Warum ist sudo standardmäßig deaktiviert?

[uname]

Wenn jemand ausgeschieden ist, hat er ja keinen physikalischen Zugang mehr zu den Kisten.

Ja. Aber vielleicht gehört sie oder er aber auch nur nicht mehr zum Admin-Team und hat weiterhin einen Benutzeraccount. Und wenn sie oder er ausgeschieden ist, erzählt sie oder er vielleicht anderen das root-Passwort. Auch wenn weitere Person das Passwort vielleicht nicht verwenden kann, so macht ein Passwort wie passwort1234 dann vielleicht doch einen schlechten Eindruck.

Insgesamt hat mich das Passwortargument bei sudo auf Mehradminsystem überzeugt.
Zudem hat root automatisch nur Zugriff per SSH-Key und nicht per Passwort, da es kein Passwort gibt.
Nachteil ist, dass alle Admins ohne Zusatzpasswörter root werden können.

[cosinus]

Insgesamt hat mich das Passwortargument auf Mehradminsystem überzeugt. Zudem hat root automatisch nur Zugriff per SSH-Key und nicht per Passwort, da es kein Passwort gibt.

Mich nicht so wirklich. Für mich ist das eher ein Argument dafür, dass man die Passwörter ändern sollte, wenn ein Adminkollege die Firma verlässt.

[uname]

Stimmt. Hängt aber vielleicht auch von der Anzahl Systeme ab und ob man es am Ende wirklich macht.

[cosinus]

Stimmt. Hängt aber vielleicht auch von der Anzahl Systeme ab und ob man es am Ende wirklich macht.

Es geht ja auch nicht nur um root-Zugänge auf irgendwelchen Linux-Kisten wenn ein Admin die Firma verlässt. Webbasierte Logins für alles mögliche, Nextcloud, Firewall, E-Mailkonten etc. pp. - da muss schon ne Checkliste vorhanden was alles geändert werden muss bei IT-Personal-Austritt

[Meillo]

Stimmt. Hängt aber vielleicht auch von der Anzahl Systeme ab und ob man es am Ende wirklich macht.

Es geht ja auch nicht nur um root-Zugänge auf irgendwelchen Linux-Kisten wenn ein Admin die Firma verlässt. Webbasierte Logins für alles mögliche, Nextcloud, Firewall, E-Mailkonten etc. pp. - da muss schon ne Checkliste vorhanden was alles geändert werden muss bei IT-Personal-Austritt

Viel Spass mit der Theorie in der Praxis.


Schauen wir uns das mal abstrakter an: Fast alle Rechte-Management-Systeme sind so aufgebaut, dass jeder einen eigenen, personalisierten User hat, dem verschiedene Rollen zugewiesen werden. Adminaufgaben haben kein separates Passwort, sondern User haben eben Admin-Rechte oder nicht. Da fordert auch niemand, dass man einen separaten, gemeinsam genutzten Superuser-Account braucht, weil das die Sache sicherer machen wuerde.


Letztlich will ich nur TRex' Aussage unterstreichen: Es gibt keine pauschale Antwort. Aber was sich schon herausarbeiten laesst, sind Best-Practices fuer Standardszenarien.

[cosinus]

Da fordert auch niemand, dass man einen separaten, gemeinsam genutzten Superuser-Account braucht, weil das die Sache sicherer machen wuerde.

Und dieses Rechte-Mgm-System, wie wird das eingerichtet? Braucht das zumindest nicht initial irgendeine Art Superuser? Vorher kann man ja keine Rechte verteilen/delegieren.
Und was macht man in Notfällen? Doch wieder ne Art root oder toor in der Schublade?

[thoerb]

Ich habe mal eine andere Frage:

https://wiki.debianforum.de/Sudo

Ein Problem der Debian-Sudo-Konfiguration ist, dass ein normaler Benutzer mit seinem Benutzerkennwort Rootberechtigungen erlangen kann und dass diese Anmeldung per Standardeinstellungen, 15 Minuten aktiv ist.

Wenn dann jemand innerhalb dieser 15 Minuten ein Script ausführt, in dem eine Befehlszeile mit sudo beginnt, dann wird diese mit Root-Rechten ausgeführt?

[Tula]

...Schließlich muss man genauso wie bei "su - root" sein Passwort eingeben.

Ich gehe weiter von einem Desktop-Singleuser-System aus. Die Diskussion über ganz andere Systeme wäre gfls. nur zum Teil relevant für den Thread.

...
https://wiki.debianforum.de/Sudo

Ein Problem der Debian-Sudo-Konfiguration ist, dass ein normaler Benutzer mit seinem Benutzerkennwort Rootberechtigungen erlangen kann und dass diese Anmeldung per Standardeinstellungen, 15 Minuten aktiv ist.

Wenn dann jemand innerhalb dieser 15 Minuten ein Script ausführt, in dem eine Befehlszeile mit sudo beginnt, dann wird diese mit Root-Rechten ausgeführt?

Und wäre das 15-min-Risiko bei den im Übrigen selben Bedingungen (umsichtiger Umgang) im Desktop-Singleuser-System bei einer root-Konsole geringer?

[thoerb]

Und wäre das 15-min-Risiko bei den im Übrigen selben Bedingungen (umsichtiger Umgang) im Desktop-Singleuser-System bei einer root-Konsole geringer?

Wenn du denkst, dass du als normaler Benutzer ein Skript ausführst, dieses Skript aber im Hintergrund aus deinem Desktop-Singleuser-System einen Server baut, weil du vergessen hast, dass du vor acht Minuten dein Passwort eingegeben hast. Ja, dann finde ich das bedenklich.

[Tula]

Mit der Frage ziele ich ab auf den Vergleich mit der root-Konsole:
Wenn ich nicht mit sudo arbeite und bin als root angemeldet, ist doch das Risiko nicht geringer, oder?

[thoerb]

Mit der Frage ziele ich ab auf den Vergleich mit der root-Konsole:
Wenn ich nicht mit sudo arbeite und bin als root angemeldet, ist doch das Risiko nicht geringer, oder?

Das ist sicher auch abhängig vom Benutzerverhalten.

Ich wüsste nicht, wann ich mal als root ein Skript ausgeführt hätte. Außer ein paar kleine, die ich selber geschrieben habe. Als root aktualisiere ich mein System oder installiere Software mit apt. Gelegentlich ändere ich Config-Dateien oder schaue mir Log-Dateien an. Dann melde ich mich gleich wieder ab. Ich weiß dann aber auch, dass ich als root angemeldet war und jetzt wieder User bin. Mit sudo ist irgendwie alles möglich.

[Meillo]

Dann melde ich mich gleich wieder ab. Ich weiß dann aber auch, dass ich als root angemeldet war und jetzt wieder User bin. Mit sudo ist irgendwie alles möglich.

Umgekehrt koennte man ebenso sagen, dass man `sudo' nur dann vor Befehle schreibt, wenn diese mit Root-Rechten ausgefuehrt werden muessen. Wenn man aber eine offene Root-Shell hat, dann ist irgendwie alles moeglich.

Es kommt, wie du schreibst, darauf an, wie man die zwei Moeglichkeiten versteht und verwendet. Das ist mehr eine Frage der Denkmodelle in unseren Koepfen und der Nutzungskultur. Wir kommen teilweise aus unterschiedlichen Kulturen, demnach denken und agieren wir unterschiedlich. Was fuer eine Person voellig naheliegend und einleuchtend ist, ist es fuer eine andere vielleicht nicht, und umgekehrt.

[thoerb]

Umgekehrt koennte man ebenso sagen, dass man `sudo' nur dann vor Befehle schreibt, wenn diese mit Root-Rechten ausgefuehrt werden muessen. Wenn man aber eine offene Root-Shell hat, dann ist irgendwie alles moeglich.

Das verstehe ich, aber meine Frage bezog sich auf diese 15 Minuten, in denen man meiner Meinung nach völlig die Kontrolle verliert:

Wenn dann jemand innerhalb dieser 15 Minuten ein Script ausführt, in dem eine Befehlszeile mit sudo beginnt, dann wird diese mit Root-Rechten ausgeführt?

[Meillo]

Wenn dann jemand innerhalb dieser 15 Minuten ein Script ausführt, in dem eine Befehlszeile mit sudo beginnt, dann wird diese mit Root-Rechten ausgeführt?

Wenn das Script mit dem enthaltenen sudo-Befehl im gleichen Terminal ausgefuehrt wird, dann kann es passwortlos root werden, das ist korrekt.

Ich denke, dass das ein relevanter Schwachpunkt ist, da man oft genug Installationsanleitungen auf Websites sieht, die in etwa so aussehen:

Code: Alles auswählen

sudo apt-get install ...  # benoetigte Libs
curl ... | bash  # eigentliches Programm von irgendeiner Website

Wenn in dem mit curl geladenen Script ein `sudo' drin steht, dann kann das Script root werden, ohne dass man es merkt.

Indem man die vorbereitenden sudo-Befehle in einem separaten Terminal ausfuehrt, geht das schonmal nicht mehr.


Das eigentliche Problem ist aber natuerlich, dass man irgendwelchen Code ausfuehrt, den man weder selbst geprueft hat, noch von den Paketmaintainern der Distribution hat pruefen lassen. Natuerlich kann nicht jeder selber pruefen, darum gibt es ja gerade die Distributionen. Diese sind nun aber zu traege, um in so schnelllebigen Umfeldern wie Github & Co. mithalten zu koennen. Leider hat sich die Praxis etabliert, dass die Projekte genau solche Befehlsfolgen wie oben zu sehen auf ihre Projektseiten schreiben, die dann von den Usern als ganzes kopiert und ins Terminal (oft auch in root-Terminals) eingefuegt werden, ohne sie zu verstehen und ohne sie selber zu gliedern und in unterschiedliche Teile zu separieren.

Wenn der User nicht versteht was er tut und auf seinem eigenen System root ist, dann sind Probleme vorprogrammiert. Sicherheit braucht entweder Einschraenkungen oder Verstaendnis -- ohne beides geht's nicht.

[thoerb]

Wenn das Script mit dem enthaltenen sudo-Befehl im gleichen Terminal ausgefuehrt wird, dann kann es passwortlos root werden, das ist korrekt.

Ich denke, dass das ein relevanter Schwachpunkt ist, da man oft genug Installationsanleitungen auf Websites sieht, die in etwa so aussehen:

Code: Alles auswählen

sudo apt-get install ...  # benoetigte Libs
curl ... | bash  # eigentliches Programm von irgendeiner Website

Wenn in dem mit curl geladenen Script ein `sudo' drin steht, dann kann das Script root werden, ohne dass man es merkt.

Danke, genau darum ging es mir.

[Steve1]

Wenn jemand ausgeschieden ist, hat er ja keinen physikalischen Zugang mehr zu den Kisten.

Auch nicht wenn ich ein Live-System starte?

[DeletedUserReAsG]

Wenn jemand ausgeschieden ist, hat er ja keinen physikalischen Zugang mehr zu den Kisten.

Auch nicht wenn ich ein Live-System starte?

Nein. Livesysteme sind nicht dafür bekannt, Menschen teleportieren zu können.

[cosinus]

Wenn jemand ausgeschieden ist, hat er ja keinen physikalischen Zugang mehr zu den Kisten.

Auch nicht wenn ich ein Live-System starte?

Um ein Live-System starten zu können, braucht man physikalischen Zugang zur Kiste.

[wanne]

Ich denke man muss da in ein Paar kategroieen unterscheiden:

"Echte" Sicherheit.

• sudo ist deutlich komplexer und hatte deswegen in der Vergangenheit deutlich mehr Sicherheitslücken.
• Ein System ohne su ist defakto nicht umzusetzen. Die sicherheitslücken von sudo addieren sich also zu denen von su

Organisatorische Sicherheit

• Auch wenn es theoretisch möglich ist: Keiner ändert den Nutzernamen für root/UID 0. Usernamen sind leider insbesondere für externe Angreifer oft deutlich schwerer zu raten als Passwörter.
• Versehentlich einen Befehl in einen root prompt einzugeben passiert sicher häufiger als versehentlich suod vor einen Befehl zu schreiben
  
• sudo erlaubt es sehr einfach Konfigurationen für alles mögliche zu erstellen. Es ist aber extrem komplex diese sicher zu gestalten. Nutzer die erfahren genug für so etwas sind werden sowieso andere Methoden wie capabilities, suid oder services bevorzugen.
  
• Defakto jeder benutzt copy and paste es gibt unzählige Möglichkeiten heimlich befehle mit sudo in die Zwischenablage zu pasten.
• Defakto beendet keiner seine sudo sessions. Wenn jemand seinen PC verlässt kann ein anderer also problemlos für einige Minuten als root Kommandos ausführen. Wer an den Account von einem User kommt, von dem regelmäßig sudo/su ausgeführt wird, kann aber auch auf diverse andere Arten root werden, indem er seinen angriff vom nächsten su/sudo triggern lässt.
• Ein versehentlich offen gelassener root promt kann von Angreifern genutzt werden. sudo beendet die Session automatisch irgend wann. Wer an den Account von einem User kommt, von dem regelmäßig sudo/su ausgeführt wird, kann aber auch auf diverse andere Arten root werden, indem er seinen angriff vom nächsten su/sudo triggern lässt.
• Sudo logged anmeldeversuche. Sudo erlaubt aber auch genau diesen log zu löschen.
• sudo-rechte lassen sich ohne das ändern des Passworts für alle Administratoren entziehen. Es ist aber problemlos möglich mit sudo massenhaft unauffindbare alternativen zu sudo zu installieren, die vom user weiter genutzt werden können.

Bequemlichkeitsfeatures:

• sudo erlaubt unterschiedliche Passwörter für unterschiedliche Admins. Selbst gewählte Passwörter können deutlich komplexer und trotzdem merkbarer sein als welche, die sich mehrere Menschen merken müssen.
• sudo ist kürzer als su - -c su und braucht weniger quoting. su ist kürzer als sudo -i
• su statt su - birgt die Gefahr gefährliche Umgebungen mitzuschleppen. sudo verhält sich pseudointelligent und liegt irgend wo dazwischen. Allerdings kann selbst su - problemlos umgangen werden, wenn man Kontrolle über die Umgebung hat.
• sudo erlaubt Kommandos einfach aus Anleitungen kopieren und einzufügen. Da es möglich ist, Kommandos so in die Zwischenablage einzufügen, dass sie weder beim kopieren noch beim einfügen angezeigt werden, ist das Feature brandgefährlich.

Dumme Angreifer:
Die aller meisten Sicherheitsfeatures lassen sehr einfach durch Angreifer umgehen. Da die aller meisten erfolgreichen Angreifer gute Linux-Kenntnisse oder zumindest tools von Leuten mit guten Linux-Kenntnissen haben dürften, habe diese ausgegraut statt sie in der in der jeweiligen Farbe hervorzuheben.

Mit "echte" Sicherheit meine ich, dass die Sachen die unter Section 2 und 3 fallen problemlos durch einen verantwortungsvollen Umgang unterbunden werden können während die erste Kategorie sich praktisch ausschließlich durch nicht installation erreichen lässt. Genau das ist aber oft nicht oder nur unter großen Umständen möglich während sich einfache Regeln wie pfusche nicht an deiner /etc/sudoers rum deutlich einfacher umsetzen lassen..

Btw: Soll ich da einen Wiki-Eintrag draus machen?