Re: Fragen zur Linux-Sicherheit

To: debian-user-german@lists.debian.org
Subject: Re: Fragen zur Linux-Sicherheit
From: Matthias Houdek <linux@houdek.de>
Date: Wed, 11 Jul 2007 13:44:57 +0200
Message-id: <[🔎] 200707111344.57069.linux@houdek.de>
Reply-to: maxx@houdek.de
In-reply-to: <[🔎] op.tvar6fqsqqjcm4@bjoern.netzquadrat.de>
References: <[🔎] 692035.78069.qm@web27601.mail.ukl.yahoo.com> <[🔎] 200707111230.29658.linux@houdek.de> <[🔎] op.tvar6fqsqqjcm4@bjoern.netzquadrat.de>

Hallo Björn Keil, hallo auch an alle anderen

Mittwoch 11 Juli 2007 - Björn Keil wrote:
> On Wed, 11 Jul 2007 12:30:29 +0200, Matthias Houdek <linux@houdek.de> 
wrote:
> > Hallo Detlef Niehof, hallo auch an alle anderen
> >
> > Mittwoch 11 Juli 2007 - Detlef Niehof wrote:
> >> Hallo allerseits,
> >>
> >> seht Euch mal bitte folgenden, schon etwas älteren
> >> Thread an:
> >>
> >> http://forum.de.selfhtml.org/archiv/2007/4/t150707/
> >> Wie schätzt Ihr die tatsächlichen Gefahren ein? Für
> >> Debian bzw. für Linux allgemein?
> >
> > Relativ gering.
> > Ein normaler User auf einem halbwegs wichtigen System sollte sich
> > nie als root anmelden können. Für bestimmte Aufgaben gibt es immer
> > noch sudo, und da gibt es bestenfalls sein eigenes Passwort ein.
>
> Das ist der Punkt an dem ich es nicht verstehe:
> Macht man dadurch nicht das ganze noch gefährlicher? Wenn das
> Passwort erst einmal gecacht ist braucht der Prozess beim Einsatz von
> sudo gar kein Passwort mehr, um an Superuser Rechte zu gelangen. 

_Das_ ist das Problem, das vor allem durch die sudo-Implementierung bei 
Ubuntu generiert wird.

Normaler Weise setzt man sudo dafür ein, bestimmten Benutzern (oder 
Gruppen usw.) _bestimmte_ Programme, die normaler Weise root-Rechte 
erfordern, auch als root ausführen zu können. Bei Ubuntu wird aber 
einfach den ersten Benutzer die Ausführung _aller_ Programme als root 
ermöglicht. Das ist fürwahr eine riesige Sicherheitslücke - zumindest 
wenn man den ersten User auch als normalen User betrachtet.

Sinnvoll wird die Sache dann, wenn man die root-Anmeldung weiterhin 
ausgeschaltet lässt (die meisten Ubuntuuser tippen aber als erstes 
gleich erst einmal 'sudo passwd root' :-/). Und der erste Account ist 
und bleibt ein Administrator-Account, bei dem man bei Systemeingriffen 
immer auch noch einmal gewarnt wird, weil man sein Passwort noch einmal 
angeben muss - so ist zumindest der Standard.

Kurz: Eine Zeile "<Normaluser> ALL=(ALL) ALL", evtl. sogar noch mit der 
Option NOPASSWD gehört nicht in die /etc/sudoers.

> Wenn 
> das evil_program erst mal im Besitz des Benutzerpasswortes ist, ist
> das dann auch gleichwertig mit root Privilegien... 

Nein, nur wenn das auch so erlaubt ist. UNd wer das macht, handelt IMHO 
grob fahrlässig.

> Dazu müsste man 
> natürlich wissen das sudo benutzt wird. Aber unter Debian ist das
> durchaus übliche Praxis und unter Ubuntu die Voreinstellung. 

Man soll ja auch unter Ubuntu den ersten User nicht als Normaluser 
nutzen. Das ist der Admin des Systems, root ist ja quasi abgeschaltet.

> Sicherer 
> als Windows, wo von der meisten Software für Privatanwender
> vorrausgesetzt wird, dass der Standardbenutzer Superuser Privilegien
> hat, ist es natürlich trotzdem.

Nur unwesentlich in dieser Beziehung.

-- 
Gruß
                MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Reply to:

Follow-Ups:
- Re: Fragen zur Linux-Sicherheit
  - From: Björn Keil <abgrund@silberdrache.net>

References:
- Fragen zur Linux-Sicherheit
  - From: Detlef Niehof <detlef_niehof@yahoo.de>
- Re: Fragen zur Linux-Sicherheit
  - From: Matthias Houdek <linux@houdek.de>
- Re: Fragen zur Linux-Sicherheit
  - From: Björn Keil <abgrund@silberdrache.net>

Prev by Date: Re: DVB-S / -T Karte für Debian gesucht (aktiv)
Next by Date: Re: [OT] Linux im ÖPNV
Previous by thread: Re: Fragen zur Linux-Sicherheit
Next by thread: Re: Fragen zur Linux-Sicherheit
Index(es):
- Date
- Thread