Re: Fragen zur Linux-Sicherheit

To: "German Debian User List" <debian-user-german@lists.debian.org>
Subject: Re: Fragen zur Linux-Sicherheit
From: Björn Keil <abgrund@silberdrache.net>
Date: Wed, 11 Jul 2007 13:57:33 +0200
Message-id: <[🔎] op.tvat57tdqqjcm4@bjoern.netzquadrat.de>
In-reply-to: <[🔎] 200707111344.57069.linux@houdek.de>
References: <[🔎] 692035.78069.qm@web27601.mail.ukl.yahoo.com> <[🔎] 200707111230.29658.linux@houdek.de> <[🔎] op.tvar6fqsqqjcm4@bjoern.netzquadrat.de> <[🔎] 200707111344.57069.linux@houdek.de>

On Wed, 11 Jul 2007 13:44:57 +0200, Matthias Houdek <linux@houdek.de> wrote:

> Hallo Björn Keil, hallo auch an alle anderen
>
> Mittwoch 11 Juli 2007 - Björn Keil wrote:
>> On Wed, 11 Jul 2007 12:30:29 +0200, Matthias Houdek <linux@houdek.de>
> wrote:
>> > Hallo Detlef Niehof, hallo auch an alle anderen
>> >
>> > Mittwoch 11 Juli 2007 - Detlef Niehof wrote:
>> >> Hallo allerseits,
>> >>
>> >> seht Euch mal bitte folgenden, schon etwas älteren
>> >> Thread an:
>> >>
>> >> http://forum.de.selfhtml.org/archiv/2007/4/t150707/
>> >> Wie schätzt Ihr die tatsächlichen Gefahren ein? Für
>> >> Debian bzw. für Linux allgemein?
>> >
>> > Relativ gering.
>> > Ein normaler User auf einem halbwegs wichtigen System sollte sich
>> > nie als root anmelden können. Für bestimmte Aufgaben gibt es immer
>> > noch sudo, und da gibt es bestenfalls sein eigenes Passwort ein.
>>
>> Das ist der Punkt an dem ich es nicht verstehe:
>> Macht man dadurch nicht das ganze noch gefährlicher? Wenn das
>> Passwort erst einmal gecacht ist braucht der Prozess beim Einsatz von
>> sudo gar kein Passwort mehr, um an Superuser Rechte zu gelangen.
>
> _Das_ ist das Problem, das vor allem durch die sudo-Implementierung bei
> Ubuntu generiert wird.
>
> Normaler Weise setzt man sudo dafür ein, bestimmten Benutzern (oder
> Gruppen usw.) _bestimmte_ Programme, die normaler Weise root-Rechte
> erfordern, auch als root ausführen zu können. Bei Ubuntu wird aber
> einfach den ersten Benutzer die Ausführung _aller_ Programme als root
> ermöglicht. Das ist fürwahr eine riesige Sicherheitslücke - zumindest
> wenn man den ersten User auch als normalen User betrachtet.
>
> Sinnvoll wird die Sache dann, wenn man die root-Anmeldung weiterhin
> ausgeschaltet lässt (die meisten Ubuntuuser tippen aber als erstes
> gleich erst einmal 'sudo passwd root' :-/). Und der erste Account ist
> und bleibt ein Administrator-Account, bei dem man bei Systemeingriffen
> immer auch noch einmal gewarnt wird, weil man sein Passwort noch einmal
> angeben muss - so ist zumindest der Standard.
>
> Kurz: Eine Zeile "<Normaluser> ALL=(ALL) ALL", evtl. sogar noch mit der
> Option NOPASSWD gehört nicht in die /etc/sudoers.

Aber was willst Du dann noch erlauben? Wenn ich zum Beispiel aptitude erlaube reicht das um mit dem System zu machen, was immer man will. Und aptitude ist auf Debian basierten Systemen (inkl. (K)ubuntu und Knoppix) nun mal ein sehr wahrscheinlicher Kandidat.

Reply to:

Follow-Ups:
- Re: Fragen zur Linux-Sicherheit
  - From: Matthias Houdek <linux@houdek.de>

References:
- Fragen zur Linux-Sicherheit
  - From: Detlef Niehof <detlef_niehof@yahoo.de>
- Re: Fragen zur Linux-Sicherheit
  - From: Matthias Houdek <linux@houdek.de>
- Re: Fragen zur Linux-Sicherheit
  - From: Björn Keil <abgrund@silberdrache.net>
- Re: Fragen zur Linux-Sicherheit
  - From: Matthias Houdek <linux@houdek.de>

Prev by Date: Re: exim4 ignoriert /etc/aliases
Next by Date: Re: Raid und LVM gemeinsam?
Previous by thread: Re: Fragen zur Linux-Sicherheit
Next by thread: Re: Fragen zur Linux-Sicherheit
Index(es):
- Date
- Thread