Re: su aus util-linux in Sid
On Sun, 05 Aug 2018 21:14:35 +0200, Martin Steigerwald
<martin@lichtvoll.de> wrote:
>Marc Haber - 05.08.18, 17:06:
>> On Sun, 05 Aug 2018 09:14:57 +0200, Martin Steigerwald
>> <martin@lichtvoll.de> wrote:
>> >Aber mir geht bis heute auch nicht ein, wieso sudo das bessere
>> >Werkzeug sein soll. Gerade da es standardmäßig das Benutzer-Passwort
>> >abfragt. Hallo, so hat jemand der mein Benutzer-Passwort hat,
>> >automatisch auch Root-Rechte auf meinem System. Geht´s noch? Das
>> >wollte ich auch schon längst mal ändern, so dass sudo das
>> >Root-Passwort abfragt.
>>
>> Ein geteiltes Root-Passwort macht dessen Änderung schwierig bis
>> unmöglich, je mehr Leute in dessen Besitzt sind. Man kann jetzt
>> argumentieren, dass jemand mit physikalischem Zugriff auf die Kiste
>> sie sowieso owned, aber im Besitz des Root-Passworts kommt man mit
>> Zugriff auf der Konsole direkt zu root-Rechten.
>
>Das ist mein Laptop. Da weiß genau eine Person das Root-Passwort und das
>bin ich.
Und es arbeiten viel mehr Leute direkt an der Konsole als bei einem
Server. Ich administriere mein Notebook trotzdem so wie einen Server,
alleine damit ich mich nicht ständig umgewöhnen muss.
>> Auf meinen Systemen können sich die User, die über die Gruppe sudo per
>> sudo root werden können, per ssh nicht mehr mit Passwort einloggen:
>> |Match Group sudo
>> |
>> | PasswordAuthentication no
>>
>> Der direkte Root-Login per ssh ist abgeschaltet.
>
>Meine Systeme erlauben grundsätzlich keine Authentifizierung per SSH via
>Passwort. Und ich habe den SSH-Zugriff auf Mitglieder einer bestimmten
>Gruppe beschränkt.
Dann sind wir uns da ja einig.
>> >Bislang habe ich nirgendwo eine *schlüssige* Erklärung gesehen, warum
>> >das so besser sein soll. Vielleicht ist es das ja tatsächlich, aber
>> >ohne Gründe, die ich selbst nachvollziehen kann, sehe ich nicht ein,
>> >mein Skript so umzubauen, damit es in der neuen Linux-Welt
>> >funktioniert.
>> Vielleicht konnte ich Dir diese Erklärung ja jetzt liefern.
>
>Für das Standardverhalten von sudo, ja. Warum "su" schlecht sei, wenn
>ich es auf meinem Laptop für den beschriebenen Zweck einsetze, nein.
su erzwingt, dass Du das root-Passwort tippst. Damit ist es einfacher
als "meine" root-Passworte, die ich wenn ich sie mal brauche aus dem
Passwortsafe rauskratze ("XiiECAi6Ly.sWwK|p!%O\eM`") und die auf jedem
System anders sind.
>> Im Gegenzug könntest Du mir erklären, warum es in so vielen
>> Enterprise-Linux-Unternehmen so ist, dass man als User in der
>> richtigen Gruppe per sudo ganz ohne ohne Passwort root werden kann.
>
>Ich hab das auch bei einer Workstation eines Kollegen vor langer Zeit
>mal so gesehen. Ich hab das nie so eingerichtet und würde das auch nicht
>machen. Nein, ich weiß nicht, warum das in so vielen Enterprise-Linux-
>Unternehmen so ist. Ich weiß nicht mal, ob es in so vielen Enterprise-
>Linux-Unternehmen so ist.
In meiner Stichprobe leider bisher in fast allen, ausgenommen denen,
bei denen ich an der Erstellung der Administrations-Richtlinien
beteiligt war. Aber ich glaube, Du siehst mehr davon in weniger Zeit,
weil ich üblicherweise längerfristig mit meinen Kunden zu tun habe.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: