von Windows zu Linux

[Benutzer-2472]

Das mit "sudo=gefährlich" musst du bitte nochmal erklären, das hab ich nicht verstanden​

Man sollte immer vermeiden (bei jedem OS) mit Root/Admin Rechten herumzulaufen, da sich so Viren, Trojaner und Co teilweise leichter einnisten oder größere Schäden erzeugt werden können.

Stell es dir wie eine Kindersicherung vor. Die sollte halt fürs Internet immer drin sein, damit niemand von außen Unfug mit deinem Rechner treibt.​

 

[DocTrax]

Das mit "sudo=gefährlich" musst du bitte nochmal erklären, das hab ich nicht verstanden.

Bei Windows war es von jeher so, dass jeder Nutzer die Systemdateien ändern konnte. So konnten sich Viren überhaupt erst ausbreiten.
Das sudo ermöglicht auch eine Änderung der Systemdateien, weil kein Passwort abgefragt wird.
Bei einer Live-CD kann natürlich keine Systemdatei geändert werden und deshalb kann man da auch das sudo benutzen.

Bei Ubuntu ist es jedenfalls so, dass man als normaler Benutzer arbeitet, und
dann bei administrativen Arbeiten das Benutzerpasswort eingibt -

Hört sich gut an.

natürlich muss der Benutzer in der Gruppe "admin" sein.

So eine Gruppe gibts bei Debian nicht, ist wohl eine Ubuntu-Spezialität. Gruppen kannst ja definieren wie du willst.

Aber wenn jemand zufällig die Userrechte bekommt, kann er nix als Root ausführen ohne das Passwort zu kennen. Und man kann, wenn man will, auch ein Root-Passwort setzen + Benutzer aus "admin" entfernen...

Hat denn Ubuntu standardmäßig kein root-Passwort? Kein root-Passwort zu haben heisst nämlich, dass sich jeder als Superuser einloggen kann.

 

[Henne]

Hat denn Ubuntu standardmäßig kein root-Passwort? Kein root-Passwort zu haben heisst nämlich, dass sich jeder als Superuser einloggen kann.

Nein hat es nicht. Man kann sich zwar nicht normal mit su als root anmelden, aber wenn man beim Bootmanager den das Rescue System auswählt kommt man mit root und keinem Passwort rein.
Zumindest war das in der Version 6.04 so. Hat bei mir auch nen Freund in der Schule gemacht. Man guckt ziemlich blöd wenn nichts mehr geht.
Man kann das Passwort aber auch ändern mit "sudo passwd", dann kann man auch wie gewohnt su benutzen.

Henne

 

[DocTrax]

Nein hat es nicht. Man kann sich zwar nicht normal mit su als root anmelden, aber wenn man beim Bootmanager den das Rescue System auswählt kommt man mit root und keinem Passwort rein.
Man kann das Passwort aber auch ändern mit "sudo passwd", dann kann man auch wie gewohnt su benutzen.

Dann hab ich doch mal nachgefragt: Der root Account ist "gesperrt" und man hat einen quasi-root Account mit sudo-Rechten.
Ist aber IMO auch nicht so viel besser.

 

[BFabian]

Dann hab ich doch mal nachgefragt: Der root Account ist "gesperrt" und man hat einen quasi-root Account mit sudo-Rechten.
Ist aber IMO auch nicht so viel besser.

Es ist doch besser, zur Systemwartung nur einen Prozess mit Root-Rechten laufen zu lassen, statt sich dafür extra einzuloggen (dann kommt wenigstens noch eine Shell dazu). Sudo fragt bei anständiger Konfiguration nach dem Passwort, von daher ist die Gefahr wesentlich geringer als wenn alle systemkritischen Bereiche global schreibbar wären. Natürlich sollte man aufpassen, nicht jedem sein Benutzerpasswort auf die Nase zu binden, aber das versteht sich ja von selbst.

 

[Kopfgeldjaeger]

Das sudo ermöglicht auch eine Änderung der Systemdateien, weil kein Passwort abgefragt wird.
Bei einer Live-CD kann natürlich keine Systemdatei geändert werden und deshalb kann man da auch das sudo benutzen.

Sorry, das stimmt aber mal ÜBERHAUPT nicht!

1. Nur Benutzer, die in der Gruppe Admin sind, können sudo benutzen.
2. Bei sudo wird bei dem Benutzer ein Passwort abgefragt! Genauso wie bei
den restlichen anderen Linux-Distris, nur dass es eben das Passwort des Benutzers ist. Also nix mit "Trojaner können sich ohne Passwort ausbreiten", das ist falsch! Wenn du allerdings in einer virtuellen Konsole "sudo" benutzt, wird das Passwort für die nächsten 10 Minuten in dieser Konsole (und NUR in dieser Konsole, in der das PW eingegeben wurde) nicht mehr abgefragt. In einer anderen virtuellen Konsole muss dann jeweils das PW wieder eingegeben werden.
3. Wenn ein einfaches Skript nach der Eingabe des PWs ausgeführt wird (früheres Befehl mit "sudo", innerhalb von 10 Minuten) hat das die Benutzerrechte des jeweiligen Benutzers. Und wenn es zB ein Bashskript ist (Bash-Rootkit^^) muss es auch explizit "sudo" benutzen, ergo für Ubuntu gemacht sein (obwohl es AFAIK bei anderen Distris auch sudo gibt).
4. Bei der Live-CD kann sudo genauso benutzt werden, allerdings natürlich ohne PW (wenn man zB partitionieren will)

mfg

 

[DocTrax]

2. Bei sudo wird bei dem Benutzer ein Passwort abgefragt! Genauso wie bei
den restlichen anderen Linux-Distris, nur dass es eben das Passwort des Benutzers ist.

Bei mir wird das root Passwort abgefragt und falls das nicht gesetzt wäre (wie bei ubuntu) würde es auch nicht abgefragt. Das ubuntu-sudo ist kein normales sudo, wie ich eines hab - das hat mir der ubuntu Support auch gesagt. Zusätzlich sind noch logging-Funktionen bei dem ubuntu-sudo eingebaut (bringt aber nicht viel wenn es ein Angreifer weiss).
Jedenfalls fällt bei ubuntu der alte Spruch "Geh nie als root ins Internet!" weg.

 

[Kopfgeldjaeger]

Es wird das BENUTZER-PASSWORT abgefragt (hier steht nirgends was vom Gegenteil von "ja"), und nicht gar kein Passwort! Ein Skript/Wasweißich, das als normaler Ubuntu-Nutzer, der in der Gruppe admin ist, ausgeführt hat Benutzer-Rechte, und keinen Deut mehr! Und mitloggen kann man als Angreifer bei "sudo" gar nix. Nein, nicht mit Benutzerrechten. Also geht man NICHT als root ins Internet. Und wie gesagt, selbst wenn "sudo" in den letzten 10 Minuten genau in der Shell ausgeführt wurde, es wird innerhalb dieser Zeit manuell vom Benutzer mit ./root.kit gestartet (außerdem wurden die Datei ausführbar gemacht) muss das Skript explizit sudo benutzen, sonst hat es normale Benutzerrechte.

Letztendlich ist das sehr ähnlich als wäre das Rootpasswort dasselbe wie das Benutzerpasswort...

Und bei OS X ist es AFAIK auch so

mfg
​

 

[DocTrax]

Und mitloggen kann man als Angreifer bei "sudo" gar nix. Nein, nicht mit Benutzerrechten.

Das komische ubuntu-sudo loggt doch die Befehle und nicht irgendein Angreifer. Ist halt von ubuntu so umgebaut worden.

Letztendlich ist das sehr ähnlich als wäre das Rootpasswort dasselbe wie das Benutzerpasswort...

Das Benutzerpasswort ist das root-Passwort indirekt über sudo, obwohl der Benutzer nicht der root ist.

Wennst mir nicht glaubst frag bei Support.

 

[Kopfgeldjaeger]

Das hast du aber nicht geschrieben, sondern, dass man als Root ins Internet ginge. Und daraus lassen sich sehr wenige Möglichkeiten herausinterpretieren...
Das Speichern der mit sudo ausgeführten Befehle ist in /var/log/authlog, ich glaube aber nicht, dass das bei anderen Distris anders ist...

mfg...
​

 

[DocTrax]

Das hast du aber nicht geschrieben, sondern, dass man als Root ins Internet ginge. Und daraus lassen sich sehr wenige Möglichkeiten herausinterpretieren...

Nein, "quasi-root Account mit sudo-Rechten" hab ich geschrieben.
Wenn ich als normaler User versuche einen Befehl mit sudo auszuführen bekomme ich die Meldung:
$user is not in the sudoers file. This incident will be reported.

Wenn der root Account zum login gesperrt ist und kein Passwort hat bleibt aber keine andere Möglichkeit. Und scheinbar soll auch auch besser sein den root Account zu sperren. Man muss allerdings auf sein User Passwort aufpassen und noch einen oder mehrere accounts ohne sudo-Rechte anlegen.

 

[BFabian]

Spielt doch aber keine Rolle. Schadcode, der mit UID 0 ausgeführt werden soll, muss erstmal nach dem Passwort fragen. Und da sehe ich bei einem als Einzelplatzsystem gedachten Rechner keinen signifikaten Nachteil durch sudo. Wenn du nach einem PW gefragt wirst, solltest du erst mal denken "hoppla", wenn nicht hast du ganz andere Sicherheitsprobleme. Apple machts wie erwähnt genauso und es funktioniert dort sogar so gut, dass selbst Klickibunti-Apple-Fanboys damit zurecht kommen.

 

[blu21]

Hallo

Giebt es fur Linux

auch MSN SKYPE YAHOO ICQ ?

 

[buggle]

joa gibts ...

Pidgin / centericq

 

[Astrodan]

joa gibts ...

Pidgin / centericq

... Kopete

 

[buggle]

... Kopete

ihhh^^

 

[hans1987]

den pw timeout bei sudo kann man ja mit

visudo

ändern. und setzt dort den timeout so wie man möchte

Defaults timestamp_timeout = 0