SU, SUDO ...oder so, Du?

Hinweis: In dem Thema SU, SUDO ...oder so, Du? gibt es 11 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.

    Hallo Forum :)


    Angelehnt an diese schöne Beitragskette habe ich eine Frage...und noch eine... ;) denn ich stelle fest dass mir hierzu offenbar fundamentales Wissen fehlt, respektive dass sich "seit damals" :D womöglich Dinge geändert haben die ich - oder nicht - anders verstanden habe. Gesucht habe ich nach einer _schlüssigen_ Antwort auf die Frage wie ich einem bestimmten Nutzers eines Rechners möglichst stark begrenzt erlauben kann
    SU oder SUDO zu benutzen. (Das ist Frage #1 :) ) "Benutzer Y" soll erlaubt werden Software nachzuinstallieren - aber den Drucker rauszukegeln oder die Firewall auszuschalten nicht. (Beispiel um die Antwort kurz zu halten...)


    Ich fand die Ausführungen von "Herrn Benachrichtigung" recht erhellend....und dann sofort wieder verdunkelnd :D Wie sich die beiden Befehle unterscheiden war mir klar und ist es noch. Dass ich SUDO aber vergessen soll... ?( was mache ich dann in Skripten? Stellt ein

    Code
    alias upme='sudo zypper ref && sudo zypper up'

    in der .bashrc schon ein Sicherheitsrisiko dar und ich ahne seit Jahre nix? =O (Frage #2)


    Kann mir das bitte nochmal jemand ausführen oder den richtigen Link zur Lektür' setzen? Das wäre fein, Danke im Voraus! :thumbup:



    Grüße von
    KiB

    Never attribute to malice that which can be adequately explained by stupidity.


    Für den Inhalt des Beitrages 138703 haftet ausdrücklich der jeweilige Autor: 1440 KiB

    Frage #1 ....im Kofler nachgelesen: *Klicki* Kapitel 13.4.3 :smilie_school_012:
    Frage #2 interessiert mich weiter....


    Grüße von
    KiB

    Never attribute to malice that which can be adequately explained by stupidity.


    Für den Inhalt des Beitrages 138707 haftet ausdrücklich der jeweilige Autor: 1440 KiB

    Moin zusammen,


    KiB ja das kannst Du machen.
    Du musst allerdings in der sudoers ganz fein granulieren und wirklich gut Bescheid wissen (Dich damit also beschäftigen).


    Wird im industriellen Umfeld sehr häufig so gemacht, da in der Regel verschiedenste Fraktionen an einem System arbeiten (z.B. DB Admins, die bestimmte Commands nur mit root absetzen können, genauso wie bei SAP und vielen anderen Dingen auch).
    Es gibt heutzutage in vielen IT Services nicht mehr DEN klassischen Admin, der alles kann und alles weiss. Vielmehr sind Admin Tätigkeiten fraktioniert und der klassische Sysadmin hat sozusagen die Oberhoheit und achtet darauf dass alles sauber geht.


    Das hat immer etwas zu tun mit Nachvollziehbarkeit. Sprich as many as needed as less ass possible. Bedeutet, maximal 1 bis 2 Personen haben volle Root Berechtigung - und sind verantwortlich. Alle anderen müssen mit einem personalisierten User auf die Kiste und mit sudo arbeiten. Damit eben genau nachvollzogen werden kann wer was wann tut bzw. getan hat.


    Fazit:
    sudo ist ein sehr mächtiges Instrument bei dem man aber genau wissen soll was man tut und welche Wirkung es hat wenn man damit arbeitet.


    Zu Frage 2:
    Sicherheitslücke nunja ... ich würde grad bei Arbeiten so tief im System _immer_ mitr vollem Root arbeiten, sprich mit su - eine Rootshell öffnen mit Eingabe des Spassworts und von da aus dann diese Arbeiten machen.
    Sollte Dein Account kompromittiert sein/werden, kann der Angreifer mit diesem sudorecht Unfug anrichten sofern Du den sudoers mit nopasswd gesetzt hast. Das zum Thema Sicherheit.

    Viele Grüße,
    T.

    Einmal editiert, zuletzt von Tamerlain ()

    Für den Inhalt des Beitrages 138725 haftet ausdrücklich der jeweilige Autor: Tamerlain

    Hallo Tamerlain :)



    Zitat von Tamerlain

    kann der Angreifer mit diesem sudorecht Unfug anrichten sofern Du den sudoers mit nopasswd gesetzt hast.

    nöönöö! :D Das Spaßwort wird schon immer brav abgefragt... Mich fuchst dass es immer das root-PW ist! Wenns EINE nette Sache aus z.B. Raspbian gibt die ich sehr fein finde, dann dass "Meine Sudoers" nach ihrem NUTZERpasswort gefragt und dann eingelassen werden! Das würde ich sehr gerne auch beim konkreten openSuSE-System so haben, drum die Nachfrage in 1.) Diese Herangehensweise hat den Vorteil dass ich das rootPW nicht an ALLE "Vertrauten" ;) herausgeben muss. Das umzusetzen wird sicher für Multi-User-Erfahrene eine kleine Lachnummer sein... Für mich, der ich bislang ausschließlich Einzelplatzsysteme ohne jede Vernetzung und nie mit mehr als zwei ("süüüß" :D ) Nutzern - die dann in der Praxis auch beide immer ICH waren - fuhr ist das halt "Neuland" :D


    Hierbei besonders verwirrend: Der wheel -Ansatz von opensuse im Vgl. zu Debian/Raspbian/LMDE3, der das Gleiche tun könnte wie die Gruppe sudo.... macht er aber nicht, so mein bisheriger Stand.
    Das nachzulesen ist dann der Job für die nächsten Tage, für jeden Tip ins richtige Bücherregal oder eigene textliche Geschwülste danke ich schon jetzt! :thumbup:




    Grüße von


    KiB

    Never attribute to malice that which can be adequately explained by stupidity.


    Für den Inhalt des Beitrages 138730 haftet ausdrücklich der jeweilige Autor: 1440 KiB

    Hallo Herr Kanonentux! :D SCNR



    Zitat von Du

    Kalle ist "Berichtigung"!

    Jupp. fiel mir dann als das Korrekturfenster sich schon geschlossen hatte auch auf....tut mir leid Ihn da unfällig verballhornt zu haben! Da schwang aber kein Zynismus mit, falls das die Frage war...!
    Ich gelobige mich zu verbessern ;)


    Daher: Danke, Kalle für Deine Ausführungen zum Thema! Und ebenso Dank Herr Kanonentux (OK....da schwang jetzt bissi was mit..... ;) ) für den Senf :)



    Grinse von
    KiB ^^

    Never attribute to malice that which can be adequately explained by stupidity.


    Für den Inhalt des Beitrages 138736 haftet ausdrücklich der jeweilige Autor: 1440 KiB

    Die Gruppe wheel gibt es neuerdings auch bei openSUSE, das nur am Rande.


    sudo ist genau, was du möchtest.
    Und wenn du es verstanden haben wirst, wird auch kein Rootspasswort mehr verlangt, sondern das Userspasswort, das sogar gecached wird.
    (Natürlich kann man die Dauer des Cachens ebenfalls nach Gusto einstellen)

    Hallo Herr Kalle! :D


    Willkommen im Faden und nochmals Danke für den Denkanstoß - naja...beide! :)
    Es kleckert langsam Erkenntnis rein, per visudo habe ich schonmal erreicht dass zum "Dürfen" das UserPWD benutzt wird: ZauberLink
    Mein "Benutzer Y" darf jetzt alles und benötigt dafür kein rootPWD, ich bin also halb-glücklich :D
    Jetzt muss ich ihm den "Dürf-Schein" natürlich wieder wegnehmen! Lies: Die Allmacht auf Packagekit und CUPS beschränken. Ich lese derzeit was zu PolKit.


    Gibt´s eine schlauere Lösung oder bin ich auf der richtigsten der Spuren?



    fragt weiterlesend


    KiB



    P.S. Ich betrachte Frage #2 somit auch als beantwortet....jedenfalls wenn ich das Zeitrestriktionsknöpfchen für sudo Taten auch endlich entdeckt habe....was dauern mag :whistling:

    Never attribute to malice that which can be adequately explained by stupidity.


    Für den Inhalt des Beitrages 138749 haftet ausdrücklich der jeweilige Autor: 1440 KiB

    Zitat von Ich


    Ich lese derzeit was zu PolKit.



    Gibt´s eine schlauere Lösung oder bin ich auf der richtigsten der Spuren?

    Das beantworte ich mal selbst: HmmmNÖ! Das ist albern....da wird man ja irre drüber! Viel zu kompliziert! Das muss einfacher gehen... :P


    Also bitte nochmal ans Händchen nehmen! Wo kann ich ansetzen um


    Zitat

    Die Allmacht auf Packagekit und CUPS beschränken.

    ?? :)


    Grüße von
    KiB

    Never attribute to malice that which can be adequately explained by stupidity.


    Für den Inhalt des Beitrages 138751 haftet ausdrücklich der jeweilige Autor: 1440 KiB