[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: su aus util-linux in Sid

Marc Haber - 05.08.18, 17:06:
> On Sun, 05 Aug 2018 09:14:57 +0200, Martin Steigerwald
> 
> <martin@lichtvoll.de> wrote:
> >Aber mir geht bis heute auch nicht ein, wieso sudo das bessere
> >Werkzeug sein soll. Gerade da es standardmäßig das Benutzer-Passwort
> >abfragt. Hallo, so hat jemand der mein Benutzer-Passwort hat,
> >automatisch auch Root-Rechte auf meinem System. Geht´s noch? Das
> >wollte ich auch schon längst mal ändern, so dass sudo das
> >Root-Passwort abfragt.
> 
> Ein geteiltes Root-Passwort macht dessen Änderung schwierig bis
> unmöglich, je mehr Leute in dessen Besitzt sind. Man kann jetzt
> argumentieren, dass jemand mit physikalischem Zugriff auf die Kiste
> sie sowieso owned, aber im Besitz des Root-Passworts kommt man mit
> Zugriff auf der Konsole direkt zu root-Rechten.

Das ist mein Laptop. Da weiß genau eine Person das Root-Passwort und das 
bin ich. Aber ich weiß ja, dass lässt sich in sudo ändern, ich hab es 
nur noch nie gemacht.

> Auf meinen Systemen können sich die User, die über die Gruppe sudo per
> sudo root werden können, per ssh nicht mehr mit Passwort einloggen:
> |Match Group sudo
> |
> |  PasswordAuthentication no
> 
> Der direkte Root-Login per ssh ist abgeschaltet.

Meine Systeme erlauben grundsätzlich keine Authentifizierung per SSH via 
Passwort. Und ich habe den SSH-Zugriff auf Mitglieder einer bestimmten 
Gruppe beschränkt.

> Sprich, wer auf diesen Systemen per ssh root werden möchte, muss ich
> zuerst per ssh-Key als normaler User einloggen und dann per sudo mit
> dem Benutzerpasswort root werden. Auf diese Weise kann man
> Benutzerrechte und Root-Rechte für jede Person einzeln widerrufen, und
> wen jemand root wird, hinterlässt er Logeinträge, dass er root
> geworden ist.

Ist auch alles schön und gut so. Und bei sudo kann ich das ja auch 
selbst entscheiden, wie ich das machen möchte. Da gibt es einfach 
unterschiedliche Szenarien. Und ja, ich hab sehr von meiner Situation 
auf dem Laptop her gedacht und nicht an dieses Modell.

Ja, es gibt Situationen, wo das Sinn macht, das sehe ich durch Deine 
Erläuterungen nun auch wieder.

> >Bislang habe ich nirgendwo eine *schlüssige* Erklärung gesehen, warum
> >das so besser sein soll. Vielleicht ist es das ja tatsächlich, aber
> >ohne Gründe, die ich selbst nachvollziehen kann, sehe ich nicht ein,
> >mein Skript so umzubauen, damit es in der neuen Linux-Welt
> >funktioniert.
> Vielleicht konnte ich Dir diese Erklärung ja jetzt liefern.

Für das Standardverhalten von sudo, ja. Warum "su" schlecht sei, wenn 
ich es auf meinem Laptop für den beschriebenen Zweck einsetze, nein.

> Im Gegenzug könntest Du mir erklären, warum es in so vielen
> Enterprise-Linux-Unternehmen so ist, dass man als User in der
> richtigen Gruppe per sudo ganz ohne ohne Passwort root werden kann.

Ich hab das auch bei einer Workstation eines Kollegen vor langer Zeit 
mal so gesehen. Ich hab das nie so eingerichtet und würde das auch nicht 
machen. Nein, ich weiß nicht, warum das in so vielen Enterprise-Linux-
Unternehmen so ist. Ich weiß nicht mal, ob es in so vielen Enterprise-
Linux-Unternehmen so ist.

Ciao,
-- 
Martin
Reply to: