sudo - warum verwendet es kein root-pw?

G

gsellsbaer

New Member
Hallo,
ich bin grad ein wenig beim Wiedereinstig in Linux und frage mich gerade, warum ich für den Sudo-befehl das Userpasswort eingeben muss und nicht das root-pw.. ist das nicht etwas unsicher?

Viele Grüße
 
Nein, weil in /etc/sudoers definiert wird, welche root Aktionen ein User mit sudo durchführen darf.
Es ist gerade Sinn von sudo eine Möglichkeit zu bieten, root-User Aktionen durch normale User durchführen zu lassen ohne dass die User das root-Passwort kennen.
root-Rechte können so auch schnell wieder entzogen werden
 
Mit 'sudo' gibst Du nicht-privilegierten Usern die Möglichkeit, einzelne Befehle mit root-Rechten auszuführen. Hätten diese User nun das root-PW, könnten Sie direkt alle Befehle ausführen und der Sinn von sudo wäre ausgehebelt.

Code: 
sudo allows a permitted user to execute a command as the superuser or another user, as specified in the sudoers file.  The real and effective uid
       and gid are set to match those of the target user as specified in the passwd file and the group vector is initialized based on the group file
       (unless the -P option was specified).  If the invoking user is root or if the target user is the same as the invoking user, no password is
       required.  Otherwise, sudo requires that users authenticate themselves with a password by default (NOTE: in the default configuration this is the
       user’s password, not the root password).  Once a user has been authenticated, a timestamp is updated and the user may then use sudo without a
       password for a short period of time (15 minutes unless overridden in sudoers).
 
Mit 'sudo' gibst Du nicht-privilegierten Usern die Möglichkeit, einzelne Befehle mit root-Rechten auszuführen. Hätten diese User nun das root-PW, könnten Sie direkt alle Befehle ausführen und der Sinn von sudo wäre ausgehebelt.
Click to expand...
Widerspruch!
Bei sudo gibt es als standardmäßig keine Einschränkung auf bestimmte oder nur einzelnen Befehle. Einziger Sinn von sudo liegt IMHO darin, dass man sich nicht als root anmelden kann und somit es den Hackern gerade bei ssh auf einem fernen Server via Internet es schwer gemacht wird, dass root Passwort zu erraten.
Versuch mal z.B.:
Code: 
sudo su
Nach Eingabe des Passwortes des jeweiligen Benutzers erhältst Du dann die shell als root und kannst sämtliche(!) Befehle, Programme, Scripte als root ausführen, und zwar ohne jedesmal sudo davor zu schreiben zu müssen.
Unabhängig davon lässt sich jederzeit das root-Konto mit einem Passwort aktiveren.

Übrings mit su und der Angabe des Benutzerkontos kann sich ein root jeweils die shell auch von nicht aktiven Benutzer geben lassen und in seinem Namen Befehle ausführen und Programme starten. z.B. www-data. Mit jeweils exit geht es den jeweiligen shells zurück.

Daher unbedingt große Sorgfalt walten lassen, wer sudo erhält und wer nicht. Dieser Benutzer ist auf der shell ohne Wenn und Aber dem root gleichgestellt!

Nachtrag:
Man kann natürlich Einschränkungen in /etc/sudoers definieren. Aber standardmäßig dürfen diese eben alles. Wenn man das vergisst, gibt es u.U. o.g. Ärger. Daher relativiere ich meinen Widerspruch.
 
Last edited by a moderator:
Ja, ich habe es ja schon relativiert. Nun ist es aber so, dass bei einer Standard-Installation von z.B. Ubuntu sudo zunächst ohne Einschränkungen aktiv ist.
Ok, vielleicht schon z.T. Off-Topic.
 
Man sollte nicht von einer Distri auf den Rest schließen. Gerade bei Ubuntu ist sudo so eingerichtet, weil der root ja standardmäßig abgeschaltet ist

Bei Debian und Gentoo beispielsweise ist der User nicht standardmäßig in der sudoers vorhanden.

Ubuntu ist da eher die Ausnahme als der Standard
 
You must log in or register to reply here.
Back
Top