[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Buster aus Live-System installiert - was ist das ROOT-Passwort???

Hilmar Preuße - 08.07.19, 19:22:
> >> "sudo -i" ist der korrekte kanonische Weg.
> > 
> > auch auf die gefahr hin mich zu blamieren: was spricht gegen "su -"?
> 
> ...man muß das Root-Passwort kennen.

Ich sehe das, zumindest für meine eigenen Systeme, immer noch als 
Vorteil.

Jemand der das Benutzer-Passwort hat, bekommt so nicht automatisch Root-
Rechte.

Daher verlangt das sudo auf meinem Laptop auch das Root-Passwort. 
Allerdings immer. Irgendwann schaue ich mir an, inwiefern ich Sudo auch 
dazu überreden kann, das Passwort des Ziel-Benutzers zu erfragen, 
anstatt immer nach dem Root-Passwort zu fragen, egal welchen Benutzer 
ich angebe.

Es kommt natürlich immer auf das Anwendungs-Szenario an. Auf meinen 
Servern ist sudo jedoch nicht mal installiert.

Das ist natürlich ziemlich theoretisch, da es ohne SSH-Schlüssel ohnehin 
nicht möglich ist, auf dem Server anzumelden. Und sshguard Brute Force-
Attacken unterbindet. Außerdem hat jemand, der auf andere Art einbricht, 
nicht notwendigerweise das Benutzer-Passwort. Jedoch könnte auch jemand 
der in mein Laptop einbricht, an ein Benutzer-Passwort kommen, zumindest 
solange ich die Authentifizierung an Dovecot nicht (ausschließlich) an 
ein Client-Zertifikat binde. Ich würde auch eher beides verwenden. 
Passwort und Client-Zertifikat.

Das Root-Passwort von den Servern weiß ich nicht einmal auswendig, da 
ich nur per SSH-Schlüssel authentifiziere. Auf meinen Servern sehe ich 
auch kein Problem, mich weiterhin via SSH-Schlüssel direkt als Root 
anzumelden. Ich hab jahrelang einen Server administriert, wo ich mich 
erst als Benutzer anmelden durfte, um dann via Sudo Root-Rechte zu 
bekommen. Das hab ich auf Wunsch des Server-Betreibers selbst so 
eingerichtet. Mich hat das einfach nur genervt. Auch die Benutzer-
Passwörter weiß ich nicht auswendig, da die auch nur SSH-Schlüssel 
verwenden dürfen.

Ich frage mich auch, inwiefern es ein Nachteil ist, das Root-Passwort zu 
kennen, wenn ich mit Sudo ohnehin Root werden kann. Denn dann kann ich 
das Root-Passwort auch jederzeit verändern. Zumindest solange mein Sudo-
Zugriff nicht entsprechend eingeschränkt ist.

Im Unternehmensumfeld oder bei generell bei einer Administration von 
Servern durch mehrere Leute mag Anderes sinnvoll sein. Da mag es 
sinnvoller sein, wenn jeder mit einem eigenen Passwort sich anmeldet. 
Via SSH-Schlüssel ließe sich der sich anmeldende Benutzer jedoch auch 
identifizieren.

So oder so, hatten wir genau diese Diskussion schon einmal. Und ich sehe 
keinen großen Grund, das zu wiederholen. Ich schreibe nur, um zu zeigen, 
dass es dazu unterschiedliche Ansichten geben darf.

Das ganze ist keine Religion. Dass "sudo" aus verschiedenen Gründen 
sinnvoller sein mag als "su" das hat mir Theodore T'so mal auf eine 
Weise erklärt, die ich nachvollziehen konnte. Daher habe ich mir auf dem 
Laptop sudo angewöhnt. Auf den Servern verwende ich su ohnehin äußerst 
selten.

Ciao,
-- 
Martin
Reply to: