staging.inyokaproject.org

Hallo,

aufgrund der Diskussion zum Artikel Baustelle/sudo möchte ich dazu mal eine Diskussion anstoßen. Der erste Satz aus dem sudo Artikel:

"Um die Sicherheit auf Linux-Systemen zu erhöhen, sind administrative Aktionen nur mit den Rechten des Superusers möglich."

Was hat das Rootkonzept mit Sicherheit zu tun?

Es ist klar, das dieses Konzept aus der Geschichte herrührt und auf einem Multiusersystem das "verbiegen" des Systems von einem x-Beliebigen User verhindern soll. Aber: Hat dieses Konzept bei Ubuntu, welches in erster Linie für den normalen Hausgebrauch geschnürt wird, noch Gültigkeit?

Was kann sudo an Sicherheit bringen, wenn meine persönlichen, wichtigen, Daten (Bilder, Emails, Briefe, Musik) auf meiner /home-Partition liegen und ohne großem Aufwand von jedermann, der Zugriff auf meinen Rechner hat, ausgelesen, verändert und gelöscht werden kann?

Was kann sudo an Sicherheit bringen, wenn bei einem durch Schadcode komprommitierten System meine persönlichen, wichtigen, Daten nicht geschützt sind?

Gruß
kaputtnik

Ich würde sagen, dass ist letztendlich eine Frage, was man unter Sicherheit versteht. Sicher im Sinne, schützt vor böswillig geworfenen Dachziegeln erreicht man damit ggf. nicht. sicher im Sinne von, die Dachziegel können nicht ohne weiteres versehentlich vom Dach geworfen werden, eher. Es ist ja schon schlimm genug wieviel Anwender trotz bewussten Arbeiten im Gefahrenbereich sogar mit sudo noch ihr System zerschiessen 😉 (Wenn man wie ich mit Bash auf dem Kriegsfuß steht, kann auch durchaus ein außer Rand und Band geratenes Shellscript gefährlich werden). Vielleicht könnte man statt Sicherheit Betriebssicherheit schreiben...

Also wird in erster Linie das Betriebssystem vor dem User geschützt... Hat sicherlich auch seine Berechtigung 😀

Wenn ich der einzige User des Systems bin, dann kann ich mir die Seminararbeit oder unwiederbringliche Fotos zerschießen - ob mit oder ohne Rootrechte. Mit Rootrechten kann ich /usr/bin löschen, aber das ist nicht die große Gefahr für ein Heimsystem.

Ja, das root-System ist kein großer Sicherheitsbeitrag zu Hause. Wenn noch andere Personen das System nutzen, dann haben sie i.d.R. physischen Zugang, und da enden die Möglichkeiten des Absicherns gegen andere da, wo der andere einen Schraubenzieher zu bedienen weiß.

Man könnte als User von einem Exploit betroffen sein - z.B. der Browser stürzt beim Laden manipulierter Bilder ab, und führt dann Code aus - die Schadroutine wäre wohl einfacher, wenn der Angreifer davon ausgehen könnte, daß der User Rootrechte hat. Man soll jetzt also nicht ausrufen: "Leute, macht ruhig alles als root!".

Mir sind auch einige Artikel rund um Sicherheit unangenehm i.S.v. verbesserungsbedürftig aufgefallen. Der Artikel sudo, Sicherheits 1x1 und Lokale Sicherheit gehören dazu. Ich halte die Artikel für ebenso unstrukturiert und unausgegoren wie user unknowns Thesen. Hier mal ein paar Gegenthesen von mir:

Viele User sind überrascht wie leicht man an Ihre Daten kommt, wo sie doch ständig von diesen Passwortabfragen heimgesucht und drangsaliert werden. Und dann schützt das alles nicht mal davor, um von der eigenen Tochter gehackt zu werden?

Richtig. Das Root- und Mehrbenutzerkonzept sind kein Allheilmittel. Das Problem wird im Artikel Lokale Sicherheit behandelt, u.a. unter Kapitel "System verschlüsseln". Verschlüsselung schützt die privaten Daten, wenn der Rechner ausgeschaltet ist. Das Mehrbenutzersystem und die Rechteverwaltung im Dateisystem schützen private Daten im Betrieb.

Im privaten Raum, wo man nicht für andere User mitverantwortlich ist, kann man viel mehr Schaden an den eigenen Daten anrichten, als am System, und davor schützt einen sowieso niemand.

Richtig. Das Root- und Mehrbenutzerkonzept sind kein Allheilmittel. Gegen deinen persönlichen Datengau hilft andere Medizin: das Backup.

Das Root- und Mehrbenutzerkonzept schützen nur vor:

• gegenseitiges unerlaubtes auslesen der Daten von Mitbenutzern

• Veränderung / Beschädigung des Betriebssystem.

• Erschweren der Installation von Trojanern usw. in deine persönlichen Profile. (Du kannst auch deine .profile von root verwalten und für dich nur lesbar machen lassen.)

Das ganze Thema Sicherheit muss systematischer angegangen werden!!!

Welche Sicherheitsziele verfolge ich?

• Integrität / Schutz vor Manipulation

• Vertraulichkeit / Schutz vor Lesen privater Daten durch Unbefugte

• Verfügbarkeit

Was wird geschützt?

• Hardware

• Betriebssystem

• persönliche Daten

Wann wird geschützt?

• im Betrieb

• außer Betrieb / Abwesenheit des Besitzers

Womit wird geschützt?

• Zugangskontrolle zum Gerät

• Schutz vor Manipulation des Geräts

• Prüfsummen von Dateien bilden

• Verschlüsselung

• Verwendung von Readonly-Speichermedien

Damit wäre schon mal ein Rahmen für eine systematische Diskussion von Angriffsszenarien und Gegenmaßnahmen gegeben. Dann legt mal los! Ich hätte Lust, das zu übernehmen, aber habe nicht genug Zeit.

Grüße

linuxbasher

Zwei Dinge:

Erstens:

kaputtnik schrieb:

Was hat das Rootkonzept mit Sicherheit zu tun? ... Aber: Hat dieses Konzept bei Ubuntu, welches in erster Linie für den normalen Hausgebrauch geschnürt wird, noch Gültigkeit?

Das Rootkonzept hat sehr viel mit Sicherheit zu tun, wenn man weiß was Sicherheit bzw. was ein Sicherheitskonzept ist.

Das Rootkonzept schützt das System und die Daten anderer Benutzer im laufenden Betrieb. Beispiel für die Heimpraxis: Filius kann - da er das Rootpasswort nicht kennt - einen Trojaner nur in seinem Account installieren. Damit hat der Trojaner den Filius-Account kompromittiert, gefährdet aber noch nicht das ganze System oder die Daten vom Papa-Account.

Arbeitet im Heimbereich nur ein einziger Benutzer mit dem Rechner, so bietet das Rootkonzept "nur noch" Systemsicherheit. Die Systemsicherheit mag für jemanden der sich auskennt im Heimbereich in der Tat keine so große Rolle spielen. Allerdings ist die Mehrzahl der Heimanwender eher unerfahren. Insofern ist es für diese schon sehr hilfreich, wenn es eine Konzeption gibt, die ihnen - soweit das möglich ist - einen System-Grundschutz gewährleistet.

Als Beispiel fiel mir da jetzt mal ein:

Eine verstellte System-Uhrzeit verhindert die Anmeldung am heimischen WLAN-Accespoint und damit den Zugang zum Internet. Es gibt Betriebssysteme da verhindert sie das Einspielen von Sicherheits-Updates.

Davon abgesehen ist das Rootkonzept Teil eines Sicherheitskonzeptes ist aber nicht das Sicherheitskonzept selbst. Das hat das Rootkonzept auch niemals für sich in Anspruch genommen.

Zweitens:

Die Debatte zeigt mal wieder sehr schön, dass diesem Wiki ein Artikel fehlt, der sich mit der Thematik "Sicherheitskonzept" sinnvoll und vor allem auch strukturiert auseinandersetzt. Sicherheit ist eben immer ein Konzept, welches sich an der für die zu schützenden Dinge real existierenden Bedrohungslage richtet. Das geht insoweit in die Richtung der Ausführungen von linuxbasher.

Gruß, Martin

Newubunti schrieb:

Arbeitet im Heimbereich nur ein einziger Benutzer mit dem Rechner, so bietet das Rootkonzept "nur noch" Systemsicherheit. Die Systemsicherheit mag für jemanden der sich auskennt im Heimbereich in der Tat keine so große Rolle spielen. Allerdings ist die Mehrzahl der Heimanwender eher unerfahren. Insofern ist es für diese schon sehr hilfreich, wenn es eine Konzeption gibt, die ihnen - soweit das möglich ist - einen System-Grundschutz gewährleistet.

Als Beispiel fiel mir da jetzt mal ein:

Eine verstellte System-Uhrzeit verhindert die Anmeldung am heimischen WLAN-Accespoint und damit den Zugang zum Internet. Es gibt Betriebssysteme da verhindert sie das Einspielen von Sicherheits-Updates.

Das mit dem System-Grundschutz verstehe ich nicht.

Wie stellt sich auf dem System eine falsche Zeit ein? Doch nicht unabsichtlich?

user unknown schrieb:

Wie stellt sich auf dem System eine falsche Zeit ein? Doch nicht unabsichtlich?

Nein, das nicht. Aber dass das Ändern der Systemzeit nur mit Eingabe des Passwortes möglich ist bildet zumindest mal die Möglichkeit, überhaupt auf die Idee zu kommen, dass die Systemzeit etwas Sicherheit-relevantes ist.

Gäbe es auf dem Einzelplatz-Rechner von Anfang an das Sudo-Konzept nicht und alles wäre ohne Eingabe von Passwörtern konfigurierbar, so könnte ein Bewusstsein für Aktionen, die System-kritisch sein können erst gar nicht beim Anwender entstehen.

Gruß, Martin

Entschuldige, aber das sind mir zuviele Ecken, um die Du denkst.

Die Uhrzeit stimmt nicht, also stelle ich sie um. Ich stelle fest, daß ich sudo-Rechte dafür brauche, und komme dadurch auf die Idee, daß mein Router mich vielleicht nicht mehr ins Internet stellt? Daß ich keine Backups Updates mehr bekomme?

user unknown schrieb:

Hm. Das erhöht jetzt meine Sicherheit?

Nein, das erhöht nicht Deine Sicherheit und auch nicht die Deiner persönlichen Daten. Es erhöht die Sicherheit Deines Systems - nicht mehr, nicht weniger. Das "Rootkonzept" erhöht niemals Deine Sicherheit oder die Deiner Daten.

Daß man mit falscher Uhrzeit vom Router zurückgewiesen wird - wo kann ich das nachlesen?

Ich weiß nicht, wo Du das nachlesen kannst aber ich habe es im Bekanntenkreis schon definitiv mehr als ein mal erlebt - und das mag wegen mir auch an fehlerhafter Firmware gelegen haben - dass man sich nicht mehr mit WLAN-Schlüssel am Router anmelden konnte, weil die Zeit auf dem System falsch war.

Auf alle Fälle ist es so, dass kein sonderlich ausgeprägtes Sicherheitsbewusstsein für das System entsteht, wenn Systemeinstellungen nicht durch Passwortabfragen geschützt sind.

Natürlich nimmt das "Rootkonzept" auf einem Einzelplatzrechner nicht den gleichen Stellenwert, wie auf einem Multiuser-Netzwerksystem ein, ganz hinfällig ist es aber auch auf einem Einzelplatzrechner in einem Gesamtsicherheitskonzept auch nicht.

Davon unberührt bleibt die Notwendigkeit weiterer Sicherheitsmaßnahmen für den Schutz der persönlichen Daten auf dem Einzelplatz-System.

Sudo ist kein hinfälliges Konzept, nur darf man es dem Benutzer nicht als das wesentliche Sicherheitsmerkmal eines Einzelplatzrechners verkaufen, soweit es um den Schutz von Privatsphäre und persönlichen Daten geht.

Gruß, Martin

Der Teufel steckt im Wort "Sicherheit" im Kontext mit Computern. Bei diesem Begriff denkt jeder "normale" Benutzer an Schadcode (Viren, Trojaner etc) und verbindet damit am ehesten Begriffe wie "Antivirensoftware" und "Firewall".

Auf den Gedanken "mein Betriebssystem ist vor mir sicher" denkt man einfach nicht, weil man ja schließlich der Herr über seinen Rechner ist/sein will.

Auch wenn's kein konstruktiver Beitrag ist: Die größte Gefahr für einen PC lauert nicht im Internet, sie sitzt an der Tastatur !

kaputtnik schrieb:

Der Teufel steckt im Wort "Sicherheit" im Kontext mit Computern. Bei diesem Begriff denkt jeder "normale" Benutzer an Schadcode (Viren, Trojaner etc) und verbindet damit am ehesten Begriffe wie "Antivirensoftware" und "Firewall".

Es gibt keine normalen Benutzer. Davon abgesehen mag es sein, daß viele zuerst an Viren und Würmer denken, aber andere denken an Datenverlust - z.B. die, die schon einen erlebt haben. Oder an Abmahnungen und Urheberrechte, an Gewitter und Überspannschutz, an Einbruch und Datenschutz. Es gibt viele Sicherheitsthemen, und viele Möglichkeiten darüber nachzudenken.

Auf den Gedanken "mein Betriebssystem ist vor mir sicher" denkt man einfach nicht, weil man ja schließlich der Herr über seinen Rechner ist/sein will.

Das Vor mir sicher würde ich auch mit 3 Tipps beantworten: Backups, Backups und Backups.

Sudo kann einen Schutz bedeuten, wenn im Heimbereich z.B. die junge Tochter sich auskennt und den Admin spielt, und die Eltern gutmütig und respektvoll den Schraubenzieher in der Schublade lassen. Aber wer genug Selbstdisziplin hat, und nicht wild mit Kommandos experimentiert, der wird auch in einer Root-Shell keinen Schaden anrichten.

Selbstdisziplin bietet Schutz, und vielleicht hilft das sudo-Konzept beim Einüben der Selbstdisziplin. Und umgekehrt - ein Hallodri, der nichts auf sudo und Useraccount gibt, der schießt sich wohl schneller ins Knie, als ein sorgsamer User.