Mahlzeit, Ursprünglich von "H.-Stefan Neumeyer" geschrieben: > >> Nicht für ungut - Ich persönlich haben jedenfalls eine tiefe > >> Abneigung gegen "sudo" in allen Ausführungen entwickelt. > Am 05.02.19 um 10:48 fragte Hilmar Preuße: > > Kannst Du das auch rational begründen? > > > > Hilmar, seit 3-4 Jahren Fan von sudo. Stefan Baur schrieb am Dienstag, den 05.02.2019 um 10:52: > Ich möchte mich da auch mal vorsichtig als "pro sudo" outen. Auch wenn > ich mich noch oft beim "sudo -i" erwische. sudo mit der Option -i ist genauso „böse“ wie "sudo su -" ☺: Dann könntest Du Dich auch gleich als "root" einloggen. Ich beschreibe mal, was an und warum ich "sudo" gut finde: Wichtig wird der Unterschied dann, wenn mehrere Personen Zugriff auf das oder die Systeme haben (z.B. in Vereinen oder Unternehmen). sudo protokolliert jeden einzelnen Befehl. Meiner Meinung nach wird es bei konsequentem Einsatz von sudo dann deutlich schwieriger, forensische Beweise für unerlaubte System- und damit Daten-Manipulationen verschwinden zu lassen. Um dies möglichst schwierig zu machen, empfehle ich folgende flankierende organisatorische Maßnahmen: 1. Alle sudo-Aktivitäten werden durch geeignete Konfiguration des syslog über das interne Netz geloggt (siehe man syslog.conf). 2. Im jeweiligen Intranet wird ein dezidierter Recher als reiner syslog server betrieben. Dieser Rechner lauscht nur mit dem UDP-Port 514 (syslog) am Netz und hat auch nur eine einzige Aufgabe: Die syslog-Nachrichten aus dem Netz manipulationssicher zu speichern. 3. Häufig wird für die auf dem syslog server aufgelaufenen Logfiles mit ein kryptografischer Hash erzeugt (das ist dann sozusagen eine Art "arme Leute Blockchain" ☺). Wir verwenden nun traditionell sha256sum, nachdem vor inzwischen mehr als einer Dekade md5 als für diesen Zweck nicht mehr geeignet erschien. 4. Regelmäßig werden diese Logfiles zusammen mit den Hashes so auf optische Medien (z.B. DVD) gebrannt, dass sie auch physisch nicht mehr nachträglich geändert werden können. 5. Kopien dieser Log-Archive werden an mehreren verschiedenen physikalischen Orten gelagert. Niemand sollte alle diese Orte gleichzeitig kennen. Liebe Grüße, Peter Funk -- Peter Funk ✉:Oldenburger Str.86, D-27777 Ganderkesee; ☎:+49-179-640-8878 office✉: ArtCom GmbH, Haferwende 2, D-28357 Bremen, Germany ☎:+49-421-20419-0 <http://www.artcom-gmbh.de/>
Attachment:
signature.asc
Description: Digital signature