Warum ist sudo standardmäßig deaktiviert?
Warum ist sudo standardmäßig deaktiviert?
Standardmäßig ist sudo deaktiviert. Man bekommt dann eine Meldung, dass man nicht in der sudoers Datei ist.
Ich habe an mehr Sicherheit gedacht. Allerdings kann ich mir nicht erklären, wie das mehr Sicherheit bringen soll. Schließlich muss man genauso wie bei "su - root" sein Passwort eingeben.
Aber bestimmt gibt es einen Grund dafür. Wie lautet er?
Ich habe an mehr Sicherheit gedacht. Allerdings kann ich mir nicht erklären, wie das mehr Sicherheit bringen soll. Schließlich muss man genauso wie bei "su - root" sein Passwort eingeben.
Aber bestimmt gibt es einen Grund dafür. Wie lautet er?
Re: Warum ist sudo standardmäßig deaktiviert?
Da gibt es eine längeren Thread zu dem Thema, ganz aktuell: viewtopic.php?t=186218
Re: Warum ist sudo standardmäßig deaktiviert?
Auf der ersten Seite des verlinkten Threads wird auf die Installation von Debian inkl. Screenshots eingegangen. Da wird es genau erklärt.
- cosinus
- Beiträge: 3410
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Warum ist sudo standardmäßig deaktiviert?
Das ist so nicht richtig!DaCoda hat geschrieben:14.02.2023 19:33:59Standardmäßig ist sudo deaktiviert. Man bekommt dann eine Meldung, dass man nicht in der sudoers Datei ist.
sudo ist nicht deaktiviert. Es wird über das Debian-Setup installiert und eingerichtet, wenn man (absichtlich) das Root-Passwort leer lässt. Richtet man ein Root-Passwort ein, wird sudo nicht installiert.
Wieso soll das mehr Sicherheit sein, wenn root kein Passwort hat und man mit sudo alle Befehle ausführen muss? Wenn du den User, der mit sudo alles machen kannst, nicht genauso wie root behandelst, kann das im Endeffekt weniger Sicherhei bedeuten!DaCoda hat geschrieben:14.02.2023 19:33:59Ich habe an mehr Sicherheit gedacht. Allerdings kann ich mir nicht erklären, wie das mehr Sicherheit bringen soll. Schließlich muss man genauso wie bei "su - root" sein Passwort eingeben.
Aber bestimmt gibt es einen Grund dafür. Wie lautet er?
Re: Warum ist sudo standardmäßig deaktiviert?
Ich verstehe DaCoda so, dass er das höhere Maß an Sicherheit durch Verwendung von root anstelle von sudo nicht nachvollziehen kann. Er behauptet weder, das Eine sei sicherer als das Andere, noch beschreibt er, er würde mit sudo unvorsichtiger sein als mit root.
Der Gedankengang ist eindeutig und logisch. Entsprechend sachbezogen kann man das behandeln, oder?
DaCoda, bezieht sich deine Fragestellung auf ein Desktop-System für eine Einzelperson?
Der Gedankengang ist eindeutig und logisch. Entsprechend sachbezogen kann man das behandeln, oder?
DaCoda, bezieht sich deine Fragestellung auf ein Desktop-System für eine Einzelperson?
Re: Warum ist sudo standardmäßig deaktiviert?
Genau deswegen kann man auch gleich darauf verzichten. Was nicht installiert ist, kann auch keine zusätzliche Sicherheitslücke sein.DaCoda hat geschrieben:14.02.2023 19:33:59Ich habe an mehr Sicherheit gedacht. Allerdings kann ich mir nicht erklären, wie das mehr Sicherheit bringen soll. Schließlich muss man genauso wie bei "su - root" sein Passwort eingeben.
- cosinus
- Beiträge: 3410
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Warum ist sudo standardmäßig deaktiviert?
Er stellt es aber in Frage: "Ich habe an mehr Sicherheit gedacht. Allerdings kann ich mir nicht erklären, wie das mehr Sicherheit bringen soll."Tula hat geschrieben:14.02.2023 22:15:03Er behauptet weder, das Eine sei sicherer als das Andere, noch beschreibt er, er würde mit sudo unvorsichtiger sein als mit root.
Es kommt immer drauf an, wie man damit umgeht. Wenn man sich in falsche Sicherheit wiegt nur weil man glaubt, alles sei safe weil root ist ja 'nicht aktiv' sei, unterliegt da einem schweren Irrtum, zumindest dann wenn er den administrativen User, der mit sudo alles machen kann, nicht genauso wie root behandelt.
- Livingston
- Beiträge: 1366
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: Warum ist sudo standardmäßig deaktiviert?
Ist es nicht völig masochistisch, die selbe Diskussion mehrmals zu führen?
rhHeini hat bereits hier in der ersten Antwort dieses Threads darauf hingewiesen, dass der selbe Krempel (teils von den selben Leuten) bereits hier viewtopic.php?t=186218 diskutiert wird.
rhHeini hat bereits hier in der ersten Antwort dieses Threads darauf hingewiesen, dass der selbe Krempel (teils von den selben Leuten) bereits hier viewtopic.php?t=186218 diskutiert wird.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
- cosinus
- Beiträge: 3410
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Warum ist sudo standardmäßig deaktiviert?
Eine Diskussion mehr über sudo macht den Kohl nun auch nicht fettLivingston hat geschrieben:15.02.2023 00:10:47Ist es nicht völig masochistisch, die selbe Diskussion mehrmals zu führen?
- Livingston
- Beiträge: 1366
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: Warum ist sudo standardmäßig deaktiviert?
Da haste auch wieder Recht. Und es härtet vermutlich ab
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
- cosinus
- Beiträge: 3410
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Warum ist sudo standardmäßig deaktiviert?
Es macht gleichgültig, aber mir ist das egalLivingston hat geschrieben:15.02.2023 00:16:20Da haste auch wieder Recht. Und es härtet vermutlich ab
Re: Warum ist sudo standardmäßig deaktiviert?
Er stellt eine Frage. Das ist etwas Anderes.
Und zwar eine - finde ich - durch den Installer und die Praxis der Nutzerschaft naheliegende Frage.
Die Antworten differieren. Theoretisch passt ein solches Thema vielleicht auf eine Seite. Die Länge dieser Threads sehe ich wie in anderen Foren jedenfalls nicht durch die wirklich interessanten Antworten entstehen.
Ich hoffe, der TE bleibt dran.
- cosinus
- Beiträge: 3410
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Warum ist sudo standardmäßig deaktiviert?
Er zweifelt an der Sicherheit, er kann es sich nicht erklären. Das lässt sich durchaus so interpretieren, dass er die Sicherheit in Frage stellt. Und die Antwort darauf lautet: it depends!
- TRex
- Moderator
- Beiträge: 8038
- Registriert: 23.11.2006 12:23:54
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: KA
Re: Warum ist sudo standardmäßig deaktiviert?
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: Warum ist sudo standardmäßig deaktiviert?
Das hier auf einen anderen Thread verwiesen wird, anstatt auf Dokumentation oder ein Wiki, ist für mich ein Indikator, dass es hier Verbesserungsbedarf gibt.Livingston hat geschrieben:15.02.2023 00:10:47Ist es nicht völig masochistisch, die selbe Diskussion mehrmals zu führen?
Die Geschichte mit sudo ist eben für (Dauer)Einsteiger schwer nachzuvollziehen und eine immer wiederkehrende Frage.
Um sowas zu beantworten, sollten adäquate Wiki/Faq/Doku Einträge existieren, auf die man verlinkt.
Thread zu und fertig. Und keine Möglichkeit für andere Foren Nutzer, ihren Frust and armen Neulingen auszulassen.
EDIT: Ich selbst habe es nie ganz begriffen.
Debian 11 & 12; Desktop-PC, Headless-NAS, Raspberry Pi 4
Teil des Upstream Betreuer Teams von Back In Time (backintime)
Teil des Upstream Betreuer Teams von Back In Time (backintime)
- TRex
- Moderator
- Beiträge: 8038
- Registriert: 23.11.2006 12:23:54
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: KA
Re: Warum ist sudo standardmäßig deaktiviert?
Der "Deeplink" auf die Doku wäre nur Convenience gewesen. Man könnte ja quasi davon absehen, das jetzt hier auch noch totzudiskutieren und akzeptieren, dass die Frage nicht ohne Annahmen getroffen wurde, der Umstand, wie das zustande kam, jedoch einfach zu erklären ist. Ich tipp das hier jetzt einfach mal hin, wie es jeder ( ) hätte hinschreiben können.buhtz hat geschrieben:15.02.2023 13:08:35Das hier auf einen anderen Thread verwiesen wird, anstatt auf Dokumentation oder ein Wiki, ist für mich ein Indikator, dass es hier Verbesserungsbedarf gibt.
Gibt man ein root-Passwort an, wird der root-Account "aktiviert". Gibt man kein root-Passwort an, kann man sich nicht direkt als root einloggen, und stattdessen wird sudo eingerichtet (nur für den ersten Benutzer, welcher während der Installation eingerichtet wird).
Welcher verdammte Weg nun sicherer ist, lässt sich verdammt nochmal nicht pauschal beantworten.
tl;dr: nix da "standardmäßig".
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: Warum ist sudo standardmäßig deaktiviert?
Im anderen Thread habe ich geschrieben, dass sich der sudo-Ansatz so ähnlich verhält wie wenn man für root und dem eigenen Benutzer dasselbe Passwort verwendet.TRex hat geschrieben:Welcher verdammte Weg nun sicherer ist, lässt sich verdammt nochmal nicht pauschal beantworten.
Wen das stimmt, dann ist der nicht-sudo-Ansatz (root-Passwort) sicherer, wenn die Passwörter von root und dem eigenen Benutzer sich unterscheiden.
Re: Warum ist sudo standardmäßig deaktiviert?
Auf einem Mehradminsystem muss das root-Passwort gemeinsam genutzt werden. Das ist ein Sicherheitsnachteil, der dem entgegen steht. Insofern kann man es eben nicht pauschal sagen.uname hat geschrieben:15.02.2023 13:47:56Im anderen Thread habe ich geschrieben, dass sich der sudo-Ansatz so ähnlich verhält wie wenn man für root und dem eigenen Benutzer dasselbe Passwort verwendet.TRex hat geschrieben:Welcher verdammte Weg nun sicherer ist, lässt sich verdammt nochmal nicht pauschal beantworten.
Wen das stimmt, dann ist der nicht-sudo-Ansatz (root-Passwort) sicherer, wenn die Passwörter von root und dem eigenen Benutzer sich unterscheiden.
Use ed once in a while!
- cosinus
- Beiträge: 3410
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Warum ist sudo standardmäßig deaktiviert?
Das ist doch gehüpft wie gesprungen. Wenn jeder Admin seinen eigenen Adminuser hat, der mit sudo alles machen darf, ist das kein entscheidender Unterschied als wenn alle root verwenden. Und mit sudo -i kann doch eh jeder root werden auch wenn kein Passwort für root gesetzt ist.Meillo hat geschrieben:15.02.2023 14:02:17Auf einem Mehradminsystem muss das root-Passwort gemeinsam genutzt werden. Das ist ein Sicherheitsnachteil, der dem entgegen steht. Insofern kann man es eben nicht pauschal sagen.
Re: Warum ist sudo standardmäßig deaktiviert?
Ich meine mal gelesen zu haben, dass es aber bei sudo protokolliert wird, wer was wann gemacht hat.cosinus hat geschrieben:15.02.2023 14:12:39Das ist doch gehüpft wie gesprungen. Wenn jeder Admin seinen eigenen Adminuser hat, der mit sudo alles machen darf, ist das kein entscheidender Unterschied als wenn alle root verwenden.
Re: Warum ist sudo standardmäßig deaktiviert?
Auf einem Mehradminsystem hat der root-Benutzer-mit-Passwort-Ansatz noch den Nachteil, dass wenn man das root-Passwort kennt, dass man als root administrieren kann. Scheidet jemand aus dem Admin-Team aus, muss das root-Passwort geändert werden. Beim sudo-Ansatz muss nur die Gruppe verkleinert werden. Wobei wer einmal root war, kann immer root bleiben. Aber eine Hintertür einbauen ist wohl seltener als das root-Passwort nicht vergessen zu können.
Re: Warum ist sudo standardmäßig deaktiviert?
Hintertür gefällig?uname hat geschrieben:15.02.2023 14:17:58Aber eine Hintertür einbauen ist wohl seltener als das root-Passwort nicht vergessen zu können.
Nimm folgenden C-Code:
Code: Alles auswählen
#include <stdio.h>
int main(void)
{
seteuid(0);
setuid(0);
setgid(0);
setegid(0);
system("/bin/bash");
return 0;
}
Führe folgende Befehle aus:
Code: Alles auswählen
cc -o sush sush.c
chown root.root sush
sudo chmod 4755 sush
Re: Warum ist sudo standardmäßig deaktiviert?
Nett. Auch wenn es gerade im Kontext dieser Diskussion nicht wirklich passt aber in sudo-Diskussionen ist Offtopic ja erlaubt.
Einige schaffen es sogar /etc/sudoers so falsch zu konfigurieren, dass es selbst zur Hintertür wird.
Benutzer user soll eine Datei editieren, die root gehört:
Eingabe user:
Einige schaffen es sogar /etc/sudoers so falsch zu konfigurieren, dass es selbst zur Hintertür wird.
Benutzer user soll eine Datei editieren, die root gehört:
Code: Alles auswählen
user ALL=(ALL) /usr/bin/vim /pfad/zu/einer/volllommen/unwichtigen/datei
Code: Alles auswählen
sudo /usr/bin/vim /pfad/zu/einer/volllommen/unwichtigen/datei
:shell
- cosinus
- Beiträge: 3410
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Warum ist sudo standardmäßig deaktiviert?
Ich muss ja nur einmal mit sudo -i root werden, setzte dann ein Passwort für root und mal vllt noch andere "Hintertürchen" rein und fortan muss ich mich nicht mehr um Logs kümmern.thoerb hat geschrieben:15.02.2023 14:15:59Ich meine mal gelesen zu haben, dass es aber bei sudo protokolliert wird, wer was wann gemacht hat.
- cosinus
- Beiträge: 3410
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Warum ist sudo standardmäßig deaktiviert?
Wenn jemand ausgeschieden ist, hat er ja keinen physikalischen Zugang mehr zu den Kisten. Dann würde von außen ja nur noch ein SSH-Login greifen, sofern eingerichtet und aktiviert. Da hilft dann auch das Root-Passwort nicht, wenn PermitRootLogin auf no oder prohibit-password steht --> /root/.ssh/authorized_keys checkenuname hat geschrieben:15.02.2023 14:17:58Auf einem Mehradminsystem hat der root-Benutzer-mit-Passwort-Ansatz noch den Nachteil, dass wenn man das root-Passwort kennt, dass man als root administrieren kann. Scheidet jemand aus dem Admin-Team aus, muss das root-Passwort geändert werden. Beim sudo-Ansatz muss nur die Gruppe verkleinert werden. Wobei wer einmal root war, kann immer root bleiben. Aber eine Hintertür einbauen ist wohl seltener als das root-Passwort nicht vergessen zu können.