Re: OT: sudo und Sicherheitsanforderung

From: Oliver Brandmueller <ob(at)e-Gitt.NET>
Date: Thu, 3 Jul 2008 08:57:04 +0200

Hallo,

On Wed, Jul 02, 2008 at 07:25:03PM +0200, Manfred Lotz wrote:
> Ich habe mal eine OT Frage. Habe jetzt in einer Situation erlebt (aus
> Confidential Gründen kann ich nicht sagen, wo), dass bei der Benutzung
> von sudo vorgeschrieben wurde, dass wenn in der /etc/sudoers Aufrufe von
> scripts vorkommen, diese root:root gehören müssen und keinen Zugriff
> von others erlauben dürfen, also xy0 als Perm haben müssen.
>
> Eine fachliche Begründung konnte keiner der Beteiligten geben, mir ist
> auch keine eingefallen.
>
> Ich finde die Anforderung dagegen Mist. da jemand nicht immer unbedingt
> sudo auf root machen will und auch vielleicht jemand, der ein solches
> Skript laufen lassen will, vorher noch mal checken will, dass es das
> tut, was er beabsichtigt, was er dann nicht kann als einfacher Larry-user.

Für eine wirklich Bewertung fehlen natürlich ganz klar hier noch ein
paar Informationen. Nicht, daß das wirklich guter Stil wäre, aber
Scripte können ja zum Beispiel Paßwörter für einen Datenbankzugang o.ä.
enthalten, dann möchte man natürlich nicht, daß die von jedem auf dem
System lesbar sind, sondern nur von berechtigten Personen.

Ansonsten gibt es natürlich immernoch diejenigen, die einfach Angst
davor haben, daß ihnen jemand das unendliche Know-How klaut, das sie in
so ein Script programmiert haben. (persönliche Erfahrung: wird meistens
dann angewendet, wenn man im wesentlichen verstecken will, daß man kein
guter Programmierer ist...).

Und dann gibt es noch die Fälle, wo Security by Obscurity als
großartiger Fortschritt der Datensicherheit gefeiert wird. Da ist dann
per se erstmal nichts sinnvoll lesbar, auch wenn es absolut
unproblematisch wäre. Wenn solche Dinge mit ungeheurem Dogmatismus
durchgeführt werden, dann arbeitest Du vermutlich bei einer Bank.

Entschuldige, daß ich zumindest einige Informationen in ungeheurem
Sarkasmus verstecken mußte, der richtet sich nicht gegen Dich ;-)

Gruß,
        Olli

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 03 Jul 2008 - 08:57:07 CEST

search this site