Die Sudo Diskussion

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Ich verstehe eure Diskussion nicht so ganz:

    sudo (weitab des RasPi, da ist der Einsatz von sudo ja sehr offen eingerichtet) kann sehr wohl sehr differenziert/restriktiv eingestellt werden:

    In der sudoers-Datei werden/können die User und die zulässigen Kommandos, welcher der jeweilige User per sudo absetzen kann, differenziert konfiguriert (werden).

    Wenn ich einem User (im konkreten Fall z.B. meiner besseren Hälfte) die Nutzung von sudo zugestehe, dann eben nur bestimmte Kommandos.

    Sei es , um nachträglich ein "mount -a" zum re-mount absetzen zu können oder so.

    Der normale User benötigt kein sudo und bekommt es dann halt auch nicht. <PUNKT>.

  • Tja ...

    Wie wäre es mit einem Leitfaden der erstellt wird - ähnlich dem "Wie frage ich um Hilfe" Thread. In diesem Thread wird über die richtige Verwendung von sudo aufgeklärt und anhand praktischer Beispiele näher erläutert

    prinzipiell eine gute Idee ... aber: ich fürchte, dass das die meisten Einsteiger/Umsteiger in die Linux-Welt nicht weiter interessiert.

    Wie auch Du schon richtig bemerkt hast: viele kommen aus dem Windows-Umfeld und wollen, dass Linux entsprechend 1:1 funktioniert. Diejenigen, die sich mit der Thematik tiefer befassen, dürften an einer Hand abzählbar sei.

    Noch dazu bei einem so langweiligen Thema wie "Sicherheits-Konzepte" ... damit will sich doch niemand ernsthaft befassen - das sollen gefälligst andere machen, die sich damit auskennen ... :fies:

    Schönes, relativ aktuelles Beispiel: Facebook und das Recht auf -> informationelle Selbstbestimmung <-, das jeder bei seiner Anmeldung freiwillig abgibt. Aber weinen, wenn was in die Hose geht :rofl:

    cu,

    -ds-

  • Sudo ist mMn das Bauernopfer, um Linux im (Home-)Desktop Bereich, in Konkurrenz zu Windows, zum Durchbruch zu verhelfen. Ist leider noch immer nicht gelungen.

    Eine absolut interessante These, die meines Erachtens mit meiner These korreliert (auf die ich beim Lesen gekommen bin) ... und zwar, dass es umso schwieriger ist, je ahnungsloser einer User ist, um ihn davon zu überzeugen, dass er unter Linux keine Nachteile hat, wenn er nicht als er selber Admin-Rechte hat (...wie unter Windows üblich).

    "sudo" befriedigt anscheinend ein psychologisches Bedürfnis ... *lol* ... mein Computer, ICH Boss. Für einige ist der Gedanke wohl unerträglich, am eigenen Rechner mit der eigenen Anmeldung NICHT Boss zu sein.... selbst auf die Gefahr hin, dass sie selber oft das größte Sicherheitsrisiko ihres Rechners sind. Zu verdanken haben wir das wohl Ubuntu.... :thumbdown:

    • Offizieller Beitrag

    Was ne sudo-Diskussion? Ist das Halbe Jahr schon wieder rum? :-/

    Ok, dann ein Versuch etwas konstruktives zu schreiben! Da wir uns hier im Forum hauptsächlich auf den RPi beziehen sollten, ein Beispiel bei Raspbian: Hat mal einer von euch raspi-config als root aufgerufen?

    Der Punkt (3) Boot Options => (B1) Desktop / CLI. Dort steht dann B2 Console Autologin Text console, automatically logged in as '' user und bei B4 Desktop Autologin Desktop GUI, automatically logged in as '' user . Ein Autologin wird imho nicht funktionieren, da kein User angegeben wird. (Ungetestet!)

    Als pi angemeldet und sudo raspi-config verwendet, würde pi zwischen den '' stehen. Somit ist zumindest beim ersten Einrichten von Raspbian sudo durchaus nützlich, zumal imho ein Großteil der Leute vorher mit Linux nichts am Hut hatten.

    BTW: sudo gibt's bei mir nur noch auf meinem Test-RPi. ;)

    • Offizieller Beitrag

    Du meinst genauso sinnvoll wie dem Superuser einen anderen Namen zu geben? Stichwort lastlog oder cat /etc/passwd (beides ohne root-Rechte)? ;)

  • Zu verdanken haben wir das wohl Ubuntu.... :thumbdown:

    ? Was hat Ubuntu damit zu tun?

    Da ist ein Debian drunter (weißt du ja).

    Ansonsten ist das "nur" mehr oder weniger 'ne nette Fassade...

    Unsinn Blödsinn kannst du mit laschen Sicherheitseinstellungen unter jedem Linux-Derivat machen...

  • Man hat sudo eigentlich eingefuehrt um revisionssicher nachvollziehen zu koennen wer als root auf einem System etwas getan hat, denn in Produktionsumgebungen hat man immer mehr als einen Admin der root Zugriff benoetigt.

    Bei der Raspi hat man i.d.R. nur einen Admin. Per sudo kann man eben schnell mal fuer eine kurze Zeit als root arbeiten wenn man die Berechtigung benoetigt und stellt damit sicher dass man nicht immer als root arbeitet was bekanntermassen moeglichst zu vermeiden ist und auch automatisch durch den Timeout gegeben ist.

    Ich denke das Problem ist einfach bei jedem Raspibenutzer die Awareness zu schaffen als root bzw per sudo als root nur zu arbeiten wenn es wirklich Aktivitaeten sind, die man durchfuehren will, weil sie root Berechtigung benoetigen und welche Probleme man hat bzw bekommt wenn man per sudo quasi immer als root arbeitet.

    Wer immer sudo benutzt muss sich im Klaren sein dass er schnell Linux zu einem unsicheren System durch verbiegen von Berechtigungen machen kann. Das ist besonders schlimm da von mir gefuehlt fast jeder seine Raspi auch fueher oder spaeter ans Internet anschliesst :mad_GREEN:

    Wer seine Raspi nur offline betreibt hat keine Probleme wenn er mal aus Versehen

    Code
    sudo chmod -R 777 /

    eingibt.

    Ich muss gestehen dass ich auch mal aus Versehen

    Code
    sudo rm -rf .

    bei mir eingegeben habe ... und mich irrtuemlicherweise in in / befand:@.

  • Die Nutzung von sudo war, ist und bleibt nützlich. Es ist der einzige Weg, ein Linuxsystem vernünftig administrieren zu können. Eigentlich wurde es eingerichtet, damit es einen Superuser wie root auf UNIX gar nicht geben soll. Das UNIX-Rechtesystem sollte und sorgt heute noch dafür, dass selbst Administratoren mit verschiedenen Rechten und Berechtigungen ausgestattet werden konnten. Das der User Pi in die Sudoers kommt ist ein Sicherheitsaspekt, genauso wie die Benutzung von root als User einzuschränken. Kein ernsthafter Systemadministrator kommt auf die Idee, ein System als root zu administrieren.

    Natürlich ist es aber so, dass bei einer Spielerei wie dem Raspberry Pi oder Smartphones ein "einfacher" Nutzer Rechte und Berechtigungen benötigt. Stellt euch mal vor, ihr müsstet jedesmal zu einem root laufen, wenn ihr eine App installieren wollt.

    Grundsätzlich sollte man den user pi, wenn man ihn dann lässt zum Administrieren nutzen und die Nutzung von root unterbinden. Für alle anderen Aufgaben wie Automation, Mediacenter etc. sollte ein User benutzt werden, der kaum Rechte und Berechtigungen hat und logischerweise nicht zu den sudoers gehört.

  • Grundsätzlich sollte man den user pi, wenn man ihn dann lässt zum Administrieren nutzen und die Nutzung von root unterbinden.

    Naja, es gibt aber auch Anwendungen (auf einem unveränderten raspbian) bei denen man, für bestimmte Operationen root sein muss. Z. B.:

    Code
    pi@raspberrypi:~ $ sudo iptables-save > /etc/iptables/rules.v4
    -bash: /etc/iptables/rules.v4: Permission denied

    Mit "pi und sudo" geht das nicht.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • für bestimmte Operationen root sein muss.

    Nein. Mit den entsprechenden Systemkenntnissen gibt man dem Nutzer pi, die Berechtigung mit iptables zu arbeiten. Besser noch, man legt einen neuen Benutzer an, der nur iptables bearbeiten kann. Das wäre dann eine reine Umsetzung der UNIX-Philosophie.

  • Nein. Mit den entsprechenden Systemkenntnissen gibt man dem Nutzer pi, ...

    Ja, aber mit ging es um das _unveränderte_ raspbian (... das hier z. B. mit Windows verglichen wird), mit dem user pi und sudo, so wie das sofort nach der Installation zur Verfügung steht. Da kann man mit pi und sudo nicht Alles machen. Der maintainer von iptables-persistent hat das (warum auch immer) so vorgesehen. Evtl. gibt es auch noch andere Anwendungen, bei denen root benötigt wird.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Mit nem neuen raspbian kann man den Befehl nicht ausführen, da sudo nicht ausreicht.

    Das Herausforderung sind da aber die Grundkenntnisse in Linux, wobei wir hier auch auf dem Teppich bleiben sollten. Schließlich ist der Raspberry ein Lerncomputer und da darf man schon mal Fehler machen.

    Das Beispiel:

    pi@raspberrypi:~ $ sudo iptables-save > /etc/iptables/rules.v4

    sollte so auch nicht gemacht werden. Richtig wäre es, wenn es dann von user pi ausgeführt werden soll so:

    Code
    pi@raspberrypi: sudo bash -c "iptables-save > /etc/iptables.rules"

    Aber, und dass ist nicht böse gemeint, woher soll jemand das wissen, der vielleicht nicht täglich mit Linux arbeitet?

  • Es ist der einzige Weg, ein Linuxsystem vernünftig administrieren zu können.

    Da bin ich anderer Ansicht. Zumal ich prinzipiell nicht an "einzige Wege" glaube.

    Kein ernsthafter Systemadministrator kommt auf die Idee, ein System als root zu administrieren.

    Ich halte mich durchaus für einen "ernsthaften" Systemadministratoren und möchte auch hier widersprechen.

    Mit dem unveränderten Raspian kannst Du kein root sein.

    Bist Du da sicher? sudo -i sudo -s sudo /bin/bash

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!