Re: OT: sudo und Sicherheitsanforderung

From: Manfred Lotz <manfred.lotz(at)arcor.de>
Date: Thu, 03 Jul 2008 10:22:40 +0200

Oliver Brandmueller wrote:
> Hallo,
>
> On Wed, Jul 02, 2008 at 07:25:03PM +0200, Manfred Lotz wrote:
>> Ich habe mal eine OT Frage. Habe jetzt in einer Situation erlebt (aus
>> Confidential Gründen kann ich nicht sagen, wo), dass bei der Benutzung
>> von sudo vorgeschrieben wurde, dass wenn in der /etc/sudoers Aufrufe von
>> scripts vorkommen, diese root:root gehören müssen und keinen Zugriff
>> von others erlauben dürfen, also xy0 als Perm haben müssen.
>>
>> Eine fachliche Begründung konnte keiner der Beteiligten geben, mir ist
>> auch keine eingefallen.
>>
>> Ich finde die Anforderung dagegen Mist. da jemand nicht immer unbedingt
>> sudo auf root machen will und auch vielleicht jemand, der ein solches
>> Skript laufen lassen will, vorher noch mal checken will, dass es das
>> tut, was er beabsichtigt, was er dann nicht kann als einfacher Larry-user.
>
> Für eine wirklich Bewertung fehlen natürlich ganz klar hier noch ein
> paar Informationen. Nicht, daß das wirklich guter Stil wäre, aber
> Scripte können ja zum Beispiel Paßwörter für einen Datenbankzugang o.ä.
> enthalten, dann möchte man natürlich nicht, daß die von jedem auf dem
> System lesbar sind, sondern nur von berechtigten Personen.
>

Nein, da sind keine Passwörter in diesen Skripten. Die Anweisung, so zu
verfahren, ist eine globale, ohne Ansehen der Person, ich meine der Skripte.

> Ansonsten gibt es natürlich immernoch diejenigen, die einfach Angst
> davor haben, daß ihnen jemand das unendliche Know-How klaut, das sie in
> so ein Script programmiert haben. (persönliche Erfahrung: wird meistens
> dann angewendet, wenn man im wesentlichen verstecken will, daß man kein
> guter Programmierer ist...).
>

Nee, die Leute, die das für sudo so wollen, arbeiten selber nicht im
doing. Die verzapfen eher nur Policies...

:-)

> Und dann gibt es noch die Fälle, wo Security by Obscurity als
> großartiger Fortschritt der Datensicherheit gefeiert wird. Da ist dann
> per se erstmal nichts sinnvoll lesbar, auch wenn es absolut
> unproblematisch wäre. Wenn solche Dinge mit ungeheurem Dogmatismus
> durchgeführt werden, dann arbeitest Du vermutlich bei einer Bank.
>

Das beantworte ich nicht. :-)

-- 
Manfred
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 03 Jul 2008 - 10:23:35 CEST

search this site