Re: Buster aus Live-System installiert - was ist das ROOT-Passwort???
Hilmar Preuße - 08.07.19, 19:22:
> >> "sudo -i" ist der korrekte kanonische Weg.
> >
> > auch auf die gefahr hin mich zu blamieren: was spricht gegen "su -"?
>
> ...man muß das Root-Passwort kennen.
Ich sehe das, zumindest für meine eigenen Systeme, immer noch als
Vorteil.
Jemand der das Benutzer-Passwort hat, bekommt so nicht automatisch Root-
Rechte.
Daher verlangt das sudo auf meinem Laptop auch das Root-Passwort.
Allerdings immer. Irgendwann schaue ich mir an, inwiefern ich Sudo auch
dazu überreden kann, das Passwort des Ziel-Benutzers zu erfragen,
anstatt immer nach dem Root-Passwort zu fragen, egal welchen Benutzer
ich angebe.
Es kommt natürlich immer auf das Anwendungs-Szenario an. Auf meinen
Servern ist sudo jedoch nicht mal installiert.
Das ist natürlich ziemlich theoretisch, da es ohne SSH-Schlüssel ohnehin
nicht möglich ist, auf dem Server anzumelden. Und sshguard Brute Force-
Attacken unterbindet. Außerdem hat jemand, der auf andere Art einbricht,
nicht notwendigerweise das Benutzer-Passwort. Jedoch könnte auch jemand
der in mein Laptop einbricht, an ein Benutzer-Passwort kommen, zumindest
solange ich die Authentifizierung an Dovecot nicht (ausschließlich) an
ein Client-Zertifikat binde. Ich würde auch eher beides verwenden.
Passwort und Client-Zertifikat.
Das Root-Passwort von den Servern weiß ich nicht einmal auswendig, da
ich nur per SSH-Schlüssel authentifiziere. Auf meinen Servern sehe ich
auch kein Problem, mich weiterhin via SSH-Schlüssel direkt als Root
anzumelden. Ich hab jahrelang einen Server administriert, wo ich mich
erst als Benutzer anmelden durfte, um dann via Sudo Root-Rechte zu
bekommen. Das hab ich auf Wunsch des Server-Betreibers selbst so
eingerichtet. Mich hat das einfach nur genervt. Auch die Benutzer-
Passwörter weiß ich nicht auswendig, da die auch nur SSH-Schlüssel
verwenden dürfen.
Ich frage mich auch, inwiefern es ein Nachteil ist, das Root-Passwort zu
kennen, wenn ich mit Sudo ohnehin Root werden kann. Denn dann kann ich
das Root-Passwort auch jederzeit verändern. Zumindest solange mein Sudo-
Zugriff nicht entsprechend eingeschränkt ist.
Im Unternehmensumfeld oder bei generell bei einer Administration von
Servern durch mehrere Leute mag Anderes sinnvoll sein. Da mag es
sinnvoller sein, wenn jeder mit einem eigenen Passwort sich anmeldet.
Via SSH-Schlüssel ließe sich der sich anmeldende Benutzer jedoch auch
identifizieren.
So oder so, hatten wir genau diese Diskussion schon einmal. Und ich sehe
keinen großen Grund, das zu wiederholen. Ich schreibe nur, um zu zeigen,
dass es dazu unterschiedliche Ansichten geben darf.
Das ganze ist keine Religion. Dass "sudo" aus verschiedenen Gründen
sinnvoller sein mag als "su" das hat mir Theodore T'so mal auf eine
Weise erklärt, die ich nachvollziehen konnte. Daher habe ich mir auf dem
Laptop sudo angewöhnt. Auf den Servern verwende ich su ohnehin äußerst
selten.
Ciao,
--
Martin
Reply to: