[sudo] password

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 08.12.2015 10:48:42

cronoik hat geschrieben:Mit gksudo, also seinem eigenen Passwort?)
Nein, gksudo geht nicht. Wie bereits geschrieben geht sudo im Terminal nicht. Egal wie. Aber ich kann Synapsis über das Anwendungsmenü starten und es wird das Passwd vom Benutzer abgefragt dem ich die Gruppe sudo zugeteilt habe. Auch kann ich Laufwerke mounten, was ja normal auch nur mit Rootpasswd geht.

Jetzt nochmal meine Fragen. 1. Warum gibt es diese sudo Gruppe, wenn sudo aber überhaupt nicht eingerichtet ist?
Wo ist die sudo Gruppe konfiguriert? Denn eine /etc/sudoers Datei existiert bei mir nicht. visudo kann ich als root auch nicht aufrufen, das sagt mir das sudo nicht eingerichtet ist. ABER es gibt die Gruppe sudo. Warum, und wo ist die Gruppe sudo konfiguriert das ich am Gnome Desktop über Anwendungen ohne Rootpasswd sondern mit dem Userpasswd dort Pakete managen und Laufwerke Mounten kann und und und.

Terminal sudo, gksudo geht in keiner weise.

TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 11:09:36

witesoul hat geschrieben:Jetzt nochmal meine Fragen. 1. Warum gibt es diese sudo Gruppe, wenn sudo aber überhaupt nicht eingerichtet ist?
Das ist eigentlich relativ einfach. Die Gruppe "sudo" wird vermutlich in Debian standardmäßig eingerichtet, ohne aber sofort eine Verwendung zu beabsichtigen. Üblicherweise ist die regelmäßige Verwendung weder der Gruppe "sudo" noch des Kommandos "sudo" in Debian erforderlich, noch sinnvoll. Also, mit anderen Worten, im Normalfall benötigst Du fürs Tagesgeschäft weder das Kommando "sudo", noch die Gruppe "sudo".

Wann benötigt man es doch? Ganz einfach, wenn man ganz gezielt einem bestimmten Anwender (der KEIN root ist oder dessen regelmäßiger Vertreter) Tätigkeiten erlauben/delegieren möchte, die eigentlich "root" vorbehalten sind. Um das zu erreichen kann man diesem User in der sudoers explizite Tätigkeiten erlauben.

Dazu muss aber vorher "sudo" (das Programm) erst mal installiert werden:

Code: Alles auswählen

apt-get install sudo
Danach existiert auch die sudoers bzw. kannn die sudoers mit visudo bearbeitet werden und die dort eingetragenen Befugnisse werden berücksichtigt.

Du solltest aber (so ist meine Empfehlung) unbedingt weiterhin nach der Debian-Prämisse vorgehen: "Dem normalen Anwender ist alles (root) verboten, was nicht ausdrücklich erlaubt ist". Nur das garantiert eine stabiles und weitestgehend unverändertes System. Das heisst, keinesfalls die große Klatsche mit root-rechten via sudo für alles vergeben. Wenn Du Änderungen am System vornehmen willst, melde Dich als via 'su' als 'root' an, mach den Job und verlasse die Ebene. Wenn ein Anwender ein ganz bestimmtes Programm als root ausführen muss, dann würde ich das explizit in der sudoers eintragen, aber auch wirklich nix darüber hinaus.

Unter Debian, so ist meine Erfahrung, benötigt man fürs Tagesgeschäft nur in Ausnahmefällen root-Privilegien. Darüber hinaus kann die Übertragung der Windowsgewohnheiten mit den Adminrechten für Normaluser auf Grund anderer systemischer Grundlagen äußerst schädlich sein.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: [sudo] password

Beitrag von Lord_Carlos » 08.12.2015 11:26:11

TomL hat geschrieben: Du solltest aber (so ist meine Empfehlung) unbedingt weiterhin nach der Debian-Prämisse vorgehen: "Dem normalen Anwender ist alles (root) verboten, was nicht ausdrücklich erlaubt ist". Nur das garantiert eine stabiles und weitestgehend unverändertes System. Das heisst, keinesfalls die große Klatsche mit root-rechten via sudo für alles vergeben. Wenn Du Änderungen am System vornehmen willst, melde Dich als via 'su' als 'root' an, mach den Job und verlasse die Ebene. Wenn ein Anwender ein ganz bestimmtes Programm als root ausführen muss, dann würde ich das explizit in der sudoers eintragen, aber auch wirklich nix darüber hinaus.
Warum wird das Empfehlen?
Ich benutzte bei mir immer sudo fuer meinen Benutzter auf meinem privaten laptop, wechlen nachteil hat das?
Was hat das mit der Stabilitaet zu tun?

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: [sudo] password

Beitrag von uname » 08.12.2015 11:30:25

@witesoul:
Poste doch mal den Inhalt von /etc/sudoers und Namen und Inhalte der Dateien in /etc/sudoers.d . Dann brauchen wir nicht weiter raten. Wobei eigentlich war es ja nicht dein Thread.

halo44
Beiträge: 703
Registriert: 12.05.2015 15:19:13

Re: [sudo] password

Beitrag von halo44 » 08.12.2015 12:06:11

Lord_Carlos hat geschrieben:... Ich benutzte bei mir immer sudo fuer meinen Benutzter auf meinem privaten laptop, wechlen nachteil hat das?
Was hat das mit der Stabilitaet zu tun?
Genauso sehe ich das auch. Auf meinem System ist niemand anders als ich. Root und meine Person sind identisch.

Das sieht natürlich in einem Netz mit mehreren Hosts und Benutzern anders aus.

Gruss H.

Radfahrer

Re: [sudo] password

Beitrag von Radfahrer » 08.12.2015 14:25:22

uname hat geschrieben:Das Missverständnis ist schon, dass Benutzer plötzlich root seien. Das ist Quatsch. Die Anwendung sudo wird vom Benutzer gestartet abet als root ausgeführt. Und root entscheidet mit /etc/sudoers was passiert. Es kann nur einen root geben und der heisst root und ist root. Der Benutzer bleibt so unwichtig wie er vorher war.
Wenn sudo so eingesetzt wird, wie bei Ubuntu, kann der entsprechende Nutzer alles machen, was root auch kann. Ob er nun root heißt oder Herbert ist doch völlig egal.

TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 15:07:01

Lord_Carlos hat geschrieben:Warum wird das Empfehlen?
Weil das hier ohne jegliche weitere Abfrage in meinem Standard-Debian möglich war...

Code: Alles auswählen

sudo echo -e "!""#""/bin/bash\n\rMakeMyDay&KillMyFile " >~/.rcl;sudo cp ~/.rcl /etc/rc.local.new; sudo chmod ugo+x /etc/rc.local.new
...nachdem ich mich vorher mit ...

Code: Alles auswählen

adduser thomas sudo
...in die Gruppe sudo eingetragen habe. Dieses Script würde mit richtigem Namen (ohne .new) beim nächsten Start ausgeführt werden. Und das könnte m.E. theoretisch völlig unbemerkt jedes Browserscript durchziehen, und das oder was anderes eintragen. Jeder kennt doch die Möglichkeiten des Zugriffs von Browserskripten auf die Platte, wenn man beispielsweise menugeführt z.B. ein Foto hochladen will. Das heisst, "Lesen" geht jetzt schon, und mit "sudo" erlaubst Du auch unkontrolliertes Schreiben.
Ich benutzte bei mir immer sudo fuer meinen Benutzter auf meinem privaten laptop, wechlen nachteil hat das? Was hat das mit der Stabilitaet zu tun?
Ich habe vor Monaten schon mal kräftig Prügel hier bezogen, als ich sinngemäß behauptet habe, dass Linux auf losen Sand gebaut ist. Ich bin aber leider unbelehrbar, die Prügel waren erfolglos. Linux ist perfekt, solange man sich an die Spielregeln hält... dann ist es imho sogar deutlich sicherer als Windows. Aber wer sich als Mitglied von "sudo" einträgt, ist selber schuld, wenn er aus seinem sicheren Linux ein löcheriges System macht, aus dem der Sand unter den Fundamenten rausrieselt. Mein Hinweis auf "Stabilität" war nicht auf Laufzeitstabilität bezogen, sondern auf die "Stable"-Definition von Debian. Ich bin kein Fachmann, aber ich glaube, dass die Mitgliedschaft eines normalen Users in sudo die Abkehr von "stable" sein kann.... weil nicht mehr gewährleistet ist, dass die Programmkomponenten unverändert bleiben.

Nun ja, ich bin kein Fachmann, sondern wirklich nur ein echter Laie.... wenn ich unrecht habe, lasse ich mich gerne eines besseren belehren. :hail:

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: [sudo] password

Beitrag von Lord_Carlos » 08.12.2015 15:17:05

TomL hat geschrieben:
Lord_Carlos hat geschrieben:Warum wird das Empfehlen?
Weil das hier ohne jegliche weitere Abfrage in meinem Standard-Debian möglich war...

Code: Alles auswählen

sudo echo -e "!""#""/bin/bash\n\rMakeMyDay&KillMyFile " >~/.rcl;sudo cp ~/.rcl /etc/rc.local.new; sudo chmod ugo+x /etc/rc.local.new
Mhh, ohne das dein PW eingegeben werden musste?
Wiso ist das moeglich?
_____

Edit: Ist das lesen der Festplatte via Browser wirklich so trivial? Das heist jede Webseite koennte meine Daten lesen? Davon habe ich noch nichts gehoert.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 15:29:51

Lord_Carlos hat geschrieben:Mhh, ohne das dein PW eingegeben werden musste?Wiso ist das moeglich?
Ganz einfach, weil das innerhalb des Zeitfensters gemacht wurde, nach dem ich "bewusst und "absichtlich" ein reguläres root-Command ausgeführt habe... und weil die Autorisierung eine gewisse Zeit bestehen bleibt.

Aber ... was ich für viel gefährlicher erachte, ist der Umstand, dass die Umsteiger-Anwender mit ihren Windowsgewohnheiten möglicherweise davon genervt sind, ständig ein Password eingeben zu müssen. Genau dieses habe ich nämlich bei mir selber damals zu meiner Ubuntu-Zeit erlebt. Und was war ich stolz auf meine überragenden Fähigkeiten, als ich das mit dem wundervollen Befehl "NoPassWD" in der sudoers abschalten konnte. Das war damals ein grandioser Erfolg zu mehr Komfort. Heute bin ich strikt dagegen... wenn root was zu tun hat, soll er sich gefälligst ordentlich anmelden... soweit man bei "su" überhaupt von einer ordentlichen Anmeldung sprechen kann. Ein Anwender sollte meiner Meinung keine root-Rechte haben, auch nicht, wenn er Herbert heisst :mrgreen:
Lord_Carlos hat geschrieben:Edit: Ist das lesen der Festplatte via Browser wirklich so trivial? Das heist jede Webseite koennte meine Daten lesen? Davon habe ich noch nichts gehoert.
Was passiert denn im FileDialog() wenn du ein Bild hochladen willst? Geh doch mal auf NoPaste und klick auf "Durchsuchen". Da wird doch ein Modul ausgeführt, welches meine Verzeichnisse lesen kann. Ich habe keine Ahnung, was noch möglich ist.... aber eben DAS funktioniert doch... und der Browser resp. die Seite veranlasst das.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: [sudo] password

Beitrag von Lord_Carlos » 08.12.2015 15:37:09

Jo, das ergibt Sinn mit dem Zeitfenster.

Wie machst du das mit dem Javascript?
Edit: Wenn du jetzt via einer webseite ein sudo befehl ausfuehen kannst. kannst du dann jetzt nicht schon die user .bashrc veraendern und das su password abfangen?
TomL hat geschrieben: Was passiert denn im FileDialog() wenn du ein Bild hochladen willst? Geh doch mal auf NoPaste und klick auf "Durchsuchen". Da wird doch ein Modul ausgeführt, welches meine Verzeichnisse lesen kann. Ich habe keine Ahnung, was noch möglich ist.... aber eben DAS funktioniert doch... und der Browser resp. die Seite veranlasst das.
Was?

Bild

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 15:56:15

Lord_Carlos hat geschrieben:Wenn du jetzt via einer webseite ein sudo befehl ausfuehen kannst. kannst du dann jetzt nicht schon die user .bashrc veraendern und das su password abfangen?
Ganz ehrlich... ich weiss nicht, was alles mit krimineller Energie möglich ist, weil ich mich noch nicht damit beschäftigt habe. Und ich denke eher in den Bahnen von Prävention als an Infiltration oder Infektion. Und bei der Prävention kenne ich den größten Schwachpunkt des Systems, das größte Risiko für das System... der Banause heisst "Tom" *lacht*.
Also ich bin davon überzeugt, dass root-Rechte für normale Anwender ein enormes Sicherheitsrisiko darstellen. Wer die .bashrc verändern kann, kann wahrscheinlich nach einiger Zeit alles tun, wenn der Anwender "sudo" darf. Ich habe auf keinem unserer Systeme root-Rechte und bin konsequent ebenso "nicht-privilegiert" wie alle anderen Anwender auch. Ganz im Gegenteil, ich habe für mich zur Verwendung sogar einen noch unprivilegierteren Benutzer "inet" angelegt.... mit dem ich im Web surfe. Und gucke ich auf den bösen Erwachsenen-Seiten gehe ich noch nen Schritt weiter.... nur gekapselt in einer VM. Tja, ein bisschen Paranoia darf ja wohl jeder ...oder? :mrgreen:

TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 15:58:20

Lord_Carlos hat geschrieben:Was?
*lacht*.... das waren zwei Beispiele.... nicht Bild UND NoPaste, sondern Bild (irgendwohin) ODER NoPaste :lol:

TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 16:05:56

äh.... zu Deinem Bild...... und das ist aus ihm geworden.....
https://www.youtube.com/watch?v=RpoHzLkWL_0
und in seiner Freizeit
https://www.youtube.com/watch?v=Oqklx9R6Obg

s.c.n.r.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: [sudo] password

Beitrag von Lord_Carlos » 08.12.2015 16:07:24

Wenn jemand via einer webseite deine bashrc veraendern kann, dann kann er auch dein 'su root' abfangen und es bringt dir nichts mehr.
Koennen webseiten aber (noch) nicht.

Wenn ich auf einer Webseite datenhochlade, dann durchsuch ich die Festplatte mit dem Browser, nicht mit JS von der webseite.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 08.12.2015 16:35:54

Danke für die Antworten. Ich verstehe aber immer noch nicht, warum ich als User, wenn ich ihm die Gruppe sudo gebe, Rechte bekommt, Pakete unter Gnome zu Verwalten und Updates etc. zu machen. Das alles geht "ohne" die installation von sudo. Warum ist das so und wo ist die sudo Gruppe konfiguriert, das Úser die in der sudo Gruppe sind Administrative Vorgänge erledigen dürfen?

Was ein sudo darf und was nicht wird meines wissens in der /etc/sudoers festgehalten. Warum geht das denn noch wenn ich einen beliebigen User die sudo grp zuteile? Es muss doch eine konigdatei irgendwo geben was die sudo Gruppe darf und was nicht.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: [sudo] password

Beitrag von uname » 08.12.2015 18:04:42

Les doch bitte noch mal meinen Beitrag von oben. Dann bekommst du auch deine Antworten.

TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 19:30:56

witesoul hat geschrieben:Danke für die Antworten. Ich verstehe aber immer noch nicht, warum ich als User, wenn ich ihm die Gruppe sudo gebe, Rechte bekommt, Pakete unter Gnome zu Verwalten und Updates etc. zu machen. Das alles geht "ohne" die installation von sudo. Warum ist das so und wo ist die sudo Gruppe konfiguriert, das Úser die in der sudo Gruppe sind Administrative Vorgänge erledigen dürfen?

Was ein sudo darf und was nicht wird meines wissens in der /etc/sudoers festgehalten. Warum geht das denn noch wenn ich einen beliebigen User die sudo grp zuteile? Es muss doch eine konigdatei irgendwo geben was die sudo Gruppe darf und was nicht.
Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root. Daraus leite ich ab, dass der Desktop beliebige Rechte vergeben kann, beliebige Programme als root auszuführen erlauben kann und letzten Endes alles "selber" prüft, parsed und ausführt. Dafür gibts dann vermutlich auch solche zusätzlichen Apps wie kdesudo oder gksudo, die innerhalb des Desktops mit entsprechenden root-Rechten autorisiert sind und quasi interne oder logisch integrierte Komponenten für den Desktop dasrstellen. An diesem Punkt kann die Gruppe 'sudo' vom Desktop und diesen sudo-Abkömmlingen m.E. ganz einfach direkt gelesen und innerhalb der GUI-Umgebung für die zum User delegierten root-Aufgaben entsprechend berücksichtigt werden.... eben wer darf, und wer nicht.

Geht man dann ins Terminal gilt auf einmal die normale Linux-Autorisierung, denn dort sind eben diese Desktop-Besonderheiten unbekannt und die Gruppe "sudo" ohne installiertes Paket "sudo" unwirksam. Und wenn man dort root-Rechte benötigt, macht man es als "su" oder es muss eben vorher das Paket "sudo" installiert werden, welches dann in der Folge die sudoers beachtet. Erst der folgende Eintrag in der sudoers

Code: Alles auswählen

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL
berücksichtigt die Gruppe 'sudo' und würde einen eingetragenen User autorisieren, root-Jobs zu erledigen. Obs wirklich so ist, weiss ich nicht... aber so, wie ich Debian bisher erlebt habe, gehe ich davon aus, dass es so ist. Die 'großen' Linux-Desktops müssen sich dem Windows-Komfort annähern, denn nur so ist Akzeptanz bei Umsteigern möglich. Und wenn ein GUI versucht. den Anwender vor der Konsole zu bewahren, also alles konsequent innerhab des GUI zu realisieren, gehts vermutlich nicht anders, als Linux an der einen oder anderen Stelle passend geradezubiegen... gerde auch vor dem Hintergrund, dass eben X nicht so einfach den User wechsel kann. Das heisst, wenn ich als User in der Konsole zu root geworden bin, ist es ja auch nicht so einfach möglich, ein GUI-Frontend zu starten - auch da bedarf es wieder weiterer Eingriffe. Die Konsole holt einen dann wieder auf den Boden der Tatsache zurück.

Hat jemand 'ne bessere Erklärung? :?:

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 08.12.2015 20:01:02

TomL hat geschrieben:Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root.
Deine Vermutung ist nicht richtig. Schau einfach selbst mit ps augx nach, welche Prozesse unter welchem Benutzer laufen.

Wenn ein Programm zwingend root-Rechte braucht, wie z.B. /usr/bin/passwd, weil es die Dateien /etc/passwd und /etc/shadow ändern können muß, wird im Dateisystem, gezielt für einige wenige Programme das suid-Bit gesetzt.

So zeigt z.B. der Befehl ls -l /usr/bin/passwd

-rwsr-xr-x 1 root root 39104 6. Dez 2009 /usr/bin/passwd

Das keine unscheinbare "s" heißt, daß das Porgramm mit den Rechten des Programmbesitzers (hier root) läuft.

Die gleiche Technik wendet man bei Desktopprogrammen an, wenn man es nicht vermeiden kann, Abläufe mit root-Rechten durchzuführen.'
Zuletzt geändert von MSfree am 09.12.2015 08:11:41, insgesamt 1-mal geändert.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 00:44:38

uname hat geschrieben:Les doch bitte noch mal meinen Beitrag von oben. Dann bekommst du auch deine Antworten.
uname ich denke du verstehst nicht meine Fragen.
TomL hat geschrieben: Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root.
MSfree hat geschrieben:Deine Vermutung ist nicht richtig. Schau einfach selbst mit ps augx nach, welche Prozesse unter welchem Benutzer laufen.
Wisst ihr denn auch wo diese Konfiguriert sind? Es ist ja ein Fakt, das die Gruppe sudo angelegt wird auch ohne das das sudo Paket installiert ist. Wo kann man also nach sehen wie die Gruppe sudo konfiguriert ist? Das würde mich sehr interessieren.

DeletedUserReAsG

Re: [sudo] password

Beitrag von DeletedUserReAsG » 09.12.2015 02:05:34

Wo kann man also nach sehen wie die Gruppe sudo konfiguriert ist?
Was genau meinst du? Wie der Eintrag in die Datei kommt? Wurde bei der Installation aus ’ner Vorlage übernommen. Oder welche Eigenschaften die Gruppe hat? Das, was in der /etc/group steht, ist alles, was an den Gruppen selbst konfiguriert sein kann. Dass ein Mitglied der Gruppe »sudo« das Programm sudo nutzen darf (sofern es installiert ist), ist keine Eigenschaft der Gruppe, vielmehr schaut das Programm selbst nach, ob der aufrufende User in der Gruppe ist oder nicht.

Kurz noch was anderes, weil ich gerade drüber gestolpert bin:
uname hat geschrieben:
charno hat geschrieben: Angeblich wird sudo automatisch installiert, und so konfiguriert dass der während der Installation angelegte Benutzer Benutzer alle Rechte hat, wenn während der Installation kein root-passwort angegeben wird.
Das stimmt für Debian nicht. Bei Ubuntu kommt der erste Benutzer (UID=1000) in eine Gruppe, die per sudo berechtigt ist beliebige Befehle als root auszuführen. Bei Debian ist dem nicht so.
In einem der Screenshots unter https://debian-handbook.info/browse/sta ... steps.html ist zu lesen: „If you leave this empty, the root account will be disabled and the system’s initial user account will be given the power to become root using the "sudo" command“.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 11:48:31

niemand hat geschrieben:Was genau meinst du? Wie der Eintrag in die Datei kommt?
Nach der Debian Installation existiert eine Gruppe sudo. Ganz "UNABHÄNGIG" ob sudo installiert wurde oder nicht. In meinem Fall ist "KEIN" sudo installiert. Ich kann aber unter der Gruppenverwaltung meinem User (nicht root) die Gruppe sudo zuweisen. Sobald ich in der Gruppe sudo mit meinem User Konto (nicht root) kann ich Pakete verwalten, Quellen einbinden und Pakete installieren Laufwerke mounten und möglicher weise noch viel mehr. Das alles geht mit dem Userpasswd (ich benötige kein rootpasswd).

Diese Funktionen beschränken sich allerdings "NUR" auf die in der Gnome Oberfläche gestarteten Programme. (KDE und andere habe ich nicht getestet). Programme wie z.B. Synapsis, oder im Nautilus eine Partition mounten.
Sobald ich in den Terminal gehe und sudo befehle starten will geht das nicht.... logischer weise, weil sudo ist "MIT ABSICHT NICHT" installiert.

Wie oben beschrieben ist aber denn noch der Gruppe sudo, Sonderrechte zugesprochen worden. Wo sind diese konfiguriert?
niemand hat geschrieben:Das, was in der /etc/group steht, ist alles, was an den Gruppen selbst konfiguriert sein kann.
In der /etc/group steht ja nur drin wer in welcher Gruppe ist. Der User bekommt aber Sonderrechte sobald er in der Gruppe sudo ist. Offensichtlich ist das wohl nicht alles dazu. Will das keiner sehen oder kann das keiner sehen? Oder drücke ich mich unverständlich aus?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 09.12.2015 12:07:08

witesoul hat geschrieben:Wie oben beschrieben ist aber denn noch der Gruppe sudo, Sonderrechte zugesprochen worden. Wo sind diese konfiguriert?
Nein, sudo bekommt keine generellen Sonderrechte zugesprochen. Programme wie synaptic laufen mit suid root und damit mit root-Rechten. Diese Programme prüfen selbst intern ab, ob der aufrufende User in der sudo-Gruppe ist und schalten gewisse Möglichkeiten intern frei.

Da geht gar nichts über irgendwelche Konfigurationsdateien.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 12:12:14

Ach und das Synaptic der Gruppe sudo angehört habe ich auch gecheckt. Hier das Ergebnis.

Code: Alles auswählen

root@erde:~# cat /usr/share/menu/synaptic
?package(synaptic):needs="X11" \
  section="Applications/System/Package Management" \
  title="Synaptic Package Manager" \
  icon="/usr/share/synaptic/pixmaps/synaptic_32x32.xpm"\
  command="x-terminal-emulator -e synaptic-pkexec"
root@erde:~# which synaptic-pkexec
/usr/bin/synaptic-pkexec
root@erde:~# ls -l /usr/bin/synaptic-pkexec
-rwxr-xr-x 1 root root 43 Jan 30  2012 /usr/bin/synaptic-pkexec
root@erde:~# 
Das scheint dann ja irgend etwas mit dem x-terminal-emulator zu tun zu haben. Ob das noch in das sudo Thema rein passt möchte ich nicht entscheiden. Weil es ist ja auch eine sudo Basis existent.

Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 09.12.2015 12:20:18

witesoul hat geschrieben:root@erde:~# which synaptic-pkexec
Sorry, ich benutze synaptic nicht und habe es auch nicht installiert. Aber meines (in dieser Hinsicht sicher veralteten) Wissens, sollte es auch eine Datei "synaptic" unter /usr/bin geben.
Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.
Das ist im C++-Quelltext für das Synaptic-Programm fest einprogrammiert und nicht von aussen beeinflußbar.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 12:50:02

Es trifft aber auch auf die Standartmäßige Paketverwaltung von Debian zu. Nautilus etc. Wozu nimmt man diese Funktionen in den Programmen auf und regt sich teilweise über das sudo System (Programm) auf? Wenn das in den Systemprogrammen selbst bereits vorprogrammiert ist. Dann ist sudo doch bereits fester Bestandteil des Betriebssystems und alle Sicherheitslücken die bei sudo bemängelt werden sind existent und fest verankert.

Rein theoretisch wäre dann sudo als eigenes Programm überflüssig!!! Denn es geht ja um die Sicherheit des Roots. Wenn ich einen normalen User Hacken würde und über die Paketverwaltung quellen hinzufügen würde, die infiziert sind, gute Nacht.

Vielleicht sehe ich das auch zu streng oder übersehe sogar etwas. Aber das ist wirklich nicht begreifbar für mich :facepalm: .

Antworten