Die Sudo Diskussion

  • Also kann ich aus dieser Diskussion schließen, dass dieser Punkt hier falsch dargestellt wird?!

    Dort heißt es ja wiederrum, dass "root" kein Passwort vergeben werden soll.


    Für einen Linuxneuling ist sowas echt schwer sich in sowas reinzufinden! So viele widersprüchliche Aussagen, wie soll man dann wissen nach was man sich richten sollte.

  • Wie wäre es mit einem Leitfaden der erstellt wird - ähnlich dem "Wie frage ich um Hilfe" Thread. In diesem Thread wird über die richtige Verwendung von sudo aufgeklärt und anhand praktischer Beispiele näher erläutert

    Tja ...

    prinzipiell eine gute Idee ... aber: ich fürchte, dass das die meisten Einsteiger/Umsteiger in die Linux-Welt nicht weiter interessiert.

    Also ich wäre daran interssiert ;)

  • Ob root ein Passwort bekommt oder nicht und ob und wie sudo eingerichtet wird hängt IMMER vom konkreten Einsatzszenario ab.


    Insofern ist die Diskussion hier größtenteils überflüssig was den Teil betrifft , ob oder ob nicht und wer dran schuld ist.


    Linux ist nun mal ein sehr offenes System einerseits und lässt dem wissenden User sehr viel Freiheiten, zu tun oder zu lassen, was er möchte.

    Im Gegensatz zu restrictiven OS, die einerseits versuchen, das System zu verrammeln und andererseits das Abnicken mit Administratorrechten "klick-einfach" und gefährlich machen.


    Der RasPi ist insofern ein Sonderfall, als das er als lokales System konzipiert wurde. Was natürlich einen Einsatz mit Internet-Anbindung nicht ausschließt, aber eben dann eine sicherere Konfiguration notwendig macht als per default mitgegeben wird.


    Und:
    Einer bestimmten Distribution hier eine besondere "Schuld" zuschieben zu wollen ist vollkommen daneben:
    Ubuntu vergibt bei der Installation m.W. per default KEIN root PW sondern trägt den erst-eingerichteten User in die sudoers ein mit vollem sudo Zugriff.

    Was der dann draus macht liegt in seiner Verantwortung.


    Anders als Windows wird ein gewisses Wissen vorrausgesetzt, wenn man eine Linux-Maschine administrieren will, ist bei Windows nicht anders, aber eben anders...

  • Ich nenne die Bastler mal Nutzer mit Administrationsanteil. Ein "richtiger" Systemadministrator wird jahrelang auf dem System ausgebildet, welches er letztlich administrieren soll. Mal kurz erfolgreich eine Anleitung zum Einrichten eines Webservers zu befolgen macht ja noch keinen Administrator aus. Grundsätzlich sollte ein Administrator nicht gleichzeitig Nutzer sein, aber was soll man machen, wenn man einen Rechner mit Linux zu Hause stehen hat

    Ich glaub inzwischen wird in Firmen bei Administratoren auch mächtig gespart. Das jammern, wenn was schief läuft ist dann groß.


    Im Prinzip ist die sudo-Diskussion ja ganz amüsant und man hört auch andere Meinungen und Interpretationen. Ergebnisse soll die ja auch nicht bringen, oder?

  • Ubuntu vergibt bei der Installation m.W. per default KEIN root PW sondern trägt den erst-eingerichteten User in die sudoers ein mit vollem sudo Zugriff.

    Das war einer der Fakten, auf die ich auch hingewiesen haben. Weitere Fakten, auf die ich ebenfalls hingewiesen habe, sind der eigentliche (siehe historische Intention) Verwendungszweck von '"sudo", dem z.B. die firmentauglichen Distributionen folgen, wie Debian und Fedora und die tatsächlich vorliegende missbräuchliche Verwendung, die von Ubuntu eingeführt wurde ... wobei man sich dabei anscheinend ein wenig am privaten Windows-Heim-PC-User-Admin orientiert hat. Fahrlässigerweise wurde dabei der stetig steigende kriminelle Druck im Ökosystem "Internet" schlichtweg unterschätzt oder ignoriert, und auch die Tatsache, dass Linux selber über ein deutlich schwächeres Immunsystem verfügt, als zum Beispiel das durch kriminelle Attacken langjährig geschulte Windows. Und ein tatsächlich bestehender Umstand ist, dass ein System mit vollumfänglicher "sudo"-Berechtigung für den Normalanwender mit einem schlichten Bash-echo-Befehl und ein wenig Geduld durch wirklich jede Anwendung, AddOn, Plugin gekapert und komplett übernommen werden kann. Was hat das noch mit Sicherheit zu tun?


    Einer bestimmten Distribution hier eine besondere "Schuld" zuschieben zu wollen ist vollkommen daneben:

    Wenn diese o.g. Fakten daneben sind, dann halte ich es für angebracht, dass Du sie nachprüfbar widerlegst. Und vielleicht ist es auch sinnvoll, wenn Du von "Schuld zuschieben" sprichst, auch einmal zwischen Fakten und Meinung zu unterscheiden. Wie gesagt, die Fakten oben warten auf Deine Widerlegung.


    Meine Meinung muss nicht widerlegt werden, ist ja nur meine Meinung.... und ich meine, dass ich jedem, der mich heute nach einem sicheren Betriebssystem als Ersatz für Windows fragt, rigoros von Ubuntu und Mint abrate. Mit der üblichen Community-Praxis, auch mal ganz locker mit (teilweise anonymen) Dritt-PPAs umzugehen oder chinesische oder russische unfreie Software zu empfehlen, gibt man in Verbindung mit "sudo" jedwede Sicherheit völlig aus der Hand. Online-Banking direkt oder mit einer Banking-Software mit einem Ubuntu oder Mint ist für mich jedenfalls ein absolutes NoGo. Wenn ich ein regulär erworbenes Original-Windows hätte und ausschließlich regulär erworbene Anwendungssoftware verwenden würde, würde ich eher Windows für Online-Banking nutzen, als Ubuntu und Mint. Aber das ist nur meine Meinung.... muss jeder selber wissen, wie er das handhabt... und die muss natürlich nicht widerlegt werden.

  • Linux ist nun mal ein sehr offenes System einerseits und lässt dem wissenden User sehr viel Freiheiten, zu tun oder zu lassen, was er möchte.

    Das ist genau das, was ich mit schlechterem Immunsystem meine. Man kann Linux-OS in einem Maße abschließen, wie das mit Windows kaum möglich ist. Und genau so kann man es in einem Maße aufschließen, dass es einem Buddeln im Beet mit offenem Kratzer vom Rosenstrauch enstpricht, und in diesem Beet hausen auch Mäuse.... junge,junge, was habe ich mir da eine Infektion eingefangen..... <X... und genau als solche Situation betrachte ich diese für mich total zweifelhafte sudo-Anwendung, wenn damit aus dem Normal-Andwender einen System-Admin gemacht wird. Es geht solange gut, wie es gut geht. Aber wenn es wirklich mal zu diesem Virendruck kommt, gehts rasend schnell bergab.

    Grundsätzlich sollte ein Administrator nicht gleichzeitig Nutzer sein, aber was soll man machen, wenn man einen Rechner mit Linux zu Hause stehen hat

    Ich habe um die 15 Linux-Rechner/Installationen zuhause.... und ich glaube, dass es ein paar ganz einfache Regeln gibt, die die Sicherheit dieser Clients massiv erhöhen, ohne dass sie meinen Aufwand bei der Client-Administration unangemessen erhöhen:


    1. Kein Anwender (auch ich nicht!!!) hat das Recht, Änderungen am System vorzunehmen

    2. Kein Anwender kann Software installieren und starten, nicht mal in seinem Homedir (auch ich nicht)

    3. Keine per default angelegten User im System, die auch noch mit Default-PWD eingerichtet sind (z.B. User pi)

    4. Keine Anmeldung als root per SSH

    5. Kein Anwender (außer mir) kennt das root-Password der Client-PCs

    6. Kein Anwender hat Rechte, die über sein Homedir hinausgehen

    7. Kein Anwender kann sich unter seiner UID oder unter Verwendung seines PWD weitergehende Rechte aneignen

    8. Alle Zusatzrechte für Anwender sind rigoros über das Policykit geregelt

    9. Allen Non-User-Client-Geräten ist der Zugriff aufs Internet verboten (Server, Cams, TV, Drucker, etc.)

    10. Zugang von außen nur über OpenVPN

    11. Zugang nach draußen auf einigen Geräte via Paketfilter reguliert.

    Edited once, last by WinterUnit16246 ().

  • Wenn diese o.g. Fakten daneben sind, dann halte ich es für angebracht, dass Du sie nachprüfbar widerlegst. Und vielleicht ist es auch sinnvoll, wenn Du von "Schuld zuschieben" sprichst, auch einmal zwischen Fakten und Meinung zu unterscheiden. Wie gesagt, die Fakten oben warten auf Deine Widerlegung.

    ?? (Nun wisch dir mal den Schaum vom Mund und komm wieder runter) :lol::lol:

    Ich werde meine knappe Freizeit nicht mit solchen sinnlosen Diskussionen verbringen: Du hast eine zementierte Meinung und gut.

    Lassen wir es einfach dabei. :angel:


    Ich habe viele Jahre mit einer RedHat-Clusteranwendung im Mobilfunk-Backbone zu tun gehabt, auch dieses Linux haben wir extra 'härten' müssen.


    Und wie ich schon geschrieben habe: Die Standard/Default-Auslieferung (irgend)einer Distribution als (Un)Maßstab für die Sicherheit heran zu ziehen, halte ich für falsch bzw. nicht zielführend - Gründe hab ich oben (bzgl. Rasbian/RasPi) kurz angeführt.


    Dass der 1. User (konkret bei Ubuntu/Debian) sudo-Rechte zugewiesen bekommt ist der Tatsache geschuldet, dass davon ausgegangen wird, dass dieser User (der "Einrichter") natürlich zum weiteren Konfigurieren der Maschine administrativ tätig werden muss.

    Jeder weitere User, der normal eingerichtet wird, kann nicht mal sudo aufrufen (bzw. kann damit nix anfangen - kein Eintrag in der sudoers).

    Ich habe um die 15 Linux-Rechner/Installationen zuhause.... und ich glaube, dass es ein paar ganz einfache Regeln gibt, die die Sicherheit dieser Clients massiv erhöhen, ohne dass sie meinen Aufwand bei der Client-Administration unangemessen erhöhen:

    Kann ich toppen (17: nicht nur Rasbian, auch Ubuntu, Debian, VMX ... ein bunter Reigen, mal Hardware (PCs, Laptops, Mini-Server), mal VMs), aber darum geht es gar nicht.


    Deine Regeln sind ja als Anhaltspunkt ok (nicht perfekt), die könnte man noch diskutieren/modifizieren und ggf. mal hier irgendwo anpinnen oder in einen Guide "Wie mache ich mein Linux-System sicherer" einkippen:


    Anmerkungen zu deinen Regeln:

    Regel 2):

    macht den Rechner für User unbrauchbar (wenn er nix starten kann, kann er das Gerät nicht verwenden)

    (Falls du damit meinst: Er holt sich SW, installiert diese und kann sie dann verwenden, ist das eine Einschränkung, welche auch noch sehr schwerwiegend sein kann, da damit der reguläre User extrem eingeschränkt ist.

    SW, welche keine root-Rechte benötigt und im Home-Verzeichnis des Anwenders läuft, halte ich für ausreichend zulässig. Updates werden allerdings dann schwierig, siehe Regel 9)


    Regel 6):

    Der Normalfall (auch z.B. bei RedHat) ist, dass z.B. zumindest die Log-Files von any gelesen werden können.

    Wenn du diese Regel durchziehen willst, musst du massiv ins System eingreifen... mit Nebenwirkungen => macht man nur in Ausnahmefällen (Firmen).


    Dazu kommt, dass du dann zum Zweck einfachster Systemanalysen (unnötigerweise) wieder als root agieren musst.. und das ist dann sicherer ???


    Regel 9):

    Wir kommen thematisch sicherlich zusammen, dass das Einspielen von (Sicherheits)Updates notwendig ist.

    Das Bereithalten und die Pflege eines lokalen Spiegelservers für die entsprechenden Repositories kann sich eine Firma leisten (Arbeits- und Ressorcenintensiv), im HOME-Bereich ist das eher die Ausnahme.

    (Ich hatte das mal begonnen, aber bei den bei mir so unterschiedlichen OS-Distributionen und -Versionen war mir das dann irgendwann zu viel).

  • ?? (Nun wisch dir mal den Schaum vom Mund und komm wieder runter)

    Was soll das? :conf: Wieso unterstellst Du mir einen Gemütszustand, der überhaupt nix mit meiner Wirklichkeit zu tun hat? Ich bin immer entspannt, weil es wirklich überhaupt keinen sinnvollen Grund geben kann, sich wegen eines unbekanten Internet-Kontaktes aufzuregen und inneren Groll zu erzeugen. Ich empfinde es nur als echt schlechten Diskussionsstil, eine Meinung einfach als "total daneben" zu diffamieren, ohne auch nur den Hauch eines Versuchs zu unternehmen, mit sachlichen Argumenten zu diskutieren.


    Außerdem habe ich keine zementierte Meinung ... das ist die zweite unsachliche Unterstellung... weil ich der Überzeugung bin, wer eine zementierte Meinung hat, hat aufgehört zu lernen, oder hält lernen nicht mehr für notwendig, oder glaubt, er wisse alles. Ich habe lediglich eine eigene Meinung basierend auf meinem aktuellen sachlichen Kenntnisstand gebildet. Wenn jemand größere Sachkenntnisse hat und mich von der Richtigkeit überzeugen kann, schmeiss ich meine Meinung in die Ecke und lerne mit Freuden weiter dazu.

    Dass der 1. User (konkret bei Ubuntu/Debian) sudo-Rechte zugewiesen bekommt ist der Tatsache geschuldet, dass davon ausgegangen wird, dass dieser User (der "Einrichter") natürlich zum weiteren Konfigurieren der Maschine administrativ tätig werden muss.

    Was Debian angeht ist diese Aussage falsch. Bei Debian ist das Paket "sudo" zwar installiert, aber Debian ist grundsätzlich so ausgestaltet, dass sudo überhaupt nicht verwendet werden muss. Sowohl die /etc/sudoers alo auch die Mitglieder der Gruppe "sudo" müssen grundsätzlich manuell von root nachträglich eingerichtet werden, sofern man nicht vorsätzlich und bewusst den vom Installer vorgegebenen Default-Pfad verlassen hat.


    macht den Rechner für User unbrauchbar (wenn er nix starten kann, kann er das Gerät nicht verwenden)

    Nein, das stand da nicht... da stand "installieren und starten". Meine Anwender können auf regulären Weg mit dem üblichen Anwender-Nicht-Wissen keine Apps starten, die nicht vor mir installiert sind. Das funktioniert seit etlichen Jahren problemlos. Natürlich gibt es Wege und Möglichkeiten, das zu umgehen... aber diese Wege sind denen nicht bekannt.


    Der Normalfall (auch z.B. bei RedHat) ist, dass z.B. zumindest die Log-Files von any gelesen werden können.

    Wenn du diese Regel durchziehen willst, musst du massiv ins System eingreifen... mit Nebenwirkungen => macht man nur in Ausnahmefällen (Firmen).

    Ich weiss jetzt nicht genau, was Du meinst... aber offensichtlich was anderes, als ich. Mit "nur das eigene Homedir" meine ich natürlich die Erlaubnis Dateien erstellen oder verändern zu dürfen... und das geht nur im eigenen Homedir. Lesen dürfen sie natürlich im Rahmen dessen, was der Installer per default erlaubt und verbietet. Und soweit es die Logs angeht, ist "apt purge rsyslog" einer der ersten Befehle nach der Installation. systemd-journald ist entsprechend konfiguriert, dass die User dürfen, was sie müssen.

    Dazu kommt, dass du dann zum Zweck einfachster Systemanalysen (unnötigerweise) wieder als root agieren musst.. und das ist dann sicherer ???

    Wenn ich auf einem Client Dinge tun muss, die Aufgabe eines Admins sind, dann halte ich das für deutlich sicherer, wenn ich mich via SSH und Keyfile-Login auf diesem Client als "ich" anmelde und dann dort erst in den root-Account wechsel, als wenn ich auf der Maschine ein sudo-statement verwenden würde... welches dann auch noch so in meiner History steht. Ja, als root himself zu agieren halte ich für erheblich sicherer, weil ich damit gewährleisten kann, dass niemand anderes etwas getan hat, was ich vielleicht nicht gutheisse.... davon bin ich überzeugt, davon hat mich der Debian-Way mit stichhaltigen Argumenten und Sichtweisen überzeugt. Und das root-Password für die Clients ist ein abgefahrenes Password, was hier niemanden bekannt ist. Die Verwendung des root-Account hat hier immer nur das Ziel und die Ausschließlichkeit, wirklich nur Customizing-Dinge zu tun, die genau diese Berechtigung erfordern. Strikte Trennung ist die Devise, kein Mischmasch mit Berechtigungen zwischen Usern und root, die wirklich nur für unübersichtlichen Mischmasch sorgen. Meine History enthält nur meinen banalen Kram, die root-History enthält überhaupt keinen banalen Kram, sondern nur Wartungs-Statements.


    Wir kommen thematisch sicherlich zusammen, dass das Einspielen von (Sicherheits)Updates notwendig ist.

    Das machen bei mir nicht die Anwender, das läuft im 3 oder 5-Tage-Zyklus auf allen Clients automatisch ab.

  • Unterstellst Du gerade allen, die Deine Meinung zu sudo nicht teilen, Inkompetenz, oder verstehe ich Deinen Post da falsch?

    Falls du mich meinst, hast du mich aber mächtig falsch verstanden. Das sollte eigentlich eher Zustimmung zu den vielen Meinungen sein. Aber wie heißt es so schön, der Empfänger macht die Botschaft!


    Ich arbeite übrigens in einer gemischeten Landschaft, ehrlich gesagt müsste ich die Server mal zählen. Bei den Clients sind die meisten aber Windows, wegen ein paar Zertifizierungen, die bisher keine Linuxdistro liefern kann oder will. Es waren mal knapp 100. Inzwischen zähle ich nicht mehr und einiges wurde auch outgesourcet (heißt das so?!). Na jedenfalls darf bei mir kein Nutzer überhaupt irgendwas, außer nutzen!

  • Ich habe um die 15 Linux-Rechner/Installationen zuhause....

    Wenn ich 15 Linux Rechner im selben Netz zu verwalten hätte, käme kein user local auf einem pi rein. (sonder nur über einen Autentifizierungs-Server LDAP/389)


    Damit wäre auch die Frage der Softwareupdates geklärt.



    Die übliche Haushaltsausstattung ist allerdinhs 1 - 2 Windows-Home PC/Lapt. und 1 - 2 Pi, und für solche Linux User muss es irgendeine root Möglichkeit geben. Ob mit root-Login, sudo, eingeschränktem sudo, oder acl, ist letzendlich eine Frage, wieweit Linux kastriert werden muss, damit Windows-Home user mit dem (wesentlich mächtigerem) Linux noch halbwegs klarkommen.


    Und dann kommt noch etwas dazu, was ich Pisa-Dilemma nennen würde, das ist im Web 2.0 IMHO das grössere Problem.



    Servus !

    RTFM = Read The Factory Manual, oder so

  • Falls du mich meinst, hast du mich aber mächtig falsch verstanden. Das sollte eigentlich eher Zustimmung zu den vielen Meinungen sein. Aber wie heißt es so schön, der Empfänger macht die Botschaft!

    Eben deswegen habe ich ja nachgefragt. Die Gegenüberstellung von "Bastlern" und "richtigen Administratoren" in Kombination mit der Bemerkung über das Sparen in Firmen klangen für mich eben ein bißchen nach "die haben halt alle keine Ahnung". Es freut mich, daß ich das falsch verstanden habe. :)

  • Die übliche Haushaltsausstattung ist allerdinhs 1 - 2 Windows-Home PC/Lapt. und 1 - 2 Pi, und für solche Linux User muss es irgendeine root Möglichkeit geben. Ob mit root-Login, sudo, eingeschränktem sudo, oder acl, ist letzendlich eine Frage, wieweit Linux kastriert werden muss, damit Windows-Home user mit dem (wesentlich mächtigerem) Linux noch halbwegs klarkommen.

    Das ist bei uns anders.... bei uns gibts (bis auf den Zocker-PC vom Junior) keine Windows-PCs. Und dieser eine W10-Rechner hat keinen Zugriff auf unsere lokalen Netzwerk-Ressourcen, der darf nur raus ins Internet. Will der Junior auf den Server und dort auf seine Daten zugreifen, bootet er Debian.... und Debian ist bei uns auf allen Clients installiert. Mit anderen Worten, wird sind MS-Frei.... ^^