Re: su aus util-linux in Sid
Sven Hartge - 04.08.18, 23:16:
> Bevor diese Änderung kam, war mir z.B. gar nicht bewußt, dass Debian
> ein anderes su wie z.B. SLES oder Red Hat hatte. Ich habe schon seit
> jeher immer "su - USERNAME" benutzt, weil ich immer eine Login-Shell
> mir korrektem Environment haben wollte, ich war gar nichts anderes
> gewohnt.
Ich habe immer das verwendet, was aus dem Kontext heraus für mich Sinn
gemacht hat.
Oft war dies "su -", aber wenn ich den SSH Agent in der Root-Sitzung
verfügbar haben wollte, dann eben "su". Ich sehe da auch kein
Sicherheitsproblem mit, da Root sich den Zugang zum SSH Agent eines
Benutzers ja ohnehin organisieren kann. Nur so bekomme ich das
automatisch, ohne das ich selbst in einem Skript die entsprechenden
Variablen aus einer Benutzer-Sitzung raus suchen muss.
Das Ding ist, bislang habe ich keine valide Erklärung gesehen, warum das
jetzt so eine schlimme oder falsche Idee sei, das so zu machen. Ich habe
jetzt die Behauptungen gesehen, dass es so sei. Aber niemand rückt mit
den konkreten Gründen dafür raus. Zumindest nicht an den Stellen, wo das
relevant wäre.
Auch die Manpage zu su gibt das nicht her, warum "su" ohne Login-Shell
eine schlechte Idee sei. Gut, immerhin steht was zu "setpriv" und
"runuser" drin:
su is mostly designed for unprivileged users, the recommended
solution for privileged users (e.g. scripts executed by root) is
to use non-set-user-ID command runuser(1) that does not require
authentication and provide separate PAM configuration. If the PAM
session is not required at all then the recommend solution is to
use command setpriv(1).
Nun, die Manpage ist auch vom Juli 2014.
Ciao,
--
Martin
Reply to: