Root-Rechte an einen User vergeben?
- Thread starter Ron
- Start date
Ich bin in diesem Thread auch schon über das NOPASSWD gefallen. Kann ich nicht bestätigen. Wie schon geschrieben, fragen alle Ubuntus, die ich gesehen habe, nochmal nach dem Passwort, wenn sudo ausgelöst wird.
Nein, NOPASSWD ist _nicht_ per default gesetzt. Scheint sich zwar irgendwie zur Mode entwickelt zu haben über Ubuntu als Dummuser-Distro herzuziehen, aber da muss man den Ball dann auch mal flach und sich an die Tatsachen halten.
Ich weiß deine Beiträge echt regelmäßig zu schätzen, aber das ist dann doch ziemlicher Unsinn.
tomasini
New Member
Unsinn, was Joe hier schreibt? Für mich klingt das alles eher noch Totalschaden. Vor einiger Zeit hatte ich diesen Eintrag in einem (halb)offiziellen Ubuntu-Wiki entdeckt:
http://wiki.ubuntuusers.de/sudo/Konfiguration
Man beachte insb. den Abschnitt "Root-Passwort einrichten". Per default, also bei nicht gesetztem Root-Passwort, erhält jeder minderpriviligierte User also nach einem Reboot ins Rescue System eine Root-Shell(!). Wie praktisch. Und wozu braucht man überhaupt das ganze sudo-Gedöns? Für die grafischen(!) Admin-Tools. Toll.
Ich sagte es ja bereits, Totalschaden.
http://wiki.ubuntuusers.de/sudo/Konfiguration
Man beachte insb. den Abschnitt "Root-Passwort einrichten". Per default, also bei nicht gesetztem Root-Passwort, erhält jeder minderpriviligierte User also nach einem Reboot ins Rescue System eine Root-Shell(!). Wie praktisch. Und wozu braucht man überhaupt das ganze sudo-Gedöns? Für die grafischen(!) Admin-Tools. Toll.
Ich sagte es ja bereits, Totalschaden.
So wenig ich für Ubuntu einstehen will, aber jetzt werdet ihr hysterisch. Jeder, der physikalischen Zugang zum Rechner hat, kann sowas. Ob mit oder ohne sudo.
- Rescue-CD booten und mounten
oder
- im grub einfach mal init=/bin/bash an die Kernel-Optionen anhängen
oder, oder, oder ...
- Rescue-CD booten und mounten
oder
- im grub einfach mal init=/bin/bash an die Kernel-Optionen anhängen
oder, oder, oder ...
wstuermer
Active Member
Ich hab's auf diversen 10.04LTS und 12.04LTS als Standard nach der Installation und vor der weiteren Systemkonfiguration.
Hängt das evtl mit der Art der Installation zusammen?
Ich hab grade mal nacheinander 12.04 LTS und 12.10 alpha *from scratch* installiert.
Inhalt der /etc/sudoers bei beiden
//EDIT: Ich unterstelle einfach das man bei der Install von CD mit klick klick, den Weg des geringsten Widerstands geht.
Meine Install verhält sich in Bezug auf user / sudo wie ein Debian.
Gruß Sven
Ich hab grade mal nacheinander 12.04 LTS und 12.10 alpha *from scratch* installiert.
Inhalt der /etc/sudoers bei beiden
Code:
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:$
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification//EDIT: Ich unterstelle einfach das man bei der Install von CD mit klick klick, den Weg des geringsten Widerstands geht.
Meine Install verhält sich in Bezug auf user / sudo wie ein Debian.
Gruß Sven
Last edited by a moderator:
M
Marentis
Guest
Sobald ich physischen Zugriff auf einen Rechner habe, kann ich potentiell auf alle Daten zugreifen und - falls ich das möchte - auch verändern.
Ich kann beispielsweise von einer LiveCD booten und die jeweilige Partition mounten und mich an der /etc/passwd vergreifen. Obwohl selbst das wohl unnötig wäre, wenn es mir nur darum geht, dass ich Einstellungen verändern möchte, kann ich das in dem Moment, in dem ich das Dateisystem gemountet habe.
Analog kann ich unter Windows noch so tolle Nutzerkennwörter haben, auch hier kann ich einfach das Dateisystem mounten und die Daten auslesen, bzw. manipulieren.
Wenn ich also in dieser Richtung Befürchtungen habe (warum auch immer), bringt mich nur eine Verschlüsselung weiter.
Ansonsten bin ich mit meinem Arch (Desktop), Gentoo (Server) auch nicht sicherer oder unsicherer unterwegs, das Rootpasswort muss zwar am Anfang gesetzt werden, zur Administration benutzt man dann aber doch wieder sudo, was wiederum über das Nutzerpassswort läuft.
Ansonsten gibt es andere Gründe warum mir "fertige Distris" wie Ubuntu nicht gefallen, das gehört aber wohl nicht mehr zur Diskussion.
Ich sehe, seit für die Administration SSH anstelle von Telnet verwendet wird, für Server die bei einem Hoster stehen keinerlei Vorteile den root-Zugang zu blockieren, denn
a) Wenn ich mich auf den Server einlogge, so weiss ich eigentlich was ich mache, und brauche keinen Schutz davor unbedarft rm -f -r / einzugeben
b) Denke ich kaum, dass bei Verwendung eines PubKeys die Gefahr besteht, dass sich ein übler Zeitgenosse auf den Server schmuggeln kann
bzw. c) bei Verwendung eines entsprechend komplexen Passworts jemand dieses innerhalb eines Menschenlebens bruteforcen kann.
a) Wenn ich mich auf den Server einlogge, so weiss ich eigentlich was ich mache, und brauche keinen Schutz davor unbedarft rm -f -r / einzugeben
b) Denke ich kaum, dass bei Verwendung eines PubKeys die Gefahr besteht, dass sich ein übler Zeitgenosse auf den Server schmuggeln kann
bzw. c) bei Verwendung eines entsprechend komplexen Passworts jemand dieses innerhalb eines Menschenlebens bruteforcen kann.
DjTom-i
Member
sudo kann so konfiguriert werden wie man will.
Was ein Wind wegen ein wenig Grundlagen der Konfiguration die bereits bei der Grundinstallation vollständig gesteuert werden sollte.
User können angelegt werden oder auch nicht.
preseed und debconf helfen dabei.
Wo war eigentlich das Problem jetzt? Achso die die es sich noch nicht genauer angeschaut haben motzen das bei der Distro welche sich an eine total andere Zielgruppe richtet eben andere Mechanismen vorhanden, bzw per default aktiviert werden?
Alles ist gut man sollte einen Server schon konfigurieren. Und DAUS klar macht man es denen einfach. Da sollten PROs eben ihre eigenen Schlüsse draus ziehen und die Konfig so machen wie Sie wollen.
Und nochmal Ubuntu Grundkonfiguration: Sprechen wir jetzt von der eines Desktops oder sprechen wir jetzt von der eines Servers der per preseed/debconf installiert und konfiguriert wurde? Der Auslieferungszustand ist doch nicht der den ein Kunde erhält der einen Server mit einem professionellen Anbieter (sofern dieser seine Hausaufgaben gemacht hat.) installiert...
Was ein Wind wegen ein wenig Grundlagen der Konfiguration die bereits bei der Grundinstallation vollständig gesteuert werden sollte.
User können angelegt werden oder auch nicht.
preseed und debconf helfen dabei.
Wo war eigentlich das Problem jetzt? Achso die die es sich noch nicht genauer angeschaut haben motzen das bei der Distro welche sich an eine total andere Zielgruppe richtet eben andere Mechanismen vorhanden, bzw per default aktiviert werden?
Alles ist gut man sollte einen Server schon konfigurieren. Und DAUS klar macht man es denen einfach. Da sollten PROs eben ihre eigenen Schlüsse draus ziehen und die Konfig so machen wie Sie wollen.
Und nochmal Ubuntu Grundkonfiguration: Sprechen wir jetzt von der eines Desktops oder sprechen wir jetzt von der eines Servers der per preseed/debconf installiert und konfiguriert wurde? Der Auslieferungszustand ist doch nicht der den ein Kunde erhält der einen Server mit einem professionellen Anbieter (sofern dieser seine Hausaufgaben gemacht hat.) installiert...
B
blupp1
Guest
Soweit ich weiß, gibt es auch eine Server-Version von Ubuntu....
M
Marentis
Guest
Ja, gibt es. Ich habe schon damit gearbeitet und mir wären jetzt weder positive, noch negative Dinge aufgefallen. Eine klassische Serverdistri eben.