Raspbian Konfigurationsscript - Sicherheit & Schutz

  • ch bin mir nicht sicher ob ich alles Verstanden habe also bitte korrigiert mich allenfalls.

    Was ist, wenn *wir* auch was nicht verstanden haben, oder jemand, der es verstanden hat, liest hier gar nicht mit.... überlässt Du dann diesen Sicherheitsaspekt dem Umstand, die Wirksamkeit in allen Nebenaspekten faktisch nicht kontrollieren oder bestätigen zu können, also quasi dem Zufall?


    Was ist mit dem Polkit, welches unabhängig von den Einträgen in der sudoers die in der Gruppe "sudo" befindlichen User zu "allem" autorisiert? Wie fängst Du das ab? Mir kommt das jetzt so vor, als versuchst Du angestrengt eine Klappbox mit Folie zu bekleben, damit unter Wasser kein Wasser eindringt. Tja... wie sagt der Klemptner noch...?... "Wasser sucht sich immer einen Weg".

    Das gehört zum Script weil ich damit ja die entsprechend passenden Rechte für den Nutzer einrichten möchte.

    Ein neu angelegter User hat völlig automatisch die passenden Rechte.... und zwar als User... da ist überhaupt nicht notwendig irgend etwas zu verändern. Es sei denn er wäre vielleicht gewissen Gruppen hinzufügen, wie lpadmin, damit er die Druckerwarteschlange bearbeiten darf... oder der NAS-Gruppe, wenn seine persönlichen Freigaben gemountet werden sollen.... also klassische User-Probleme, mit denen jedoch nicht das System an sich verändert werden kann.

    Edited once, last by WinterUnit16246 ().

  • Was ist, wenn *wir* auch was nicht verstanden haben, oder jemand, der es verstanden hat, liest hier gar nicht mit.... überlässt Du dann diesen Sicherheitsaspekt dem Umstand, die Wirksamkeit in allen Nebenaspekten faktisch nicht kontrollieren oder bestätigen zu können, also quasi dem Zufall?

    Welche Antwort erwartest du hier genau? Ohne dich angreiffen zu wollen aber diese schnippigkeit ist nicht besonders hilfreich... Ich habe nicht das Gefühl dass es an einem Nachweis fehlt dass ich mir Mühe gebe mich in dieses Thema einzulesen und Antworten auf meine Fragen auch selber zu suchen. Dass sich nicht jeder auf deinem Niveau über dieses Thema auskennt ist unteranderem ein Grund warum solche Foren existieren oder nicht? Kann auch sein dass ich deine Fokussiertheit auf dieses Thema einfach falsch auffasse aber wie gesagt mit solchen Antworten führt das doch für beide Seiten nirgendwo weiter?

    Ich suche nicht nach einer fertigen Lösung sondern nach dem Weg dahin ;)

    Edited once, last by Apop85 ().

  • aber diese schnippigkeit ist nicht besonders hilfreich.

    Nun, dann hast Du das völlig missverstanden. Ich bin überhaupt nicht schnippisch... im Gegenteil, ich bin innerlich in jeder Hinsicht völlig sachlich orientiert. Nur dachte ich, man könne auf Prosa verzichten und kurz knapp argumentieren und darstellen, was man dazu denkt. Das sind also nur die Fragen, die mir durch den Kopf gingen, als ich das gelesen habe. Und davon völlig unberührt, ich will niemanden bekehren oder missionieren... und versuche mich nur auf relativ übersichtliche konkrete Aussagen/Argumente/Fakten zu beschränken.


    Fakt ist, wenn Du die Einrichtung der sudoers nicht umfassend verstanden hast, und auch nicht die mögiche Interaktion mit dem Polkit unterbinden kannst, sind alle Einstellungen zufallsbasiert... also hinsichtlich der Frage, ob sie wirklich wirken oder nicht. Auf was anderes wollte ich nicht hinweisen. Das sind einfach nur die Fakten. Und ich denke, dass man die sudoers nicht mal eben im Vorbeigehen oder durch Überfliegen der man-page versteht... wenn man nicht die eigentlich Intention der sudoers dabei außer Acht lässt und den kleinen Umstand, dass sudo entwickelt wurde, als noch keine Mensch an das Polkit gedacht hat... was aber heute auf allen Systemen die Realität ist.


    Ich würde auf einem Server wahrscheinlich das Polkit entfernen, wenn ich Sub-Admins hätte und denen via sudo selektive Ergänzungs-Rechte einräumen wollte. Und ich würde heute sudo entfernen, wenn ich auf einem Desktop-PC dem User selektive Zusatz-Rechte mit dem Polkit einräumen möchte. Beides zusammen erbringt aber möglicherweise aufgrund von Wechselwirkungen evtl. Ergebnisse, die vielleicht gar nicht in meinem Sinne sind oder meine mühsam an der einen Stelle aufgebaute Sicherheit wieder infrage stellen. Und da meine ich, wenn man sich über Sicherheit und Rechte Gedanken macht, sollte man das berücksichtigen.


    Ich selber nutze heute aus Überzeugung nur noch das Polkit... sowohl auf Server, als auch auf allen Client-Systemen. Einfach deshalb, weil es in jeder Hinsicht die modernere Alternative ist.

    Edited once, last by WinterUnit16246 ().

  • Dann hab ich das fehlinterpretiert. Sorry dafür. Aber ja wenn möglich auf prosa verzichten ^^ das Thema hat so schon eine steile Lernkurve.


    Dass ich das Thema nicht wirklich verstanden habe bzw nur die Grundlagen ist mir auch bewusst. Dass ich nicht innert 24h zum Profi darin werde ist auch klar. Aber Finger weg ändert den Wissensstand leider nicht. Daher probiere ich vieles mit learning-by-doing aus weswegen ich mir den Raspberry u.a. zugelegt habe. Auch ist mir klar dass es kaum möglich ist dieses Spezielle Thema mit learning-by-doing anzueignen da das OS die conf wahrscheinlich schlucken und anwenden würde... nur ob sie richtig konfiguriert ist oder nicht würde ich dann nur im eventuellen Worstcase feststellen. Daher frage ich ja :) nehme auch gerne Quellen entgegen falls dir diesbezüglich etwas bekannt ist. Du hast halt für jeder deiner Punkte eigentlich die Lösung schon mit dabei nur in diesem Thema lässt du die Leser im dunkeln und anhand deiner Schreibweise würde ich sagen du richtest dich nicht nur an IT-Fachleute die dann gleich wissen was wie wo zu tun ist :) .


    und das genannte Beispiel mit %sudo ALL(ALL:ALL) ALL ist übrigens nicht mein Vorschlag sondern das was Raspbian und Ubuntu (VM) als Standardeintrag drin haben ^^ Also bisschen was hab ich schon mitgekriegt ;). Ich gehe ja bei meinem Script immer von einem frisch installierten unberührten OS aus. Die manpage lasse ich mal vorerst beiseite und mache mit Polkit weiter.


    Und wie du schon selber sagst ist die man page von sudoers nicht grad sehr verständlich bzw der Aufbau etwas kryptisch. Wie bsp. das mit shanty. Das kommt an 2 Stellen in der manpage vor wird aber nirgends erklärt ob das ein Beispiel oder ein benötigter Eintrag ist und auch google gibt mit meinen Versuchen nichts darüber aus.

    Ich suche nicht nach einer fertigen Lösung sondern nach dem Weg dahin ;)

    Edited 3 times, last by Apop85 ().

  • Ich bin mir nicht sicher ob ich alles Verstanden habe also bitte korrigiert mich allenfalls.



    Reicht das so aus oder fehlt noch was?

    Ich weiß nicht wirklich, was Du erreichen willsr.


    Grundsätzlich gilt aber der Hinweis in /etc/sudoers in den ersten Zeilen.

    Das ist ein sudoers File eines R. Stretch lite (und von mir als grosszügig bezeichnet.



    Servus !)

    RTFM = Read The Factory Manual, oder so

  • Aber Finger weg ändert den Wissensstand leider nicht.

    Darum geht es doch gar nicht.... mir geht es darum, dass sudo als Werkzeug völlig zweckentfremdet für eine Aufgabe eingesetzt werden soll, für die es gar nicht gedacht war. sudo hatte historisch gesehen nie die Aufgabe, einem User vollständige root-Rechte zu ermöglichen, sondern nur den Zweck, einem User einen einzelnen bestimmten Programm-Start mit höheren Rechten zu erlauben, damit er eben KEINE root-Rechte erhalten muss. Das, worüber wir uns jetzt hier unterhalten, basiert auf eine gravierende Design-Fehlentscheidung aus dem Hause Canonical... diesen Mist haben wir Ubuntu zu verdanken. Es ändert aber nichts daran, dass sudo zweckfremd eingesetzt wird, wenn der User damit vollständige root-Rechte erlangen kann. Das ist imho völlig ok, wenn jemand das weiss, die Tragweite kennt und die Risiken handhaben kann. Das ist aber nicht ok, wenn es einen lernenden davon abhält, die meiner Meinung nach richtigen Entscheidungen zu treffen.

    ...nur in diesem Thema lässt du die Leser im dunkeln

    Welches Thema genau meinst Du? Irgendwie habe ich jetzt den Faden verloren.....

    ich mal vorerst beiseite und mache mit Polkit weiter

    Das halte ich persönlich für eine sehr gute Entscheidung. Wenn Du da fragen hast... das kriegen wir hin......

  • Ja das mit dem Sudo hab ich verstanden. Heisst mit dem Polkit brauchts die sudoer Datei nicht mehr? Du hast da nur geschrieben dass Sudo und Polkit Wechselwirkungen aufweisen. Das würde erklären warum wir grad bei dem Thema hängen bleiben :)

    Welches Thema genau meinst Du? Irgendwie habe ich jetzt den Faden verloren.....

    Kein Problem :) . Damit meinte ich eben das mit der Rechteverteilung. Bei den meisten Punkten hast du angefügt editiere Eintrag in Datei blah um dieses Problem zu lösen nur irgendwie beim Thema Rechtemanagement bzw konfiguration Polkit bleibt es etwas diffus wie die Lösung aussehen könnte, ausser du bist in den vorhergehenden Punkten näher darauf eingegangen, ich bin leider noch nicht dazu gekommen alles zu lesen.


    Gemeint ist diese Aussage:

    Code
    Lösung: Explizite Polkit-Rules für einzelne Befehle und bei Bedarf ergänzende individuelle PKLA-Berechtigungen

    Zumindest bei meinem Grundwissen in Relation mit diesem umfangreichen Thema ist die Aussage etwas Knapp als dass ich direkt wüsste wie ich das umzusetzen habe oder wo ich nachschauen könnte um mich in dieses Thema einzulesen. Die Aussage "keine Antwort" von mir ist zugegeben etwas überrissen.


    Dieses Thema geht halt davon aus dass der Leser weiss wie er dieses Ziel erreicht während er bei den anderen Punkte angeleitet wird oder du sogar sehr genau den Lösungsansatz erklärst.


    Das Polkitmanual hab ich mal durchgelesen. Ist ja noch übersichtlich im Vergleich (zumindest die Onlineversion davon). Werde mich Morgen mal ranwagen aber langsam bin ich schon müde und für das Thema brauch ich Konzentration.

    Ich suche nicht nach einer fertigen Lösung sondern nach dem Weg dahin ;)

    Edited 3 times, last by Apop85 ().

  • Du hast da nur geschrieben dass Sudo und Polkit Wechselwirkungen aufweisen.

    Ja, weil es nicht unüblich ist, auch mit dem polkit die Gruppe "sudo" zu verwenden, das Polkit beachtet aber nicht mögliche Einschränkungen in der sudoers.

    konfiguration Polkit bleibt es etwas diffus wie die Lösung aussehen könnte

    Nein, das ist nicht diffus, das ist schlichtweg ein eigenes Thema. Wenn ich mich mit dem Paketfilter befasse, hat das nichts mit dem Polkit zu tun. Und wenn ich mich mit dem Polkit befasse, hat das nichts mit meinem Tool 'mountctl' zu tun, obwohl es zwischen allen 3 Querverbindungen gibt. Und man muss jedes Kapitel für sich behandeln und verstehen.

    wo ich nachschauen könnte um mich in dieses Thema einzulesen.

    Das hatte ich schon vor Jahren beschrieben, sogar hier im Forum: Polkit. Hierbei gibt es jetzt nur ein Problem, ich weiss im Moment noch nicht, ob Debian die PKLA-Files beibehalten wird oder ob unter Buster jetzt endlich auch das XML-Format genutzt wird.... was ich schon seit Jahren vermisse. Mit Beginn der Freeze-Phase werde ich jetzt aber den Umbau aller unserer System in Angriff nehmen.

    Die Aussage "keine Antwort" von mir ist zugegeben etwas überrissen

    Ja, stimmt... aber in einem anderen Forum, in dem ich stiller Mitleser bin, habe ich eine interessante Meinung eines dortigen Mitglieds gelesen... i.ü.S:. " Wenn ich meine, jemand ist schnippisch oder agiert überzogen, dann steige ich da nicht drauf ein, sondern reagiere stattdessen sogar extra freundlich. So gut wie immer wird dann der ganze Thread wieder freundlich". Deswegen habe ich darauf gar nicht reagiert....(allenfalls jetzt ein bisschen indirekt *fg*)


    Dieses Thema geht halt davon aus dass der Leser weiss wie er dieses Ziel erreicht während er bei den anderen Punkte angeleitet wird oder du sogar sehr genau den Lösungsansatz erklärst.

    Ja, stimmt, weil es unmöglich ist, bei einem Thema auch noch alle Randaspekte zu beschreiben. BTW, in fast allen meiner Download-Projekte sind die Polkit-Regeln dabei. Die Zusammenhänge muss man sich aber selber anlesen. Ich muss mal abwarten/gucken, wie das jetzt in Buster geregelt ist. Möglicherweise werde ich den alten Artikel noch mal überarbeiten und darauf querverweisen.