[abgetrennte Metadiskussion] Installationsverhalten zu sudo

[KP97]

@Josefine
Mal so ganz nebenbei:
Da wir hier ja nicht bei *buntu sind sondern bei Debian, ist es nicht selbstverständlich, daß ein sudo überhaupt installiert ist.
Bei Debian wird man root mit dem Befehl

Code: Alles auswählen

su -

Das sollte man bei Tipps immer berücksichtigen.

[josefine]

@Josefine
Mal so ganz nebenbei:
Da wir hier ja nicht bei *buntu sind sondern bei Debian, ist es nicht selbstverständlich, daß ein sudo überhaupt installiert ist.
Bei Debian wird man root mit dem Befehl

Code: Alles auswählen

su -

Das sollte man bei Tipps immer berücksichtigen.

Danke für deinen Hinweis.
Ich habe da auch noch eine Anmerkung:
Wenn bei der Installation von Debian kein root Passwort vergeben wurde, wird automatisch sudo eingerichtet.

[KP97]

Das ist bekannt, daher erfolgt bei der Installation auch eine entsprechende Abfrage.
Dieses Thema zum kaputten Ubuntu-sudo wurde hier schon mehrfach diskutiert, müssen wir nicht nochmal haben...

[josefine]

Das ist bekannt, daher erfolgt bei der Installation auch eine entsprechende Abfrage.
Dieses Thema zum kaputten Ubuntu-sudo wurde hier schon mehrfach diskutiert, müssen wir nicht nochmal haben...

Du hast ja damit begonnen .....

[cosinus]

Du hast ja damit begonnen .....

Der erste Beitrag hier der sudo enthält, ist deiner. @KP97 reagierte da bloß drauf, weil sudo eben nicht der Standard-Debian-Weg ist.

[thoerb]

@KP97 reagierte da bloß drauf, weil sudo eben nicht der Standard-Debian-Weg ist.

Ich finde diese Diskussion immer wieder albern, aber ich kann einfach nicht anders, denn in der Debian-Dokumentation, steht genau das Gegenteil:

Debian's default configuration allows users in the sudo group to run any command via sudo.

https://wiki.debian.org/sudo/

Ich persönlich verwende kein sudo. Genau aus diesen Gründen:

Note that, historically, all Unix-like systems worked perfectly even before "sudo" was invented. Moreover, having a system without sudo could still give security benefits, since the sudo package could be affected by security bugs, as any additional part of the system.

Lot of Debian users do not install sudo. Instead, they open a terminal as root (for example with su - from a normal user). So you do not have to put "sudo" in front of any command.

[cosinus]

Ich finde diese Diskussion immer wieder albern, aber ich kann einfach nicht anders, denn in der Debian-Dokumentation, steht genau das Gegenteil

Das bezieht sich aber auf sudo selbst (wenn es denn installiert ist). Und das wird es ja eben nicht immer. Und wenn man es nachinstalliert, muss man die entsprechenden User auch noch in die sudo Gruppe aufnehmen. Ich kenne das auch so, dass man unter Debian mit su - zu root wird und dann die Dinge erledigt. Stattdessen alles Administrative per sudo zu machen, ist eher ubuntu- und minttypisch.

[thoerb]

Stattdessen alles Administrative per sudo zu machen, ist eher ubuntu- und minttypisch.

Mag ja sein, ich streite das nicht ab, dass die meisten Debian-User (so wie ich) su verwenden, aber wo genau steht in der offiziellen Dokumentation, dass man sudo nicht verwenden sollte, so wie es hier immer behauptet wird?

Den Nachweis hätte ich gerne.

[uname]

Erst mal finde ich es nicht schlecht, dass vielleicht zum 1000. Mal über sudo vs. root diskutiert wird. Man muss ja weder hier mitlesen noch mit diskutieren.

Mag ja sein, ich streite das nicht ab, dass die meisten Debian-User (so wie ich) su verwenden, aber wo genau steht in der offiziellen Dokumentation, dass man sudo nicht verwenden sollte, so wie es hier immer behauptet wird?

Ich hätte hier mal zwei Ansätze:
1.) Dokumentation https://debiananwenderhandbuch.de
Es gibt genug Debian-Dokumentationen, die von "root" und Befehlen wie "apt-get update" und nicht "sudo apt-get update" usw. sprechen. Aber darauf möchte ich gar nicht weiter eingehen. Nur vielleicht, dass diese oft bereits aus Zeiten von vor 2004 (siehe Punkt 2.) stammen.

2.) Ursprüngliche Funktion von sudo
Ich kenne sudo noch aus den Zeiten vor der Jahrtausendwende und damit vor Ubuntu. sudo wurde dafür verwendet, damit auf Mehrbenutzer-Servern Einzelbenutzer Tätigkeiten als z. B. technische Benutzer und/oder root ausführen konnten. Als ein Beispiel fällt mir hier die Wiederherstellung der Netzwerkverbindung (Modem) ein. Einige Benutzer, die nicht Administratoren waren, konnten über "sudo -u modembenutzer ..." oder "sudo script-von-root.sh" das Modem neu starten usw. Somit war man in dem Fehlerfall nicht von den eigentlichen Administratoren abhängig. sudo hat hierbei den Zugriff genau auf die Benutzergruppe und genau auf den Befehl eingeschränkt. "sudo -s" oder "sudo apt-get" wurde zu dem Zeitpunkt nicht verwendet oder war mindestens mir unbekannt. Ich habe immer als normaler Benutzer oder als root gearbeitet.

Bei Windows war es schon zur Jahrtausendwende so, dass es zwar den Windows-Benutzer und Windows-Administrator gab, aber man sich eher nicht als Administrator anmeldete, sondern irgendwann nach Administratorrrechten gefragt wurde. Ich weiß gar nicht, ob der Windows-Administrator damals ein eigenes Passwort hatte oder ob man das Passwort vom Benutzer genommen hat.

Ich glaube mit Einführung von Ubuntu im Jahr 2004 wurde erstmal sudo in der heutigen Version verwendet sudo Wiki ubuntuusers.de. Ganz interessant ist vielleicht der erste Beitrag 30.09.2005 zu sudo im Wiki von Ubuntuusers, um historisch ein wenig zurückzuschauen.

Im Vergleich zu meinem Beispiel oben darf die Untergruppe für das Starten des Modems hier beliebige Befehle als root ausführen. Zum Zeitpunkt 2004 war Debian im Übrigen bereits 11 Jahre alt.

Kurz noch zum Vergleich sudo vs. su:
Entscheidend ist auch, dass (meistens) bei sudo nach dem eigenen Benutzerpasswort gefragt wird. Bei su wird hingegen nach dem Passwort von root gefragt. Wenn man jedoch für seinen Benutzer und root das gleiche Passwort verwendet, dann ist es egal. Und das kritisiere ich an Ubuntu. Wer den Admin-Benutzernamen und das Passwort vom Admin kennt, kann auch über sudo direkt root werden. Falls bei Debian für Benutzer und root (wie oft empfohlen) unterschiedliche Passwörter verwendet werden, ist die Sicherheit meiner Meinung nach höher, da der root-Zugriff (vor allen wenn der direkte Zugriff als root verhindert wird) von zwei Passwörtern abhängt.

[Meillo]

Du hast ja damit begonnen .....

Der erste Beitrag hier der sudo enthält, ist deiner.

@josefine: Was du vielleicht nicht weisst: Sobald in diesem Forum irgendjemand ``sudo'' schreibt, bricht sofort wieder die gleiche alte Diskussion darueber aus, ob und warum es schlecht sei, gepaart mit der viel schlimmeren Diskussion, dass sudo nicht ``der Debian-Weg'' sei.

Manche Personen haben die Ansicht, dass es einen konkreten Debian-Weg gibt, den man nicht verlassen sollte (und sudo wuerde nicht darauf liegen). Andere sehen Debian als offenes System an, das man so einrichten und nutzen kann wie man moechte und wie es fuer einen selbst passt. Fuer beide Ansichten gibt es Gruende und beide haben Vorteile. (Diese unterschiedlichen Ansichten gibt es auch unter den Entwicklern, was sich bei den General Resolutions immer wieder zeigt.)

Ich finde es nur muessig, dass man streiten muss, was davon nun ``richtig'' ist. ... Frueher war der Glaubenskrieg halt vi vs. emacs, heute ist es sudo vs. su ... vielleicht kommt ja mal wieder ein neues Thema vorbei. Interessanterweise streitet man immer noch ueber sudo waehrend die systemd-Kaempfe wieder verschwunden zu sein scheinen. ... Man muss das wohl alles mit Humor sehen.

[uname]

Frueher war der Glaubenskrieg halt vi vs. emacs, heute ist es sudo vs. su ...

Ich wusste gar nicht, dass der Glaubenskrieg abschließend für vi (vim graphical cheat sheet) entschieden wurde. duck und weg

[cosinus]

Ich finde es nur muessig, dass man streiten muss, was davon nun ``richtig'' ist. ...

Ich schrieb aber nicht, dass sudo so zu verwenden komplett falsch sei.
Es ist nur eher der "Ubuntu-Weg" als der "Debian-Weg". Ich hab den ersten Hinweis von @KP97 so verstanden, dass man nun eben nicht davon ausgehen sollte, dass jeder sudo benutzt. Wenn ich Hilfestellungen gebe schreibe ich das neutral wie zB "führe folgenden Befehl mit Rootrechten aus: ..."

[Meillo]

Ich schrieb aber nicht, dass sudo so zu verwenden komplett falsch sei.
Es ist nur eher der "Ubuntu-Weg" als der "Debian-Weg".

Ich stoere mich ein bisschen an dem Begriff ``der Debian-Weg'', weil es den in meiner Wahrnehmung nicht gibt. Ich verstehe Debian viel mehr als eine offene Basis mit der man Systeme bauen kann, wie man sie haben moechte. Ich denke, dass diese Ansicht auch begruendet ist, da Debian an sehr vielen Stellen Alternativen und parallele Wege vorsieht: update-alternatives, austauschbarer MTA, austauschbares Init-System, ... sogar verschiedene APT-Implementierungen, was krass ist, da das Paketsystem technisch gesehen der Kern von Debian ist. Alles in allem wirkt Debian sehr offen auf mich. Ich kann diese Idee von *dem* Debian-Weg nicht so recht erkennen, darum irritiert sie mich immer wieder.

Ich hab den ersten Hinweis von @KP97 so verstanden, dass man nun eben nicht davon ausgehen sollte, dass jeder sudo benutzt. Wenn ich Hilfestellungen gebe schreibe ich das neutral wie zB "führe folgenden Befehl mit Rootrechten aus: ..."

Das sehe ich auch so. Im besten Fall beschreibt man vor allem *was* zu tun ist und dann nur exemplarisch *wie* man es tun kann. (``Mit Root-Rechten ausfuehren'' ist das was zu tun ist. Beispiele wie man es tun kann sind dann Befehle die z.B. mit ``$ sudo ...'' oder ``$ su - -c ...'' oder ``# ...'' beginnen.)

Wichtiger waere es IMO, darauf hinzuarbeiten, dass User nicht einfach irgendwelche Befehle aus dem Internet in ihre Konsolen kippen, sondern verstehen, was die Befehle tun. Dann installieren sie naemlich nicht einfach blind `sudo' nach, wenn es nicht vorhanden ist, sondern abstrahieren, dass das nur heisst, ich soll den Befehl mit Root-Rechten ausfuehren.

Das Ziel sollte nicht sein, dass sie kein `sudo' verwenden, sondern dass sie eine brauchbare Antwort darauf geben koennen, *warum* sie `sudo' verwenden ... oder warum sie es nicht verwenden, oder warum sie emacs verwenden oder sysvinit.

[cosinus]

Ich stoere mich ein bisschen an dem Begriff ``der Debian-Weg'', weil es den in meiner Wahrnehmung nicht gibt.

Was besseres als "Debian-Weg" fiel mir grad nicht ein
Nun ist es aber so, dass man im Setup (siehe Screenshot) doch ziemlich deutlich darauf hingewiesen wird, ein starkes Passwort für root zu setzen. Ich interpretiere das so, dass es der empfohlene Weg ist, unbedingt ein Passwort [für root] zu setzen, also den root account zu aktivieren, damit kein sudo eingerichtet wird. Aber meiner Meinung nach hätte es noch einen deutlichen Hinweis geben müssen, dass wenn man das root-Passwort leer lässt, man den ersten User eben wie root behandeln muss, weil der ja genauso gefährlich ist wie root.



edit: typo

[hikaru]

Ich interpretiere das so, dass es der empfohlene Weg ist, unbedingt ein Passwort zu setzen also den root account zu aktivieren damit kein sudo eingerichtet wird.

Wenn du mal den Installer im Expertenmodus aufrufst, dann wird die Sache noch klarer:
Dort gibt es nämlich explizit eine Abfrage, "root das Anmelden erlauben?", welche mit "<Ja>" vorausgewählt ist. Lässt man das so, dann kommt als nächstes die Eingabemaske für das root-Passwort und es wird kein sudo vorinstalliert. Ändert man die Abfrage auf "<Nein>", dann gelangt man weiter zur Einrichtung des regulären Users und sudo wird eingerichtet.

[uname]

Insgesamt sind die Aussagen wie müssen, sollte und leer ziemlich widersprüchlich.
Was den meisten sudo-Anhängern aber wohl am meisten gefällt ist die Aussage: "Wenn Sie es leer lassen, wird der root-Zugang deaktiviert".

Und dieses scheinbar positive Feature ist ein IT-Sicherheitsirrtum einer gesamten Linux-Generation.
Liest man die Anleitung weiter (erhält die notwendigen Rechte), hängt die Sicherheit von root nun nur noch vom ersten eingerichteten Benutzer ab.
Auf Linux-Desktop-Systemen ist das vermutlich ausreichend. Auf Servern wohl eher nicht.

[Meillo]

Ich stoere mich ein bisschen an dem Begriff ``der Debian-Weg'', weil es den in meiner Wahrnehmung nicht gibt.

Was besseres als "Debian-Weg" fiel mir grad nicht ein
Nun ist es aber so, dass man im Setup (siehe Screenshot) doch deutlich ziemlich darauf hingewiesen wird, ein starkes Passwort für root zu setzen. Ich interpretiere das so, dass es der empfohlene Weg ist, unbedingt ein Passwort zu setzen also den root account zu aktivieren damit kein sudo eingerichtet wird. Aber meiner Meinung nach, hätte es noch einen deutlichen Hinweis geben müssen, dass wenn man das root-Passwort leer lässt, man den ersten User eben wie root behandeln muss weil der ja genauso gefährlich ist wie root.

Das ist fuer mich gerade ein Zeichen, dass es keinen ``Debian-Weg'' gibt: Debian gibt nicht vor, wie man es zu tun hat, sondern stellt einem die Wahl und man kann frei waehlen wie man es haben will.

Ich vermute, dass ``der Debian-Weg'' mehr in deinem Kopf ist ... deine Interpretation von dem was du siehst und wie du denkst, wie es sein sollte.

Viel treffender fuer Debian als ``der Debian-Weg'' ist IMO gerade das Gegenteil: viele Wege fuehren nach Rom. Darum faende ich es gut, nicht mehr vom ``Debian-Weg'' zu reden, weil der als Idee bei Debian IMO so nicht existiert und von der Denkweise IMO gerade nicht zu Debian passt.

[Meillo]

Insgesamt sind die Aussagen wie müssen, sollte und leer ziemlich widersprüchlich.
Was den meisten sudo-Anhängern aber wohl am meisten gefällt ist die Aussage: "Wenn Sie es leer lassen, wird der root-Zugang deaktiviert".

Und dieses scheinbar positive Feature ist ein IT-Sicherheitsirrtum einer gesamten Linux-Generation.
Liest man die Anleitung weiter (erhält die notwendigen Rechte), hängt die Sicherheit von root nun nur noch vom ersten eingerichteten Benutzer ab.

Ich denke auch, dass das schlechte Formulierungen sind. Bessere waere: ``... dann wird der Login fuer root deaktiviert. Der erste eingerichtete User kann aber mit root-Rechten agieren.'' Das wuerde die Sicherheitssituation deutlicher machen.
(Edit: LOL! Nachdem ich nochmal den Text im Installer gelesen habe, sagt der letztlich genau das aus was ich hier auch geschrieben habe. Haette ich mir auch sparen koennen ... Vielleicht waere es hilfreicher, wenn explizit dabei stehen wuerde, dass in den meisten Faellen die Vergabe eines guten Root-Passwortes als sicherer angesehen wird. Damit diejenigen, die nicht wissen, was sie waehlen sollen, in die vermutlich sinnvollere Richtung geleitet werden.)

Nachtrag: Den root-Login zu deaktivieren hat ja schon einen Sinn, weil das der einzige generische Username ist, wenn man Passwoerter raten will. Wobei das heute nicht mehr so relevant ist und anders abgefangen werden kann als es frueher der Fall war. Damit ist die Formulierung vielleicht mehr ein historisches Ueberbleibsel. Ist eigentlich der root-Login per ssh nach einer Standardinstallation mit root-Passwort deaktiviert?

[hikaru]

Ist eigentlich der root-Login per ssh nach einer Standardinstallation mit root-Passwort deaktiviert?

Ja.

[uname]

Auch wenn es etwas offtopic ist:
Ich halte es nicht für wirklich sinnvoll, den Zugriff über SSH von root mit Passwort zu deaktivieren. Natürlich kann man das leicht machen, wenn man sowieso SSH-Keys verwendet. Wer aber den Debian-sudo-Weg geht und behauptet, der root-Zugriff über Passwort müsste deaktiviert sein, sollte vielleicht noch mal alles überdenken. Denn am Ende ist es für den Angreifer egal ob er den Weg SSH root/Passwort oder SSH Benutzer/Passwort -> sudo geht. Und wer glaubt es wäre besser statt root einen Benutzernamen zu haben, den verweise ich gerne auf https://de.wikipedia.org/wiki/Security_ ... _obscurity .

Wobei am Ende fällt es bei SSH alles darauf zurück, ob Benutzer und root unterschiedliche Passwörter haben sollen oder nicht. Sicher ist, dass es bei sudo nicht der Fall ist. Der "root-Zugriff bei sudo" wird einzig über Benutzer/Passwort authenisiert (ok und über eine Gruppe %sudo, der der Benutzer angehört). Ein root-Passwort gibt es nicht. Da alles am Ende vom Passwort des Benutzers abhängt, kann man natürlich dieses auch so gut wie ein root-Passwort vergeben und auch nur in sicheren Kontexten verwenden.

[cosinus]

Dort gibt es nämlich explizit eine Abfrage, "root das Anmelden erlauben?", welche mit "<Ja>" vorausgewählt ist.

Eben. Das bestätigt die Annahme, dass ein aktivierter root account mit gesetztem Passwort bei debian default ist. Zumindest eher als der Weg über sudo wie bei Ubuntu/Mint.

[cosinus]

Ich halte es nicht für wirklich sinnvoll, den Zugriff über SSH von root mit Passwort zu deaktivieren.

Dass das per default nicht aktiv ist, ist schon sinnvoll. Wer remote einen Rechner/Server administrieren will, kann sich ja erst als loginuser einloggen und wird dann mit su zu root. Oder man richtet sich gleich nen key login ein, was ja auch der Standard ist: PermitRootLogin prohibit-password

[TRex]

Ein Gedanke, der mir heute morgen beim Abtrennen kam: können all jene mit einer starken Meinung zum Thema gemeinsam einen Wiki-Artikel verfassen, welcher quasi automatisch verlinkt wird, sobald jemand Jehov..äh sudo schreibt? Und wir uns dann in dem jeweiligen Thread nicht mehr darüber streiten müssen (was im Endeffekt nichts anderes als eine Belehrung des TE ist, welche geringfügig ausartet und denjenigen dann eigentlich auch nur verwirrt zurücklässt)?

[uname]

Dass das per default nicht aktiv ist, ist schon sinnvoll. Wer remote einen Rechner/Server administrieren will, kann sich ja erst als loginuser einloggen und wird dann mit su zu root. Oder man richtet sich gleich nen key login ein, was ja auch der Standard ist: PermitRootLogin prohibit-password

Bestätigt das nicht den Debian-Weg und widerspricht den Ubuntu-Weg? Streng genommen müsste das auch für den sudo-Benutzer gelten siehe meine Argumentation oben. Der sudo-Benutzer ist praktisch root und sollte sich nach der Argumentation dann besser auch nicht direkt per SSH anmelden dürfen.

[cosinus]

Bestätigt das nicht den Debian-Weg und widerspricht den Ubuntu-Weg? Streng genommen müsste das auch für den sudo-Benutzer gelten siehe meine Argumentation oben. Der sudo-Benutzer ist praktisch root und sollte sich nach der Argumentation dann besser auch nicht direkt per SSH anmelden dürfen.

Genau das
Deswegen auch meine Kritik an den Installer. Wenn man root deaktiviert muss es eine deutlichere Warnung geben, nämlich das dann der erste eingerichette User genauso wie root zu behandeln ist. Im Fall von SSH ist das sogar kontraproduktiv. Da darf sich zwar root nicht einloggen, aber der Adminuser der mit sudo root werden und alles kaputtmachen kann