| View previous topic :: View next topic |
| Author |
Message |
tekknokrat
Apprentice
Joined: 17 Apr 2005
Posts: 278
Location: Magdeburg
|
 Posted: Thu Dec 07, 2006 1:51 pm Post subject: sudo mit root password |
 |
|
wie lautet die sudoer config wenn ich einem user die root rechte geben will und er diese gegen das root-pw authentifizieren soll.
klingt vielleicht unlogisch aber für mich muss der user im besitz des root passwortes sein um spielchen machen zu können.
geht das überhaupt oder muss man da zuviel umbiegen? kann man dann auch pw-cache realisieren? |
|
| Back to top |
|
 |
dertobi123
Retired Dev
Joined: 19 Nov 2002
Posts: 2679
Location: Oberhausen, Germany
|
| Posted: Thu Dec 07, 2006 2:04 pm Post subject: |
|
|
| Wozu sudo wenn der Nutzer eh das root-Kennwort bekommen soll? Um das zu vermeiden nutzt man gewöhnlicherweise sudo. |
|
| Back to top |
|
|
tekknokrat
Apprentice
Joined: 17 Apr 2005
Posts: 278
Location: Magdeburg
|
| Posted: Thu Dec 07, 2006 2:15 pm Post subject: |
|
|
hm, ist halt ansichtssache ich benutze sonst immer su um nur in admin fällen root rechte zu bekommen.
Ich finde es sicherer, dass nur die user (bis jetzt nur ich) etwas an meinem rechner machen sollten, die dass root pw kennen.
Ich habs jetzt auch schon herausgefunden und so konfiguriert wie es mit "su" auch angedacht ist.
Alle user der gruppe wheel können mit sudo und kenntniss des root pw's auf root switchen. wenns wirklich mal längere root orgien werden greif ich einfach wieder auf su zurück.
sudoers mit visudo bearbeiten:
| Code: |
Defaults env_reset
Defaults authenticate
Defaults rootpw
%wheel ALL=(ALL) ALL
|
|
|
| Back to top |
|
|
Knieper
l33t
Joined: 10 Nov 2005
Posts: 846
|
| Posted: Thu Dec 07, 2006 2:54 pm Post subject: |
|
|
| tekknokrat wrote: | | Ich finde es sicherer, dass nur die user (bis jetzt nur ich) etwas an meinem rechner machen sollten, die dass root pw kennen. |
Eigentlich gibt es die Rechteverwaltung, damit man nicht 500 Passwoerter kennen muss. Angenommen, du hast unter Deinen Nutzern eine Schwachstelle, dann musst Du das Rootpw aendern, den Nutzer sperren und das PW an die anderen berechtigten Nutzer weitergeben. Mit normalem sudo musst Du nur den Nutzer sperren. Eine mehrfache "Weitergabe" von geheimem Wissen ist uebrigens nie "sicherer". |
|
| Back to top |
|
|
Vaarsuvius
Guru
Joined: 02 Dec 2004
Posts: 345
|
| Posted: Thu Dec 07, 2006 3:00 pm Post subject: |
|
|
| tekknokrat wrote: | hm, ist halt ansichtssache ich benutze sonst immer su um nur in admin fällen root rechte zu bekommen.
Ich finde es sicherer, dass nur die user (bis jetzt nur ich) etwas an meinem rechner machen sollten, die dass root pw kennen.
Ich habs jetzt auch schon herausgefunden und so konfiguriert wie es mit "su" auch angedacht ist.
Alle user der gruppe wheel können mit sudo und kenntniss des root pw's auf root switchen. wenns wirklich mal längere root orgien werden greif ich einfach wieder auf su zurück.
sudoers mit visudo bearbeiten:
| Code: |
Defaults env_reset
Defaults authenticate
Defaults rootpw
%wheel ALL=(ALL) ALL
|
|
kannst du mir erklaeren was daran sicherer ist? ich meine, sudo benutzt man i.d.R. doch nur, damit bestimmte user, die sonst keine root rechte haben sollen, zB ein bestimmtes programm mit root rechten ausfuehren duerfen.
wenn der benutzer eh das root passwort kennt, kann er sich doch gleich als root einloggen (oder mit su zu root werden sofern er in wheel ist).
klar als andere "schreibweise" kannst du natuerlich auch sudo anstatt von su benutzen.... wie du es ja jetzt auch konfiguriert hast... da ginge dann aber auch ein su -c <command>
nur den sicherheitsaspekt verstehe ich daran nicht wirklich. |
|
| Back to top |
|
|
Mr.Big
Guru
Joined: 10 Apr 2002
Posts: 424
Location: Königswartha / Germany
|
| Posted: Thu Dec 07, 2006 3:06 pm Post subject: Re: sudo mit root password |
|
|
| tekknokrat wrote: | aber für mich muss der user im besitz des root passwortes sein um spielchen machen zu können.
|
meinst Du "spielchen machen" im übertragenden oder wörtlichem Sinne.
denn, zum Spiele spielen können muss der User nur in der Gruppe "Games" Sein!
 |
|
| Back to top |
|
|
Knieper
l33t
Joined: 10 Nov 2005
Posts: 846
|
| Posted: Thu Dec 07, 2006 3:07 pm Post subject: |
|
|
| kil wrote: |
su -c <command>
nur den sicherheitsaspekt verstehe ich daran nicht wirklich. |
Geht wohl in Richtung "so wenig Geheimnisse wie moeglich". Aber mit der ALL-Deklaration... |
|
| Back to top |
|
|
schmutzfinger
Veteran
Joined: 26 Oct 2003
Posts: 1287
Location: Dresden/Germany
|
| Posted: Thu Dec 07, 2006 4:15 pm Post subject: |
|
|
| Code: | emerge -C sudo
alias sudo=su
|
ist doch wirklich totaler Schwachsinn. Wer das root Passwort kennt braucht kein sudo. |
|
| Back to top |
|
|
STiGMaTa_ch
Veteran
Joined: 28 Dec 2004
Posts: 1686
Location: Rüti ZH / Schweiz
|
| Posted: Thu Dec 07, 2006 4:23 pm Post subject: |
|
|
Ich kann mich nur an Schmutzfingers Aussage anschliessen.
Was bringt dir das?
Wenn ich auf deinem System irgendwas machen sollte und du gibst mir das root Passwort. Warum sollte ich dann noch einen Umweg über sudo nehmen? Dann mache ich das doch gleich als root.
Sudo ist doch genau dafür da, dass du 1) das Passwort von root nicht kennen musst (Aber dein eigenes schon!), 2) Der Root User einem "normalo" trotzdem Administrative Aufgaben übergeben kann ohne dass dieser "normalo" gleich die Allmacht erlangt. Und das beste, du kannst die Granularität jedes einzelnen Befehls bis zum Exzess steuern. Entweder lässt du einem User die Freie Hand beim Tool X (z.B. darf normalo dann x -a oder x -b ausführen) oder aber du legst fest, dass normalo "nur" x -a nicht jedoch eine andere Option verwenden kann.
Lieber Gruss
STiGMaTa
_________________
Ich bin Schuldknappe. Das bedeutet ich bin immer an allem Schuld. Und das nicht zu knapp! | Der alltägliche Familienwahnsinn auf meinem BLOG |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Thu Dec 07, 2006 5:10 pm Post subject: |
|
|
| tekknokrat wrote: | | Code: |
Defaults env_reset
Defaults authenticate
Defaults rootpw
%wheel ALL=(ALL) ALL
|
|
Nur so nebenbei, mit dieser Konfig hast du spätestens dann nichts gewonnen wenn ich einen sudo /bin/bash mache.
Wenn sudo dann nicht gegen das rootpw; die Variante macht irgendwie keinen Sinn, siehe auch meine Vorposter.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
mv
Watchman
Joined: 20 Apr 2005
Posts: 6780
|
| Posted: Thu Dec 07, 2006 6:10 pm Post subject: |
|
|
| Den letzten Postings möchte ich jetzt doch widersprechen: Die Variante ("targetpw" würde ich "rootpw" leicht vorziehen) ist auf typischen Privatrechnern sehr sinnvoll. "Privatrechner" bedeutet hier, dass man den intendierten Usern hundertprozentig vertrauen kann und die Rechtetrennung nur dazu dient, Leichtsinnsfehler zu vermeiden und bestimmte "Hilfsuser" für möglicherweise gefährliche Aufgaben (Internet-Browsen) zu "isolieren". In diesem Fall ist zwar sudo nicht sehr viel mehr als su, aber es hat immer noch etliche Vorteile (z.B. in der Übergabe von Argumenten mit Leerzeichen, im Environment-Handling, oder dass man für bestimmte Kommandos die Passwortabfrage abschalten kann). |
|
| Back to top |
|
|
tekknokrat
Apprentice
Joined: 17 Apr 2005
Posts: 278
Location: Magdeburg
|
| Posted: Thu Dec 07, 2006 8:25 pm Post subject: |
|
|
uff da fühl ich mich von so viel gegenteiligen meinungen fast erschlagen 
Also um das mal klarzustellen: Das sollte hier keine Grundsatzdiskussion werden und ich werde hier keine Grundsätze in Frage stellen.
1. ich bin hier nicht in firmennetzwerk oder so sondern es geht nur um meinen kleinen rechner daheim.
2. ich finde es für mich komfortabler mit sudo zu arbeiten als mit su da sudo das Passwort cached. Klingt billig aber das ist für mich der Hauptgrund und Vorzug gegenüber su!
3. ich kann user die auch administrative tätigkeiten übernehmen, mit sudo auf einige wenige befehle abgrenzen und die dürfen sich dann auch mit eigenem kennwort authentifizieren.
4. knieper | Quote: | | Eine mehrfache "Weitergabe" von geheimem Wissen ist uebrigens nie "sicherer". |
-> stimm ich voll zu siehe 3
...
so und noch mal in den raum geworfen:
Ist es nich im security context (nicht im praktischen) wahrscheinlicher, von 2 oder 3 user accounts auf einem rechner von denen das passwort erhashen zu können,
als nur von einem root user -> um das System kompromitieren zu können? Vor allem dann wenn man die meiste Zeit nur mit diesen user accounts arbeitet...
Wenn ich den Rechner mit mehreren admins teilen müsste und für jeden komplette root Rechte einräumen lassen will, ist es natürlich praktikabel sudo für eigentauthenifizierung zu konfigurieren.
@kil: siehe vorteile von sudo
@schmutzfinger: siehe vorteile von sudo und siehe STiGMaTa_ch der die vorteile aufzählt
@Think4UrS11 stimmt muss auch mit rein.
@mv inwieweit unterscheidet sich denn targetpw von rootpw? das was du schreibst, entspricht meiner intention.
Nochmal ich will keinem der sudo anders nutzt auf den Schlips treten. |
|
| Back to top |
|
|
mv
Watchman
Joined: 20 Apr 2005
Posts: 6780
|
| Posted: Fri Dec 08, 2006 12:35 am Post subject: |
|
|
| tekknokrat wrote: | | @mv inwieweit unterscheidet sich denn targetpw von rootpw? |
man sudoers: Im Falls sudo -u foo brauchst Du dann das Passwort für foo. |
|
| Back to top |
|
|
|
Deutsches Forum (German)
