staging.inyokaproject.org

Ich habe mir mal die Rechte für su und sudo betrachtet:

-rwsr-xr-x    1 root     root        85496 2004-11-17 19:10 sudo
-rwsr-xr-x    1 root     root        22872 2004-11-03 11:09 su

Wäre es nicht sinnvoll die Rechte auf -rwsr-x-– zu ändern und eine Gruppe wheel einzurichten wo die User drinstehen die diese beiden verwenden dürfen?

eigetnlich eine gute idee

stimmt, habe mich schon gefragt wo die Berechtigungen für sudo herkommen.

Oh oh, das sieht böse aus:

ronnie@freedom:/usr/bin $ ls -al sudo
-rwsr-xr-x    1 root     root        85496 2004-11-17 19:10 sudo
ronnie@freedom:/usr/bin $ sudo chgrp wheel sudo
ronnie@freedom:/usr/bin $ ls -al sudo
-rwxr-xr-x    1 root     wheel       85496 2004-11-17 19:10 sudo

Ich habe mich wohl ausgesperrt. Das setuid-Bit verschwindet mit dem chgrp! Hat einer 'ne Idee wie ich da wieder rauskomme?

NACHTRAG:
Wenn man im 'Notfall'-Modus bootet bekommt man eine root-shell ohne Anmeldung. Sicherheitsmäßig betrachtet ist das nicht okay - kam mir aber eben gerade Recht.

jo der Single-User Modus. Ist ein Hack aus "Linux Hints and Hacks" .. Darum auch ein Bios-Passwort verwenden um die physische Sicherheit zu garantieren 😉

Sobald jemand physikalischen Zugriff aud einen Rechner hat, ist er niemals sicher, da hilft auch ein Bios Passwort nicht viel.

Übrigens macht es meines Erachtens keinen Sinn an den Rechten von sudo rumzuspielen, denn die Rechte werden über die Datei /etc/sudoers geregelt bei der die Berechtigung sehr eingeschränkt ist:

tlabdebian:/etc# ls -l sudoers
-r--r-----  1 root root 301 2004-12-27 09:41 sudoers

Da kommt man nur als root ran.

Übrigens macht es meines Erachtens keinen Sinn an den Rechten von sudo rumzuspielen, denn die Rechte werden über die Datei /etc/sudoers geregelt bei der die Berechtigung sehr eingeschränkt ist:

Je weniger Leute Zugriff auf setuid-root Programme haben, umso besser! Bei sudo hast du nicht Unrecht, da könnte man es sich evtl. auch sparen. Für su empfehle ich es aber auf jedenfall.

su prüft die uid des aufrufenden Users und wenn diese != 0 ist wird nach dem root Passwort gefragt. Mir reicht das an Sicherheit, denn wenn einem potenziellen Angreifer das root Passwort bekannt ist, dann braucht er su nicht.

Ronnie hat geschrieben:

Übrigens macht es meines Erachtens keinen Sinn an den Rechten von sudo rumzuspielen, denn die Rechte werden über die Datei /etc/sudoers geregelt bei der die Berechtigung sehr eingeschränkt ist:

Je weniger Leute Zugriff auf setuid-root Programme haben, umso besser! Bei sudo hast du nicht Unrecht, da könnte man es sich evtl. auch sparen. Für su empfehle ich es aber auf jedenfall.

Für su macht es keinen Sinn da es nichts anderes ist als ob root sich selber an einer shell anmeldet.

Unsicherer empfinde ich sudo.

Mit sudo bash kommt man auch direkt in eine rootshell. Und kann damit die Datei sudoers ändern. Wie ist das bei ubuntu? Haben alle neu angelegten User sudo rechte?

kawie hat geschrieben:

Wie ist das bei ubuntu? Haben alle neu angelegten User sudo rechte?

Eigendlich nicht. Nur der erste User, der bei der Installation angelegt wird, bekommt per Default sudo Rechte. Einer muss ja schließlich den Admin mimen.