tragfähige Linux-Basis (also nicht nur Kernel) einige würde, welche dann als Fundament für jegliche Desktop-Environment-Individualität dient. Die EINE Basis enthält zwingend einheitlich das in einer modernen Ausgestaltung (die auch modernen Anforderungen genügt) , was ich zu Anfang kritisiert habe.
Aber leider ist das illusorisch, träumerei , weil die Protagonisten nicht auf ihre Profilierungsgrundlagen verzichten wollen, weil sie Betonköppe sind, die an der Vergangenheit festhalten, weil sie ideologisch unbeweglich sind, weil sie zwar streitbar sind, aber nicht kompromissbereit. Aber nichtsdestotrotz, zu meinen Lebzeiten werde ich aus heutiger Sicht nichts anderes mehr einsetzen, ich bleibe bei Debian, solange es meine Anforderungen erfüllt und Debian weiterhin seinen Weg geht. Wenn man sich drauf einlässt und die schwächen zu handhaben weiss, ist es ein grossartiges Betriebssystem.
Ein neues Betriebssystem braucht es wohl nicht, nur den Mut veraltetes chirurgisch vollständig aus dem derzeitigen OS zu entfernen, dann, wenn es den heutigen Anforderungen nicht mehr genügt. Investitionssicherung ist völlig falsch verstanden, wenn sie Oldtimer sichert.... die auf modernen Autobahnen ständig für Staus sorgen, weil sie nebeneinander hergurkend mit bauartbedingten 60 kmh alles verstopfen. ... Schrottplatz oder Museum sind die alternativen, aber nicht die Autobahn. Investitionssicherung bedeutet an diesem Punkt angekommen für mich , die heutigen Leistungen an den Anforderungen von morgen auszurichten, damit diese neuen Module ebenso lange leben wie die alten Module, die den modernen Anforderungen jetzt nicht mehr gewachsen sind.
Jm2c
Re: [sudo] password
Ich habe einen Hinwes bekommen, das man die sudo Gruppe auskommentieren könnte. Habe das einfach mal getan. Läuft alles normal bis jetzt. Könnte das irgendwelche Sicherheitslücken mit sich bringen?
Die Besessenheit Ruhm zu ernten ist doch schon immer ein grosses Problem gewesen. Leider sind solche Menschen auch oftmals käuflich. Das hat schon vielen das Genick gebrochen, nicht nur einzelnen sondern auch ganzen Völkern.
Ich hörte zu Zeiten von win 95, 98 meinen Onkel von Linux schwärmen und gleichzeitig wie er Wondows kritisierte. Windows ist sich zu fein oder zu geizig ein neues DOS o.ä. auf zu setzen, deswegen habe die solche Probleme mit Systemabstürzen. Bei Linux ist das nicht.... . Heute macht man anscheinend den selben Fehler, es passiert erst etwas wenn es zu spät ist
Es ist die Einigkeit die den Menschen fehlt. Big brother hat da gute Arbeit geleistet die Menschen so zu erziehen, das die meisten entzweit sind. Ich wünsche mir das sich das irgendwann ändern wird.
Die Besessenheit Ruhm zu ernten ist doch schon immer ein grosses Problem gewesen. Leider sind solche Menschen auch oftmals käuflich. Das hat schon vielen das Genick gebrochen, nicht nur einzelnen sondern auch ganzen Völkern.
Ich hörte zu Zeiten von win 95, 98 meinen Onkel von Linux schwärmen und gleichzeitig wie er Wondows kritisierte. Windows ist sich zu fein oder zu geizig ein neues DOS o.ä. auf zu setzen, deswegen habe die solche Probleme mit Systemabstürzen. Bei Linux ist das nicht.... . Heute macht man anscheinend den selben Fehler, es passiert erst etwas wenn es zu spät ist
Es ist die Einigkeit die den Menschen fehlt. Big brother hat da gute Arbeit geleistet die Menschen so zu erziehen, das die meisten entzweit sind. Ich wünsche mir das sich das irgendwann ändern wird.