Re: Probleme mit verschiedenen Befehlen
Marc Haber - 05.02.19, 18:18:
> On Mon, 04 Feb 2019 23:29:05 +0100, "H.-Stefan Neumeyer"
>
> <hsn.debian_user@t-online.de> wrote:
> >Am Montag, den 04.02.2019, 18:14 +0100 schrieb Sven Hartge:
> >> Aber eigentlich will man "su" gar nicht (mehr) benutzen, sondern
> >> "sudo -i" verwenden.
> >
> >Das sagst Du?
>
> Und er hat Recht damit.
Mit welcher Begründung?
So oder so:
Soweit geh ich ja mittlerweile – mit Einschränkungen – noch mit. Das
sudo auf meinem System fragt beispielsweise nach dem Root-Passwort, da
ich gerade nicht möchte, dass falls irgendwie jemand das Benutzer-
Passwort herausfindet, auf dem System auch gleich auch noch Root-Rechte
hat. Und da ich davon ausgehe, dass der Benutzer mit der Desktop-
Umgebung sich immer noch leichter kompromittieren lässt, als der Root-
Benutzer ohne Desktop-Umgebung… macht das für mich auf meinem Laptop so
auch Sinn. Außerdem cacht Sudo den Login bei mir auch nur eine halbe
Minute:
% cat /etc/sudoers.d/defaults
Defaults env_keep+=SSH_AUTH_SOCK
Defaults rootpw
Defaults timestamp_timeout=0.5
Aber ich mach eben dann doch sudo -i und las das Ding offen, anstatt
jedes mal wieder sudo dies, sudo das, sudo jenes einzugeben.
Ich sehe auch einen Unterschied zwischen: Mehrere Admins auf einem
Server und dem privaten Bereich. Auf meinem Laptop, meinen Server-VMs,
meinem Router bin ich Root und damit basta. Da ist mir sowas von egal,
was dazu im Log steht. Wenn ich was kaputt mache, dann merke ich das
schon selbst. Auf dem Linux-Laptop von meinem Vater bin ich auch Root,
unter anderem, weil mein Vater mit dem, was jemand mit Root-Rechten
machen kann, gar nichts zu tun haben möchte.
Und so oder so habe ich etwas dagegen, irgendein Verhalten zum Standard
für alle zu deklarieren. Oder auch nur als Standard für Anfänger. Ich
hab auch mit "su -" / "su" (je nach Situation) angefangen und kann mich
ehrlich gesagt nicht daran erinnern, wie die Nutzung von "su" an sich
dazu beigetragen hätte, einen Fehler zu machen, den ich mit "sudo" nicht
gemacht hätte. So oder so gilt: Wenn ich mit Root-Rechten Blödsinn
ausführe, führe ich mit Root-Rechten Blödsinn aus. Und wenn der Server
danach kaputt ist, dann ist er mit oder ohne Auditing kaputt.
Die Systeme, für die ich verantwortlich bin, sind immer noch die Systeme
für die ich verantwortlich bin. Und bislang wurde, soweit ich weiß, noch
keines davon kompromittiert. So richtig kaputt bekommen habe ich auch
schon lange keines mehr. Ich nehme mir also ein gewisses Recht heraus,
selbst zu entscheiden, wie ich Dinge angehe… anstatt mir, selbst mit
teilweise guten Argumenten, vorschreiben zu lassen, wie ich das zu
machen habe. Und sei es auch nur, dass ich mir das Recht dazu nehme,
weil ich seit über 10 Jahren Linux-Systeme administriere und dabei
insgesamt doch erstaunlich wenig kaputt gemacht habe.
Vielleicht habe ich auch dagegen, weil ich so ein "Ich schreib allen
etwas vor, wie sie ihr System zu bedienen haben"-Verhalten, auch immer
wieder im Kontext von Systemd mitbekommen habe. Ich bediene das System…
ich bin dafür verantwortlich, … ich trage die Konsequenzen und ich darf
die Scherben aufsammeln, falls ich was kaputt gemacht habe. Davor
bewahrt mich auch kein Sudo dieser Welt, *egal* mit welcher
Konfiguration.
Und vielleicht habe ich auch etwas dagegen, weil ich vom Amiga herkomme,
und das Teil abgesehen von Bugs, die es im AmigaOS durchaus gab und
gibt, einfach genau nur das gemacht hat, was ich ihm sagte, anstatt mir
vorzuschreiben, wie ich es zu bedienen habe. Oder andersherum: Ein
Computer ist nur für einen einzigen Zweck dar: Mir das Leben leichter zu
machen. Punkt. Und idealerweise ist so ein Computer auch ziemlich
einfach aufgebaut.
Eine Eigenschaft, die mir bei modernen Linux-Systemen mehr und mehr
abhanden zu kommen scheint. Beim AmigaOS konnte ich noch aus dem
Stegreif sagen, was jede einzelne Datei macht. In modernen Linux-
Systemen könnte ich nicht mal komplett aufzählen, was Systemd alles
macht, *obwohl* ich da mittlerweile ausführliche Folien für meine Kurse
erstellt habe, was beim Plasma-Desktop teilweise alles ineinander
greifen muss, damit irgendetwas funktioniert, und bin immer wieder
erstaunt darüber, warum da überhaupt ein Ton raus kommt, wenn eine
Anwendung Musik abspielt, und was daran alles beteiligt ist (und kaputt
gehen kann) und warum die Grafik-Ausgabe einer X11-Sitzung mittlerweile
offenbar sogar eingefroren wird, wenn ich auf eine andere Sitzung
schalte… und ich daher mittlerweile screen verwende, wenn ich in einer
Sitzung ein Backup laufen lasse, während ich auf einer anderen Sitzung
arbeite. Aber zugegeben so macht, machen wahrscheinlich auch nicht
viele. Da änderten sich wiederholt Verhaltensweisen im System, weil
irgendjemand meint, dass das so besser ist… und es ist mir teilweise
nicht klar, inwiefern und wie ich das wieder so konfigurieren könnte, wie
ich das haben möchte.
Auch sudo ist um Längen komplexer als su. Theodore T'so hat einige
Einschränkungen von su erwähnt, die ich nachvollziehen kann, deswegen
gewöhne ich mir auch sudo an. Aber sudo -i werde ich auf absehbare Zeit
eben weiter verwenden.
So oder so: Rant Ende. Und ihr dürft das so unausgewogen, unsachlich und
sonst wie finden, wie ihr wollt. Und ihr dürft mir auch gerne vorhalten,
was mir denn mit meinem Ansatz alles passieren könnte. Ich gehe das
Risiko ein. Und wenn ich es durch meinen Ansatz total kaputt mache,
ziehe ich aufs Land, baue in einem Permakultur-Garten Gemüse an und
schmeiß alle Computer bis auf die alten Amigas aus dem Fenster :)
So, take this. Or not. Mir egal. Jetzt wirklich: Rant Ende.
Ciao,
--
Martin
Reply to: