Visudo lässt sich nicht öffnen

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
motzean
Beiträge: 9
Registriert: 09.07.2017 17:41:47

Visudo lässt sich nicht öffnen

Beitrag von motzean » 17.01.2021 16:46:08

Grüß euch,

ich habe einen Root Server mit Debian 10 gemietet. Mir ist gleich zu Beginn aufgefallen, dass das Paket "sudo" standarmäßig nicht installiert ist. Nachdem ich jedoch den root Zugang sperren will, habe ich dieses nachinstalliert. Bei der Installation kommt dann die Frage, ob ich /etc/sudoers beibehalten will oder die " package maintainer's version" verwenden will. Ich habe hier zu wenig Erfahrung, allerdings denke ich, dass die bestehende vom Hoster (ZAP Hosting) erstellt wurde (um noch Änderung wie zB das Root PW) über das Webinterface machen zu können. Nachdem ich aber den Hoster komplett aussperren möchte, habe ich mir für package maintainer's version entschieden. Das funktioniert allerdings nicht, da er mit
W: Operation was interrupted before it could finish
abschließt und ich habe danach auf keinen Zugriff auf visudo.
Heißt das, dass ich die bestehende Datei nehmen muss?
Wie siehts in diesem Fall sicherheitstechnisch aus? Oder sind meine Bedenken ungerechtfertigt?

Danke im Vorraus

DeletedUserReAsG

Re: Visudo lässt sich nicht öffnen

Beitrag von DeletedUserReAsG » 17.01.2021 16:59:41

Ohne, dass ich das nun nachstellen könnte: installier’s so, dass es funktioniert. Die betreffende Datei lässt sich notfalls auch erstmal mit einem normalen Editor bearbeiten. Besser als „ich habe keinen Zugriff“ wäre auch das Pasten der Ein- und Ausgabe beim Versuch, das Programm aufzurufen.

Allerdings möchte auch auf ein paar Sachen aufmerksam machen:
motzean hat geschrieben: ↑ zum Beitrag ↑
17.01.2021 16:46:08
Nachdem ich aber den Hoster komplett aussperren möchte
Wer Zugriff auf die Hardware hat, hat Zugriff auf das System. sudo hin oder her.
motzean hat geschrieben: ↑ zum Beitrag ↑
17.01.2021 16:46:08
Wie siehts in diesem Fall sicherheitstechnisch aus?
Sicherheitstechnisch sieht’s so aus: wenn du sudo so konfigurierst, dass dein User mit seinem Passwort ausnahmslos alles als Root ausführen kann, ist sudo eher eine Schwachstelle, als ein Sicherheitsgewinn (sudo su oder auch sudo bash, oder ähnliche) – aus Sicherheitssicht wär’s besser, sudo wegzumachen und das Rootpasswort zu deaktivieren, nachdem für Root ein ssh-Zugang eingerichtet (und getestet!) wurde, der nur mit Schlüssel funktioniert. So kann ein lokaler User nicht zu Root werden, sondern Root muss sich schon einloggen, wozu Schlüssel und Passphrase notwendig sind.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Visudo lässt sich nicht öffnen

Beitrag von bluestar » 18.01.2021 00:24:36

motzean hat geschrieben: ↑ zum Beitrag ↑
17.01.2021 16:46:08
ich habe einen Root Server mit Debian 10 gemietet.
Laut der Beschreibung des Hosters hast du lediglich einen vServer mit garantierten Leistungsparametern gemietet.
motzean hat geschrieben: ↑ zum Beitrag ↑
17.01.2021 16:46:08
Nachdem ich aber den Hoster komplett aussperren möchte,
Das ist unmöglich, weil du dir die Hardware ja ohnehin mit anderen Kunden teilst.
motzean hat geschrieben: ↑ zum Beitrag ↑
17.01.2021 16:46:08
Wie siehts in diesem Fall sicherheitstechnisch aus? Oder sind meine Bedenken ungerechtfertigt?
Du darfst dir die Frage nach der Seriösität selbst beantworten, wenn ein Hoster als „Root server“ letztlich nur virtualisierte Maschinen anbietet.

motzean
Beiträge: 9
Registriert: 09.07.2017 17:41:47

Re: Visudo lässt sich nicht öffnen

Beitrag von motzean » 18.01.2021 12:04:23

Vielen Dank für eure Antworten.
Das wäre dann mein nächstes Thema, dass ich mir anschauen möchte - und zwar die Daten am Server zu verschlüsseln. Die Hauptanwendung wird im Bereich des Webservers liegen und zB Nextcloud hat ja die Möglichkeit, die Daten am Server zu verschlüsseln. In wie weit das mit dem restlichen System geht muss ich mir erst durchlesen.

Leider kenn ich mich bei der User/Gruppen Verwaltung noch zu wenig aus. Der Grund warum ich meinem user sudo Rechte gegeben hab war eigentlich nur, dass ich den SSH Zugriff für den Root sperren kann - und somit der Login für dritte erschwert wird - weil Sie ja den verwendeten user nicht kennen (aus dem Grund habe ich auch den Standardport geändert)...

Ich werd mich jetzt einmal mit den Berechtigungen auseinander setzen, vielleicht kann ich ja meinen Benutzer in Zukunft wirklich so definieren, dass keine SU benötigt werden. Das wird sicher ein langer und steiniger Weg, aber der Weg ist das Ziel.

Danke nochmals für eure Rückmeldung!

Antworten