Re: Probleme mit verschiedenen Befehlen
On Tue, 05 Feb 2019 22:01:57 +0100, Martin Steigerwald
<martin@lichtvoll.de> wrote:
>Marc Haber - 05.02.19, 18:18:
>> On Mon, 04 Feb 2019 23:29:05 +0100, "H.-Stefan Neumeyer"
>>
>> <hsn.debian_user@t-online.de> wrote:
>> >Am Montag, den 04.02.2019, 18:14 +0100 schrieb Sven Hartge:
>> >> Aber eigentlich will man "su" gar nicht (mehr) benutzen, sondern
>> >> "sudo -i" verwenden.
>> >
>> >Das sagst Du?
>>
>> Und er hat Recht damit.
>
>Mit welcher Begründung?
Standardargumente, im zweifel "ein Prozess weniger".
Worum geht es überhaupt? Um sudo gegen su[1] oder um sudo -i gegen
sudo su -[2]?
Für [1]: Wenn man das Root-Passwort nicht ständig braucht, kann es
wirklich eklig sein. Ok, das ist in systemd-Zeiten nicht mehr so
deutlicher Vorteil, weil man ja neuerdings für jeden Mist in den
Rescue-Modus gehen muss, wo ein sysvinit-system oftmals trotz eines
Fehlers so weit gekommen ist, dass man sich als normaler Benutzer
einloggen kann und dann sudo sagen kann.
Außerdem hinterlässt man mit sudo eine Art extended shell-history im
auth.log, und ich habe in der Vergangenheit schon oft "bei mir selbst"
nachgeschlagen, wann ich genau was getan habe. Und aus dem Kontext der
als root abgesetzten Kommandos kann man auch nicht selten erahnen,
_warum_ man das damals getan hat.
[2] Warum zwei Tools aufrufen wenn es eins auch tut? Das kommt aus
derselben Kiste wie "useless use of cat".
>Soweit geh ich ja mittlerweile – mit Einschränkungen – noch mit. Das
>sudo auf meinem System fragt beispielsweise nach dem Root-Passwort, da
>ich gerade nicht möchte, dass falls irgendwie jemand das Benutzer-
>Passwort herausfindet, auf dem System auch gleich auch noch Root-Rechte
>hat.
Dafür ist halt Dein root-Passwort vermutlich um eine Größenordnung
einfacher als meins.
>Und da ich davon ausgehe, dass der Benutzer mit der Desktop-
>Umgebung sich immer noch leichter kompromittieren lässt, als der Root-
>Benutzer ohne Desktop-Umgebung… macht das für mich auf meinem Laptop so
>auch Sinn. Außerdem cacht Sudo den Login bei mir auch nur eine halbe
>Minute:
>
>% cat /etc/sudoers.d/defaults
>Defaults env_keep+=SSH_AUTH_SOCK
>Defaults rootpw
>Defaults timestamp_timeout=0.5
>
>Aber ich mach eben dann doch sudo -i und las das Ding offen, anstatt
>jedes mal wieder sudo dies, sudo das, sudo jenes einzugeben.
Ja, wenn man sich den Zugang zu root so schwer macht, ist das die
logische Folge. Dann ist nicht nur ein sudo offen, sondern gleich eine
ganze root-shell, darüber freut sich dann der Angreifer genauso wie
Du, wenn Du das nächste Mal aus Versehen eine Mail in die Root-Shell
gepastet hast.
>Ich sehe auch einen Unterschied zwischen: Mehrere Admins auf einem
>Server und dem privaten Bereich. Auf meinem Laptop, meinen Server-VMs,
>meinem Router bin ich Root und damit basta. Da ist mir sowas von egal,
>was dazu im Log steht. Wenn ich was kaputt mache, dann merke ich das
>schon selbst. Auf dem Linux-Laptop von meinem Vater bin ich auch Root,
>unter anderem, weil mein Vater mit dem, was jemand mit Root-Rechten
>machen kann, gar nichts zu tun haben möchte.
Du musstest noch nie bei Dir selbst nachschlagen? Komm Du mal in mein
Alter, dann weißt Du implizite Logs auch bei eigenen Aktionen zu
schätzen. Logs sind nicht nur dazu da, anderen an den Karren zu
fahren, manchmal retten sie auch den eigenen Arsch.
>Und so oder so habe ich etwas dagegen, irgendein Verhalten zum Standard
>für alle zu deklarieren. Oder auch nur als Standard für Anfänger.
Standardisierung, richtig gemacht, führt zu hoher Qualität.
> Ich
>hab auch mit "su -" / "su" (je nach Situation) angefangen und kann mich
>ehrlich gesagt nicht daran erinnern, wie die Nutzung von "su" an sich
>dazu beigetragen hätte, einen Fehler zu machen, den ich mit "sudo" nicht
>gemacht hätte. So oder so gilt: Wenn ich mit Root-Rechten Blödsinn
>ausführe, führe ich mit Root-Rechten Blödsinn aus. Und wenn der Server
>danach kaputt ist, dann ist er mit oder ohne Auditing kaputt.
Siehste, ich hab "su" eigentlich nie verwendet.
>Die Systeme, für die ich verantwortlich bin, sind immer noch die Systeme
>für die ich verantwortlich bin. Und bislang wurde, soweit ich weiß, noch
>keines davon kompromittiert. So richtig kaputt bekommen habe ich auch
>schon lange keines mehr. Ich nehme mir also ein gewisses Recht heraus,
>selbst zu entscheiden, wie ich Dinge angehe… anstatt mir, selbst mit
>teilweise guten Argumenten, vorschreiben zu lassen, wie ich das zu
>machen habe. Und sei es auch nur, dass ich mir das Recht dazu nehme,
>weil ich seit über 10 Jahren Linux-Systeme administriere und dabei
>insgesamt doch erstaunlich wenig kaputt gemacht habe.
Du darfst Entscheidungen natürlich für Dich selbst teffen. Außerhalb
Deiner eigenen Blase haben sich best practices entwickelt, die
vermutlich nicht ohne Grund in den meisten Firmen "mit clue" ziemlich
ähnlich aussehen.
Je mehr eine Firma in ihren Standards von diesen "Üblichkeiten"
abweichen, desto mehr Alarmglocke sollte es sein: Meist gibt es dort
dann eine Hand voll Leute, die sich für "was besseres" halten und sich
deswegen anmaßen, Dinge anders zu machen als der Rest der Welt. Ich
habe noch keine Umgebung gesehen, in der das, was da herausgekommen
ist, besser war als der "draußen" übliche Goldstandard.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: