[sudo] password

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: [sudo] password

Beitrag von uname » 08.12.2015 18:04:42

Les doch bitte noch mal meinen Beitrag von oben. Dann bekommst du auch deine Antworten.

TomL

Re: [sudo] password

Beitrag von TomL » 08.12.2015 19:30:56

witesoul hat geschrieben:Danke für die Antworten. Ich verstehe aber immer noch nicht, warum ich als User, wenn ich ihm die Gruppe sudo gebe, Rechte bekommt, Pakete unter Gnome zu Verwalten und Updates etc. zu machen. Das alles geht "ohne" die installation von sudo. Warum ist das so und wo ist die sudo Gruppe konfiguriert, das Úser die in der sudo Gruppe sind Administrative Vorgänge erledigen dürfen?

Was ein sudo darf und was nicht wird meines wissens in der /etc/sudoers festgehalten. Warum geht das denn noch wenn ich einen beliebigen User die sudo grp zuteile? Es muss doch eine konigdatei irgendwo geben was die sudo Gruppe darf und was nicht.
Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root. Daraus leite ich ab, dass der Desktop beliebige Rechte vergeben kann, beliebige Programme als root auszuführen erlauben kann und letzten Endes alles "selber" prüft, parsed und ausführt. Dafür gibts dann vermutlich auch solche zusätzlichen Apps wie kdesudo oder gksudo, die innerhalb des Desktops mit entsprechenden root-Rechten autorisiert sind und quasi interne oder logisch integrierte Komponenten für den Desktop dasrstellen. An diesem Punkt kann die Gruppe 'sudo' vom Desktop und diesen sudo-Abkömmlingen m.E. ganz einfach direkt gelesen und innerhalb der GUI-Umgebung für die zum User delegierten root-Aufgaben entsprechend berücksichtigt werden.... eben wer darf, und wer nicht.

Geht man dann ins Terminal gilt auf einmal die normale Linux-Autorisierung, denn dort sind eben diese Desktop-Besonderheiten unbekannt und die Gruppe "sudo" ohne installiertes Paket "sudo" unwirksam. Und wenn man dort root-Rechte benötigt, macht man es als "su" oder es muss eben vorher das Paket "sudo" installiert werden, welches dann in der Folge die sudoers beachtet. Erst der folgende Eintrag in der sudoers

Code: Alles auswählen

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL
berücksichtigt die Gruppe 'sudo' und würde einen eingetragenen User autorisieren, root-Jobs zu erledigen. Obs wirklich so ist, weiss ich nicht... aber so, wie ich Debian bisher erlebt habe, gehe ich davon aus, dass es so ist. Die 'großen' Linux-Desktops müssen sich dem Windows-Komfort annähern, denn nur so ist Akzeptanz bei Umsteigern möglich. Und wenn ein GUI versucht. den Anwender vor der Konsole zu bewahren, also alles konsequent innerhab des GUI zu realisieren, gehts vermutlich nicht anders, als Linux an der einen oder anderen Stelle passend geradezubiegen... gerde auch vor dem Hintergrund, dass eben X nicht so einfach den User wechsel kann. Das heisst, wenn ich als User in der Konsole zu root geworden bin, ist es ja auch nicht so einfach möglich, ein GUI-Frontend zu starten - auch da bedarf es wieder weiterer Eingriffe. Die Konsole holt einen dann wieder auf den Boden der Tatsache zurück.

Hat jemand 'ne bessere Erklärung? :?:

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 08.12.2015 20:01:02

TomL hat geschrieben:Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root.
Deine Vermutung ist nicht richtig. Schau einfach selbst mit ps augx nach, welche Prozesse unter welchem Benutzer laufen.

Wenn ein Programm zwingend root-Rechte braucht, wie z.B. /usr/bin/passwd, weil es die Dateien /etc/passwd und /etc/shadow ändern können muß, wird im Dateisystem, gezielt für einige wenige Programme das suid-Bit gesetzt.

So zeigt z.B. der Befehl ls -l /usr/bin/passwd

-rwsr-xr-x 1 root root 39104 6. Dez 2009 /usr/bin/passwd

Das keine unscheinbare "s" heißt, daß das Porgramm mit den Rechten des Programmbesitzers (hier root) läuft.

Die gleiche Technik wendet man bei Desktopprogrammen an, wenn man es nicht vermeiden kann, Abläufe mit root-Rechten durchzuführen.'
Zuletzt geändert von MSfree am 09.12.2015 08:11:41, insgesamt 1-mal geändert.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 00:44:38

uname hat geschrieben:Les doch bitte noch mal meinen Beitrag von oben. Dann bekommst du auch deine Antworten.
uname ich denke du verstehst nicht meine Fragen.
TomL hat geschrieben: Ich gehe davon aus, dass die großen Desktops eigene Regeln, wie sie mit root-Rechten umgehen, implementiert haben und denen fogen. Das heisst, der Desktop läuft ja nicht unter einem User, sondern vermutlich als root.
MSfree hat geschrieben:Deine Vermutung ist nicht richtig. Schau einfach selbst mit ps augx nach, welche Prozesse unter welchem Benutzer laufen.
Wisst ihr denn auch wo diese Konfiguriert sind? Es ist ja ein Fakt, das die Gruppe sudo angelegt wird auch ohne das das sudo Paket installiert ist. Wo kann man also nach sehen wie die Gruppe sudo konfiguriert ist? Das würde mich sehr interessieren.

DeletedUserReAsG

Re: [sudo] password

Beitrag von DeletedUserReAsG » 09.12.2015 02:05:34

Wo kann man also nach sehen wie die Gruppe sudo konfiguriert ist?
Was genau meinst du? Wie der Eintrag in die Datei kommt? Wurde bei der Installation aus ’ner Vorlage übernommen. Oder welche Eigenschaften die Gruppe hat? Das, was in der /etc/group steht, ist alles, was an den Gruppen selbst konfiguriert sein kann. Dass ein Mitglied der Gruppe »sudo« das Programm sudo nutzen darf (sofern es installiert ist), ist keine Eigenschaft der Gruppe, vielmehr schaut das Programm selbst nach, ob der aufrufende User in der Gruppe ist oder nicht.

Kurz noch was anderes, weil ich gerade drüber gestolpert bin:
uname hat geschrieben:
charno hat geschrieben: Angeblich wird sudo automatisch installiert, und so konfiguriert dass der während der Installation angelegte Benutzer Benutzer alle Rechte hat, wenn während der Installation kein root-passwort angegeben wird.
Das stimmt für Debian nicht. Bei Ubuntu kommt der erste Benutzer (UID=1000) in eine Gruppe, die per sudo berechtigt ist beliebige Befehle als root auszuführen. Bei Debian ist dem nicht so.
In einem der Screenshots unter https://debian-handbook.info/browse/sta ... steps.html ist zu lesen: „If you leave this empty, the root account will be disabled and the system’s initial user account will be given the power to become root using the "sudo" command“.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 11:48:31

niemand hat geschrieben:Was genau meinst du? Wie der Eintrag in die Datei kommt?
Nach der Debian Installation existiert eine Gruppe sudo. Ganz "UNABHÄNGIG" ob sudo installiert wurde oder nicht. In meinem Fall ist "KEIN" sudo installiert. Ich kann aber unter der Gruppenverwaltung meinem User (nicht root) die Gruppe sudo zuweisen. Sobald ich in der Gruppe sudo mit meinem User Konto (nicht root) kann ich Pakete verwalten, Quellen einbinden und Pakete installieren Laufwerke mounten und möglicher weise noch viel mehr. Das alles geht mit dem Userpasswd (ich benötige kein rootpasswd).

Diese Funktionen beschränken sich allerdings "NUR" auf die in der Gnome Oberfläche gestarteten Programme. (KDE und andere habe ich nicht getestet). Programme wie z.B. Synapsis, oder im Nautilus eine Partition mounten.
Sobald ich in den Terminal gehe und sudo befehle starten will geht das nicht.... logischer weise, weil sudo ist "MIT ABSICHT NICHT" installiert.

Wie oben beschrieben ist aber denn noch der Gruppe sudo, Sonderrechte zugesprochen worden. Wo sind diese konfiguriert?
niemand hat geschrieben:Das, was in der /etc/group steht, ist alles, was an den Gruppen selbst konfiguriert sein kann.
In der /etc/group steht ja nur drin wer in welcher Gruppe ist. Der User bekommt aber Sonderrechte sobald er in der Gruppe sudo ist. Offensichtlich ist das wohl nicht alles dazu. Will das keiner sehen oder kann das keiner sehen? Oder drücke ich mich unverständlich aus?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 09.12.2015 12:07:08

witesoul hat geschrieben:Wie oben beschrieben ist aber denn noch der Gruppe sudo, Sonderrechte zugesprochen worden. Wo sind diese konfiguriert?
Nein, sudo bekommt keine generellen Sonderrechte zugesprochen. Programme wie synaptic laufen mit suid root und damit mit root-Rechten. Diese Programme prüfen selbst intern ab, ob der aufrufende User in der sudo-Gruppe ist und schalten gewisse Möglichkeiten intern frei.

Da geht gar nichts über irgendwelche Konfigurationsdateien.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 12:12:14

Ach und das Synaptic der Gruppe sudo angehört habe ich auch gecheckt. Hier das Ergebnis.

Code: Alles auswählen

root@erde:~# cat /usr/share/menu/synaptic
?package(synaptic):needs="X11" \
  section="Applications/System/Package Management" \
  title="Synaptic Package Manager" \
  icon="/usr/share/synaptic/pixmaps/synaptic_32x32.xpm"\
  command="x-terminal-emulator -e synaptic-pkexec"
root@erde:~# which synaptic-pkexec
/usr/bin/synaptic-pkexec
root@erde:~# ls -l /usr/bin/synaptic-pkexec
-rwxr-xr-x 1 root root 43 Jan 30  2012 /usr/bin/synaptic-pkexec
root@erde:~# 
Das scheint dann ja irgend etwas mit dem x-terminal-emulator zu tun zu haben. Ob das noch in das sudo Thema rein passt möchte ich nicht entscheiden. Weil es ist ja auch eine sudo Basis existent.

Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 09.12.2015 12:20:18

witesoul hat geschrieben:root@erde:~# which synaptic-pkexec
Sorry, ich benutze synaptic nicht und habe es auch nicht installiert. Aber meines (in dieser Hinsicht sicher veralteten) Wissens, sollte es auch eine Datei "synaptic" unter /usr/bin geben.
Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.
Das ist im C++-Quelltext für das Synaptic-Programm fest einprogrammiert und nicht von aussen beeinflußbar.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 12:50:02

Es trifft aber auch auf die Standartmäßige Paketverwaltung von Debian zu. Nautilus etc. Wozu nimmt man diese Funktionen in den Programmen auf und regt sich teilweise über das sudo System (Programm) auf? Wenn das in den Systemprogrammen selbst bereits vorprogrammiert ist. Dann ist sudo doch bereits fester Bestandteil des Betriebssystems und alle Sicherheitslücken die bei sudo bemängelt werden sind existent und fest verankert.

Rein theoretisch wäre dann sudo als eigenes Programm überflüssig!!! Denn es geht ja um die Sicherheit des Roots. Wenn ich einen normalen User Hacken würde und über die Paketverwaltung quellen hinzufügen würde, die infiziert sind, gute Nacht.

Vielleicht sehe ich das auch zu streng oder übersehe sogar etwas. Aber das ist wirklich nicht begreifbar für mich :facepalm: .

KP97
Beiträge: 3403
Registriert: 01.02.2013 15:07:36

Re: [sudo] password

Beitrag von KP97 » 09.12.2015 13:35:47

Es gibt nicht nur einen Mechanismus, der Programme mit Rootrechten startet.
Beispiele:
Das Paket policykit-1 bringt das Programm pkexec mit, welches u.a. von Synaptic verwendet wird.
Das Paket gksu bringt auch u.a. ein Rootterminal mit, evtl. hast Du das schon aufgerufen.
Dann gibt es noch su-to-root oder sux (veraltet), von den einzelnen Gruppen gar nicht erst zu reden.
@MSfree hat es ja schon ewähnt.
Du solltest die manpages lesen, dort ist das ganz gut erklärt.
Im debianhandbuch findet sich auch einiges dazu:
http://debiananwenderhandbuch.de/

Hier im Forum gab es schon öfter Diskussionen zu sudo, auch da hilft die Suchfunktion weiter.

TomL

Re: [sudo] password

Beitrag von TomL » 09.12.2015 13:52:21

witesoul hat geschrieben:Ach und das Synaptic der Gruppe sudo angehört habe ich auch gecheckt.

Code: Alles auswählen

root@erde:~# which synaptic-pkexec
/usr/bin/synaptic-pkexec
root@erde:~# ls -l /usr/bin/synaptic-pkexec
-rwxr-xr-x 1 root root 43 Jan 30  2012 /usr/bin/synaptic-pkexec
Das scheint dann ja irgend etwas mit dem x-terminal-emulator zu tun zu haben. Ob das noch in das sudo Thema rein passt möchte ich nicht entscheiden. Weil es ist ja auch eine sudo Basis existent.Es bleibt immer noch meine Frage offen, wo die Rechte dafür konfiguriert sind.
Ich habe das Gefühl, dass Du hier jede Menge völlig durcheinander wirfst...... ist aber nicht schlimm, weil das ja auch einigermaßen kompliziert ist. :roll:

root ist nicht sudo, Synaptic gehört nicht zur Gruppe "sudo", sondern dem Besitzer root. Das was Du hier als Beispiel anführst, beschreibt NUR die Besitzrechte, aber keine Ausführungsrechte. Das bedeutet nur, wem gehört die Datei "synaptic".... und hier ganz offensichtlich gehört sie dem Besitzer "root". Das hat aber überhaupt nix damit zu tun, wer berechtigt ist, sie auszuführen. Also in diesem Beispiel ist "root" zwar der Eigentümer der Datei, und dieser Eigentümer erlaubt ALLEN Benutzern sie zu starten. Das bedeutet, jeder kann das Programm zwar starten, aber nicht jeder ist zu dem berechtigt, was das Programm tut. Startet es ein unberechtigter User, wird es wohl gestartet, aber vermutlich mit einer Fehlermeldung beendet oder es verlangt das root-Password.

Was ist sudo? sudo ist -etwas missverständlich- zweierlei. Zum einen ist sudo ein Programm, was eigentlich bedeutet "substitute user and do". Und das bedeutet, dass ein User zum Stellvertreter eines anderen User wird.... üblicherweise durch/von "root". Aber dieser andere User muss ihm das zuvor erlauben.

Und zum zweiten ist sudo eine Gruppen-Eigenschaft, um mehreren unterschiedlichen User genau eben diese Vertreterrechte zu geben, wenn eben diese User in der Gruppe sudo durch das Gruppenkennzeichen der Gruppe sudo (GID) gruppiert werden. Das sollte eigentlich exakt das gleiche sein, als wenn man einen User unter Windows in die Gruppe "Administratoren" einträgt. Nur ist es das leider bei Linux nicht.... deshalb nicht, weil es keine durchgängige Beachtung der Gruppe "sudo" gibt. Wie du selber festgestellt hast, funktioniert es unter dem Desktop (weil der (wie ich oben schon erläutert habe) sein eigenen Süppchen kocht), aber in der Konsole funktionierts eben nicht.

Fazit:
Also, sudo ist einersetis ein Programm, was aber nicht zwingend installiert sein muss... aber dann funktioniert natürlich auch kein "sudo" in der Konsole
Die Gruppe "sudo" sollte eigentlich zu pauschalen Adminrechten autorisieren, tut sie aber nicht, weil sie eben nicht durchgängig beachtet wird.

Aber... und das ist das wichtige, Fakt ist: dem Moment, wo eine Anwendung entweder das Kommando "sudo" erfolgreich ausführt (auf Grund der Berechtigung des Users) oder es wegen der Gruppe "sudo" tut, ab dem Moment gibt es keine Sonderrechte für den User oder die Gruppe, sondern es werden einfach nur alle Beschränkungen aufgehoben. Warum? Weil er als temporärer "root" (Administrator) zu ALLEM berechtigt ist.

Mit dem Kommando "sudo" kann man sich bei der Ausführung eines Befehls temporär für diesen Befehl als Vertreter von "root" anmelden.... verwirrend ist, dass das überhaupt funktioniert. Meines Erachtens sollte es das auch nicht. Eindeutiger wäre es, wenn man "sudo root" schreiben müsste. Aber daraus kann man wieder folgendes ableiten: Du kannst auch mit dem Kommando "sudo" die Vertretung eines anderen Users übernehmen.... wenn Du der Klaus bist, dann zum Beispiel mit "sudo herbert", eben die Aufgaben von Herbert. Aber damit verlierst Du währenddessen deine root-Berechtigung, wenn Herbert eben diese Rechte nicht hat.... denn für die Vertretung bis du ja dann "Herbert".
Zuletzt geändert von TomL am 09.12.2015 14:22:52, insgesamt 3-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 09.12.2015 14:01:15

witesoul hat geschrieben:Rein theoretisch wäre dann sudo als eigenes Programm überflüssig!!! Denn es geht ja um die Sicherheit des Roots. Wenn ich einen normalen User Hacken würde und über die Paketverwaltung quellen hinzufügen würde, die infiziert sind, gute Nacht.
Genau deshalb fleigt bei mit sudo auch von jedem Ubuntu sofort nach der Installation runter.

Hier mal ein ganz einfaches Beispiel, wie man sein System kompromitieren kann:

Code: Alles auswählen

sush.c:
----------------------------------------------------------
#include <stdio.h>

int main(void)
{
  seteuid(0);
  setuid(0);
  setgid(0);
  setegid(0);
  system("/bin/bash");
  return 0;
}
----------------------------------------------------------

su
gcc -o sush sush.c
chown root.root sush
chmod 4755 sush
exit
Jeder, der dann sush aufruft, bekommt eine bash mit root-Rechten. Daher empfehle ich, das Programm nach dem Ausprobieren auch schnell wieder zu löschen :mrgreen:

TomL

Re: [sudo] password

Beitrag von TomL » 09.12.2015 14:16:03

MSfree hat geschrieben:Genau deshalb fleigt bei mit sudo auch von jedem Ubuntu sofort nach der Installation runter.
Ich bin der Meinung, dass man "sudo" (App) durchaus verwenden kann. Man sollte nur tunlichst vermeiden, Anwender in der Gruppe "sudo" einzutragen. User in der Gruppe "sudo" ist für mich die gleiche Fahrlässigkeit wie unter Windows pauschale Adminrechte und deaktivierte UAC. Die Anwendung "sudo" ist prima, wenn man Anwender über die sudoers ganz explizit zu gewissen Dingen berechtigen will. Das in Verbindung mit nem Bash-Alias und der Anwender kann gewisse Dinge so tun, als wäre es ganz normaler Standardkram.

Und, was ich für eine Besonderheit halte, sind eigene Scripts, die rootrechte erfordern. Meines Erachtens dürfen solche Scripte niemals im Homedir des Users liegen, auf die er selber Schreibrechte hat. Alle meine eigenen Scripte, die root-Rechte erfordern, liegen ausnahmslos in /usr/local/bin und werden sofort, nach dem sie dort reinkopiert wurden, auf root:root und rwx, --x, --x festgeschrieben. Die Berechtigung für diese Scripte regel ich dann wieder über die sudoers, explizit für den User.... und da brauchts dann wieder "sudo". Aber einen User in der Gruppe "sudo" gibts bei mir auch nicht.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: [sudo] password

Beitrag von MSfree » 09.12.2015 14:42:55

TomL hat geschrieben:Ich bin der Meinung, dass man "sudo" (App) durchaus verwenden kann. Man sollte nur tunlichst vermeiden, Anwender in der Gruppe "sudo" einzutragen.
Naja, das Problem ist, daß das eine zum nächsten führt:

sudo usermod -G sudo $LOGNAME
User in der Gruppe "sudo" ist für mich die gleiche Fahrlässigkeit wie unter Windows pauschale Adminrechte und deaktivierte UAC.
Ach komm, UAC nervt doch nur unnötig!

*duck*
Die Anwendung "sudo" ist prima, wenn man Anwender über die sudoers ganz explizit zu gewissen Dingen berechtigen will.
Solange du ihm verbieten kannst usermod auszuführen.
und, was ich für eine Besonderheit halte, sind eigene Scripts, die rootrechte erfordern. Meines Erachtens dürfen solche Scripte niemals im Homedir des Users liegen, auf die er selber Schreibrechte hat.
Soweit ich mich erinnere, funktioniert suid bei Skripten nicht. Daher ist es ziemlich egal, wo sie liegen, sie werden immer mit dem Benutzer ausgeführt, der sie aufruft.

TomL

Re: AW: [sudo] password

Beitrag von TomL » 09.12.2015 15:14:28

Wie gesagt, keine pauschale rootberechtigung, sondern ich bezog mich explizit auf einzelne Programme oder Scripte. Ich bin auch gegen die grosse Kelle mit allumfassender Berechtigungen via Gruppe "sudo" oder NoPasswd in sudoers.
MSfree hat geschrieben:Soweit ich mich erinnere, funktioniert suid bei Skripten nicht. Daher ist es ziemlich egal, wo sie liegen, sie werden immer mit dem Benutzer ausgeführt, der sie aufruft.
Es geht um die Write-Rechte auf das Script. Wenn ein Script root-Jobs erledigt und der Anwender zum Start des scripts via sudoers berechtigt ist, darf der Anwender selber keinesfalls Write-Rechte auf das Script haben. Denn damit könnte er über das manipulierte Script quasi alles im Namen von root tun. Deswegen in usr/local/bin, aber ohne suid-bit, sondern explizit über sudoers berechtigt . Das Problem dabei ist imho nicht mal der Anwender, sondern ein möglicher Angreifer, der sich dessen bedient.

Mit "sudo" werden sie selbstverständlich mit root-Rechten aufgeführt.
Zuletzt geändert von TomL am 09.12.2015 15:29:44, insgesamt 1-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: AW: [sudo] password

Beitrag von MSfree » 09.12.2015 15:27:33

TomL hat geschrieben:Es geht um die Write-Rechte auf das Script. Wenn ein Script root-Jobs erledigt und der Anwender zum Start des scripts via sudoers berechtigt ist, darf der Anwender selber keinesfalls Write-Rechte auf das Script haben.
Die Schreib- und Leserechte kann sich der Anwender aber per
sudo chmod a+rw <Skriptname>
vorher auch noch kurz beschaffen, um das Skript zu manipulieren.

TomL

Re: AW: [sudo] password

Beitrag von TomL » 09.12.2015 15:31:42

Nein, kann er nicht, wenn das Script in usr/local/bin liegt und diese Attribute hat: root:root und rwx,--x,--x
Und via Eintrag in der sudoers kann er es mit rootrechten ausführen, aber darüber hinaus geht nix.

Ich nutze das für mount, unmount, ifup, ifdown, systemctl poweroff. Genau das soll er, darf er, aber eben nichts anderes. Wo steht, dass er chmod mit root-Rechten starten darf? Du hast nicht alles gewissenhaft gelesen, was ich geschrieben haben ... und das so mühsam am Handy. *fg*
Zuletzt geändert von TomL am 09.12.2015 15:38:15, insgesamt 1-mal geändert.

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 09.12.2015 15:36:31

Danke für deine Mühe TomL, den andere ebenfalls.
TomL hat geschrieben:Aber... und das ist das wichtige, Fakt ist: dem Moment, wo eine Anwendung entweder das Kommando "sudo" erfolgreich ausführt (auf Grund der Berechtigung des Users) oder es wegen der Gruppe "sudo" tut, ab dem Moment gibt es keine Sonderrechte für den User oder die Gruppe, sondern es werden einfach nur alle Beschränkungen aufgehoben. Warum? Weil er als temporärer "root" (Administrator) zu ALLEM berechtigt ist.
Ich habe das nicht durcheinander gebracht, ich wollte nur sicher gehen, das es nichts mit den Besitzerrechten zu tun hat. Ich kenne Linux seit ich ein kleines Kind bin und habe unzählige male den Umstieg versucht, doch nie wirklich die Geduld gehabt. Von daher kenne ich etwas der Geschichte und Bedienfreundlichkeit etc., auch hat man mir gesagt, das sudo von Ubuntu in die Unix, Linux Welt eingeführt wurde. Wann wurde denn die Gruppe sudo und die Funktionen der Programme um die Beschränkungen aufzuheben gemacht worden?
Es gab doch sicherlich nicht von Anfang an die Gruppe sudo in der Installation von Debian Standard mäßig.

Sicherlich sehe ich das auch so, das jemanden in die sudo Gruppe zu packen ein hohes Sicherheitsrisiko ist, aber die Möglichkeit besteht. Wenn eine Möglichkeit besteht wird sie aber auch benutzt. Wenn sie benutzt wird, ist es mit der Sicherheit... naja... was eben so alles diskutiert wird.

Wo wir gerade beim diskutieren sind. Welches Suchwort müsste ich eingeben um Diskussionen über das Thema zu finden? Das ist echt ein starkes Stück was ich da jetzt gelesen habe. Mich würde interessieren was dazu die Fachleute zu sagen, wenn ich als leihe (ok, vielleicht nicht ganz) bereits solche Bedenken dazu habe.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: AW: [sudo] password

Beitrag von MSfree » 09.12.2015 16:08:16

TomL hat geschrieben:Wo steht, dass er chmod mit root-Rechten starten darf? Du hast nicht alles gewissenhaft gelesen, was ich geschrieben haben ... und das so mühsam am Handy. *fg*
Doch doch, das habe ich schon gewissenhaft gelesen. Und es ist auch gut, wenn du das auf deinem System so feingranuliert und sorgfältig eingerichtet hast. Zumindest das, was Ubuntu mit sudo treibt, ist absolut haarsträubend und daher:

sudo passwd root

weil Ubuntu ein Zufallspasswort für root erzeugt, damit keiner sich als root anmelden kann :facepalm: Gefolgt von:.

apt-get purge sudo

Ich habe auch ehrlich gesagt, gar keine Lust, mir das jedesmal so wohlüberlegt einzurichten und dabei möglicherweise Flüchtigkeitsfehler zu machen. Für mich ist sudo broken by Design und gehört glücklicherweise nicht zur Standardeinrichtung bei Debian.

TomL

Re: [sudo] password

Beitrag von TomL » 09.12.2015 16:37:58

witesoul hat geschrieben:Welches Suchwort müsste ich eingeben um Diskussionen über das Thema zu finden? Das ist echt ein starkes Stück was ich da jetzt gelesen habe. Mich würde interessieren was dazu die Fachleute zu sagen, wenn ich als leihe (ok, vielleicht nicht ganz) bereits solche Bedenken dazu habe.
Vermutlich wirst Du an anderer Stelle nicht mehr Klarheit erlangen. Wenn Du Pech hast, tritt eher das Gegenteil ein. Ich persönlich denke sogar, dass das ganze Thema eigentlich relativ simpel ist... wenn man sich auf den Anfang besinnt. Am Anfang war Linux, bevor es den Versuch unternommen hat, neben Windows ebenfalls zu einem Mainstream-Tauglichen OS zu werden, wohl eher ein Serverbetriebssystem. Und im Wesentlichen gab es damals eben Anwender mit eingeschränkten Rechten und eben (den einen) root mit unbeschränkten Rechten. Nen Rechner runterzufahren, oder Schnittstellen zu deaktivieren, oder Devices auszuhängen.... für normale User undenkbar.... ist doch ein Server... so etwas darf nur root... und der weiss, was er tut.
Auf Grund wachsender Komplexität der Systeme, der Anwedungen und Dienste und der Notwendigkeit zu durchgängiger Verfügbarkeit (7/24) wurde es notwendig, root zu entlasten... also den Mann, der root-Reche hat. Da gibts jetzt zwei Möglichkeiten, entweder das root-Password mit nem Edding auf den Bildschirm zu schreiben oder eben nur EINEN root zu belassen und dann gewissen Personen ganz gewisse Sonderrechte zu vergeben, um eben besondere Aufgaben zu delegieren.Und an diesem Punkt kommt die Gruppe "sudo" ins Spiel, und natürlich auch das dazu gehörende/korrespondierende Paket mit der Anwendungen "sudo" und "visudo" und der Datei "sudoers". Den Befehl "sudo" (substitute User & do) hatten wir oben schon, visudo dient dem Syntax-Check beim erstellen, pflegen verändern der Datei sudoers.

Und nun das, was wir heute haben.... eine grafische Oberfläche, ein Desktopenvironment, und der Versuch des OS, es dem Windows gleichzumachen und den Anwender vor der (allzuoft kryptischen) Konsole zu schützen. Das was früher undenkbar war, jederzeit ein- und ausschalten, USB-Devices wechseln, Platten ein- und aushängen, Netze (WISP) verbinden und entfernen ist heute die Regel.... was aber m.E. mit der simplen Betrachtung bzw. der damaligen Umsetzung "root" und normale User kaum möglich ist. Man sieht das ja ständig bis heute, der Chef über den Netzstecker oder den Ein/Ausschalter seines PC's ist nicht autorisiert, vom Desktop aus den Rechner runterzufahren. Er darf kein ifup/ifdown durchführen, seine eigenen USB-Platten nicht wechselnd ein- und aushängen..... das sind imho alles Relikte aus der Vergangenheit, die uns heute quälen. Um das Dilemma zu beheben, bedienen sich die Desktops eben eigener Mechanismen, über das hinausgehend, was ein rudimentäres Debian so nicht mitbringt. Und sie verwenden eben dafür die Gruppe "sudo", die m.E. aus dem ursprünglichen Paket/Intention (s.o.) einfach rausgelöst wurde,

Ob diese Betrachtung richtig ist....?... keine Ahnung.... aber ich mache so lange IT, dass ich mich schon noch an die Anfänge der Rechenzentren mit moderner EDV erinnern kann... und wie das dort logisch und logistisch und organisatorisch abgelaufen ist.

Ich habe schon öfter darüber nachgedacht.... und mittlerweile denke ich, auch hier müsste mal jemand den Mut aufbringen, den ganzen Kram über Board zu werfen und analog Systemd ein komplett neues und der heutigen Probleme angepasstes Rechtemanagement auf die Beine stellen. Aber das wird vermutlich ähnliche Massenschlägereien auslösen, wie systemd vs. sysvinit. *lol*

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 10.12.2015 00:44:23

TomL hat geschrieben:Aber das wird vermutlich ähnliche Massenschlägereien auslösen, wie systemd vs. sysvinit. *lol*
Diese Satz verstehe ich noch nicht, aber komme ich früher oder später auch noch hin. Bestimmt. Ich danke dir auf jeden Fall und stimme dir zu. Ich habe lange gewartet um eine Oberfläche so wie sie jetzt ist vorzufinden. Sicher gibt es viele Dinge die auch bei Linux chaotisch laufen. Ich muss aber auch sagen, das sehr viel Arbeit und sicher auch liebe zum Detail drin steckt. Aber ich denke immer noch, das diese Programme anfällig sein könnten für diverse Schadsoftware. Man muss eben aufpassen und wissen wie es läuft. Deshalb ist es mir so wichtig gewesen den Ursprung der Barrierenfreiheit? (habe ich das Wort richtig gewählt?) herkommt wenn man in der Gruppe sudo ist. Danke nochmals für die ausführlichen Antworten.

Ein völlig neu aufgesetztes Betriebssystem meinst du? Also ein neues Konzept. Hatte Windows ja auch Riesen Probleme mit weil sie bis vor Windows NT immer noch das total veraltete DOS weiter benutzt haben und abstürze noch und nöcher hatten. Der berühmte Bluescreen :lol:

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: [sudo] password

Beitrag von uname » 10.12.2015 07:38:53

Um sudo zu erklären

Code: Alles auswählen

whoami

Code: Alles auswählen

sudo whoami

TomL

Re: AW: [sudo] password

Beitrag von TomL » 10.12.2015 10:44:45

witesoul hat geschrieben:Ein völlig neu aufgesetztes Betriebssystem meinst du? Also ein neues Konzept.
Das ist nicht so einfach zu beantworten. Ich bin von dem Debian-Stable-Konzept begeistert .... um 'niemand' in dem Zusammenhang noch mal zu zitieren: keine Fremdquellen! Ich finde die gesamte Debian-Philosophie klasse. Trotz der Schwächen, die Linux zweifelsfrei hat, kann man sich mit Linux trotzdem erfolgreich der Marktmacht von MS und Apple entziehen, mit einem z.zt. relativ sicheren OS ..... solange man nicht selber die Sicherheit aushebelt, z.b. mit den unter Windows üblichen Adminrechten.

Aber man sollte auch nicht die vorhandenen Schwächen von Linux totschweigen. Linux leidet an einer unglaublichen, geradezu dummen und fahrlässigen Ressourcenverschwendung. Warum? Weil es des Menschen Eigenart ist, nicht das anzuerkennen oder zufrieden damit zu sein, was andere geleistet haben. ... es muss immer nach eigenem Gutdünken "verbessert" werden. Das führt zu diesem konkurrierenden Distributions-Mengen-Wahnsinn ..... verantwortlich sind vermutlich auch kommerzielle Interessen (z.b. RedHat, Canonical), aber natürlich auch die ideologischen Befürworter dieses Wahnsinns.... und natürlich die das umsetzenden Programmierer.

Sysvinit ist/war so ein Relikt, was heute noch lebt. X-Server, total veraltet. Das Multimedia/Audiosystem.... eine chaotische Katastrophe. Das Rechtesystem, veraltet und inkonsistent umgesetzt bezogen auf die Gesamtheit eines modernen und zukunftsorientierten Endusersystems. Dann solche Sachen, die ich als undurchsichtig bezeichne. Ich weiche dazu mal eben auf ein Nachbarprodukt aus, und zwar Mozillas Firefox, in dem -den meisten wahrscheinlich gar nicht bewusst- eine Kooperation mit dem dritten Grossfeind enthalten ist, und zwar Google. Filter mal in der Config nach .geo oder safebrowsing. An dazu passende Äusserungen bezüglich Debian kann ich mich hier erinnern, dass sowohl MS, NSA, Apple und Google am Debian-Code gebastelt haben. All das wäre unnötig, wenn sich die Communities auf EINE tragfähige Linux-Basis (also nicht nur Kernel) einige würde, welche dann als Fundament für jegliche Desktop-Environment-Individualität dient. Die EINE Basis enthält zwingend einheitlich das in einer modernen Ausgestaltung (die auch modernen Anforderungen genügt) , was ich zu Anfang kritisiert habe.

Aber leider ist das illusorisch, träumerei , weil die Protagonisten nicht auf ihre Profilierungsgrundlagen verzichten wollen, weil sie Betonköppe sind, die an der Vergangenheit festhalten, weil sie ideologisch unbeweglich sind, weil sie zwar streitbar sind, aber nicht kompromissbereit. Aber nichtsdestotrotz, zu meinen Lebzeiten werde ich aus heutiger Sicht nichts anderes mehr einsetzen, ich bleibe bei Debian, solange es meine Anforderungen erfüllt und Debian weiterhin seinen Weg geht. Wenn man sich drauf einlässt und die schwächen zu handhaben weiss, ist es ein grossartiges Betriebssystem.

Ein neues Betriebssystem braucht es wohl nicht, nur den Mut veraltetes chirurgisch vollständig aus dem derzeitigen OS zu entfernen, dann, wenn es den heutigen Anforderungen nicht mehr genügt. Investitionssicherung ist völlig falsch verstanden, wenn sie Oldtimer sichert.... die auf modernen Autobahnen ständig für Staus sorgen, weil sie nebeneinander hergurkend mit bauartbedingten 60 kmh alles verstopfen. ... Schrottplatz oder Museum sind die alternativen, aber nicht die Autobahn. Investitionssicherung bedeutet an diesem Punkt angekommen für mich , die heutigen Leistungen an den Anforderungen von morgen auszurichten, damit diese neuen Module ebenso lange leben wie die alten Module, die den modernen Anforderungen jetzt nicht mehr gewachsen sind.

Jm2c

witesoul
Beiträge: 57
Registriert: 11.09.2015 00:33:01

Re: [sudo] password

Beitrag von witesoul » 10.12.2015 13:51:53

Ich habe einen Hinwes bekommen, das man die sudo Gruppe auskommentieren könnte. Habe das einfach mal getan. Läuft alles normal bis jetzt. Könnte das irgendwelche Sicherheitslücken mit sich bringen?

Die Besessenheit Ruhm zu ernten ist doch schon immer ein grosses Problem gewesen. Leider sind solche Menschen auch oftmals käuflich. Das hat schon vielen das Genick gebrochen, nicht nur einzelnen sondern auch ganzen Völkern.

Ich hörte zu Zeiten von win 95, 98 meinen Onkel von Linux schwärmen und gleichzeitig wie er Wondows kritisierte. Windows ist sich zu fein oder zu geizig ein neues DOS o.ä. auf zu setzen, deswegen habe die solche Probleme mit Systemabstürzen. Bei Linux ist das nicht.... . Heute macht man anscheinend den selben Fehler, es passiert erst etwas wenn es zu spät ist :roll:

Es ist die Einigkeit die den Menschen fehlt. Big brother hat da gute Arbeit geleistet die Menschen so zu erziehen, das die meisten entzweit sind. Ich wünsche mir das sich das irgendwann ändern wird.

Antworten