Re: sudo und root-Account - was: Konfiguration einer Desktopumgebung von Debian Squeeze
Am Dienstag, 30. August 2011 schrieb Hans-Dietrich Kirmse:
> Hallo,
>
> auch wenn ich wirklich nicht viel von Linux kenne, insbesondere keine
> Linux-Befehle (deswegen ja auch mein Interesse an der GUI), aber hier
> kratzt man m.E. doch sehr an der Oberfläche.
>
> Am 30.08.2011 21:24, schrieb Peter Funk:
> > Kai-Martin Knaak schrieb am Dienstag, den 30.08.2011 um 19:36:
> > ...
> >
> >> Ubuntu geht so
> >> weit, dass es gar keinen funktionalen Root-Account gibt.
> >
> > Bei Ubuntu reicht das Kommando
> >
> > sudo passwd root
> >
> > um den root-Account benutzbar zu machen. Es wird in der
> > Standard-Einrichtung für 'root' nur kein Passwort erfragt
> > und vergeben. Das ist einer der Unterschiede zu Debian.
>
> Das ist aber wirklich nur der formale Unterschied. Der eigentliche
> Unterschied ist das Sicherheitskonzept dahinter. Wenn ich immer erst
> sudo aufrufen muss, dann werden (nur!) für diesen Befehl hinter sudo
> die Rechte von root angenommen, danach ist man sofort wieder in einem
> niedriger priviligierten "Status". Anders ausgedrückt, man arbeitet
> normalerweise nur für kurze Zeit mit höheren Privilegien und gibt
> diese danach sofort wieder ab. - das ist m.E. der wesentliche
> Unterschied.
Nuja, dafür ists unter Ubuntu normalerweise das User-Passwort für Sudo.
D.h. hat jemand das Passwort, hat er auch Root-Rechte aus dem System.
Zumindest cacht sudo den Zugang für eine Weile, so das dann gar kein
Passwort mehr eingegeben werden muss. Für ein User-basiertes Virus wäre
das ein gefundenes Fressen.
Und zuletzt gibts mit sudo -s und sudo /bin/bash oder Ähnlichen doch
wieder ne Root Shell.
> Aber Windows7 macht das m.E. noch einen Touch besser. Wenn ich mich mit
> einem Administrator-Account anmelde, dann muss man jedesmal explizit
> angeben, dass man etwas mit Administrator-Rechten ausführen will. Wenn
> das so gemacht wird, dann gibt es ebenfalls die Rechte danach sofort
> wieder ab. (Genauso wie bei Ubuntu) Aber: bei Windows muss man meistens
> auf einen Button o.ä. drücken. Da man dazu die Maus betätigen muss -
> das kann ein Virus schlecht. ;) eine Anweisung wie sudo ist mir nicht
> bekannt. Es scheint so, als ob man sich unter Win7 nicht die
> root-Rechte mit einem Script holen kann.
Na, da bin ich ja skeptisch. Das kann ich mir fast nicht vorstellen.
> Aber doch noch eine Gemeinsamkeit. Bei win7 gibt es auch einen
> Administrator-Account (was kaum einer weiss), allerdings ist der
> deaktiviert. Aktiviert man den, dann muss man solche expliziten Aufrufe
> mit "als Administrator ausführen" nicht machen. Wenn ich das vergleiche
> mit "sudo passwd root" (siehe oben), dann sind sich die
> Sicherheitskonzepte seeeeehr ähnlich.
>
> Auch wenn es viel Text war: es geht um das Konzept dahinter. ich finde
> es nicht schlecht (bei Ubuntu und bei win7). Ich überlege ernsthaft, ob
> ich das nicht bei meinem Debian-Server einrichte. Was würde da dagegen
> sprechen? oder/und, wo denke ich vielleicht falsch?
Auf meinem Linux-Systemen hat Root ein Passwort, der passwort-basierte
SSH-Login via root ist jedoch deaktiviert. Auf meinen Notebooks auch für
alle anderen Benutzer.
Ich verwende schon auch sudo, bei manchen Sachen ists praktisch, aber su
ersetzt es für mich nicht in allen Fällen. So funktioniert mit sudo die
Ausgabe-Umleitung nicht so, wie ich es schön finde.
--
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Reply to: