Re: su aus util-linux in Sid

To: debian-user-german@lists.debian.org
Subject: Re: su aus util-linux in Sid
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Sun, 05 Aug 2018 17:06:03 +0200
Message-id: <[🔎] E1fmKbb-0000BP-FF@drop.zugschlus.de>
In-reply-to: <[🔎] 2080132.cd6z11NLga@merkaba>
References: <[🔎] 4731664.HQMiSEf5st@merkaba> <[🔎] 3111283.6VuUnUUgSV@merkaba> <[🔎] 7el7oc2krtbv8@mids.svenhartge.de> <[🔎] 2080132.cd6z11NLga@merkaba>

On Sun, 05 Aug 2018 09:14:57 +0200, Martin Steigerwald
<martin@lichtvoll.de> wrote:
>Aber mir geht bis heute auch nicht ein, wieso sudo das bessere Werkzeug 
>sein soll. Gerade da es standardmäßig das Benutzer-Passwort abfragt. 
>Hallo, so hat jemand der mein Benutzer-Passwort hat, automatisch auch 
>Root-Rechte auf meinem System. Geht´s noch? Das wollte ich auch schon 
>längst mal ändern, so dass sudo das Root-Passwort abfragt.

Ein geteiltes Root-Passwort macht dessen Änderung schwierig bis
unmöglich, je mehr Leute in dessen Besitzt sind. Man kann jetzt
argumentieren, dass jemand mit physikalischem Zugriff auf die Kiste
sie sowieso owned, aber im Besitz des Root-Passworts kommt man mit
Zugriff auf der Konsole direkt zu root-Rechten.

Auf meinen Systemen können sich die User, die über die Gruppe sudo per
sudo root werden können, per ssh nicht mehr mit Passwort einloggen:
|Match Group sudo
|  PasswordAuthentication no
Der direkte Root-Login per ssh ist abgeschaltet.

Sprich, wer auf diesen Systemen per ssh root werden möchte, muss ich
zuerst per ssh-Key als normaler User einloggen und dann per sudo mit
dem Benutzerpasswort root werden. Auf diese Weise kann man
Benutzerrechte und Root-Rechte für jede Person einzeln widerrufen, und
wen jemand root wird, hinterlässt er Logeinträge, dass er root
geworden ist.

Auf Debian-Systemen bitte ich meine Co-Admins auch immer sehr
inständig, sich keine Root-Shell zu holen sondern möglichst vor jedes
einzelne Kommando ein sudo zu schreiben. Das hinterlässt im Log eine
schöne Spur von dem, was getan wurde.

In der Red-Hat-Welt geht das leider nicht so gut, weil dort die
Verzeichnsirechte viel weiter zugezogen sind als auf Debian-Systemen
und man als normaler User oft nicht genug Rechte hat um sich per tab
completion eine Kommandozeile zusammenzubauen, die dann mit
vorgesetztem sudo mit root-Rechten ausgeführt werden kann.

Auf diese Weise ist das eine Art Zwei-Faktor-Authentifikation auf dem
Weg zu Root-Rechten, man muss den richtigen ssh-Key haben und das dazu
passende Benutzerpasswort kennen, um root zu werden.

>Bislang habe ich nirgendwo eine *schlüssige* Erklärung gesehen, warum 
>das so besser sein soll. Vielleicht ist es das ja tatsächlich, aber ohne 
>Gründe, die ich selbst nachvollziehen kann, sehe ich nicht ein, mein 
>Skript so umzubauen, damit es in der neuen Linux-Welt funktioniert.

Vielleicht konnte ich Dir diese Erklärung ja jetzt liefern.

Im Gegenzug könntest Du mir erklären, warum es in so vielen
Enterprise-Linux-Unternehmen so ist, dass man als User in der
richtigen Gruppe per sudo ganz ohne ohne Passwort root werden kann.

Grüße
Marc
-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | 
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply to:

Follow-Ups:
- Re: su aus util-linux in Sid
  - From: Martin Steigerwald <martin@lichtvoll.de>

References:
- su aus util-linux in Sid
  - From: Martin Steigerwald <martin@lichtvoll.de>
- Re: su aus util-linux in Sid
  - From: Martin Steigerwald <martin@lichtvoll.de>
- Re: su aus util-linux in Sid
  - From: Sven Hartge <sven@svenhartge.de>
- Re: su aus util-linux in Sid
  - From: Martin Steigerwald <martin@lichtvoll.de>

Prev by Date: Re: KDE-Applikationen auf Englisch?
Next by Date: Re: systemd log rate limiting entspannen oder abschalten
Previous by thread: Re: su aus util-linux in Sid
Next by thread: Re: su aus util-linux in Sid
Index(es):
- Date
- Thread