© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Fri, 14 Aug 2009, Polytropon wrote:
> On Thu, 13 Aug 2009 22:10:13 +0000 (UTC), naddy(at)mips.inka.de (Christian Weisgerber) wrote:
>
>> ... oder "sudo -i".
>
> Mensch, den kannte ich noch nicht. Ist zwar etwas mehr "Schreib-
> arbeit" als der entsprechende su-Befehl, funktioniet aber ohne
> Paßwort - klar, solange sudoers entsprechendes anweist.
Ich habe das noch nicht weiter untersucht, aber es scheint auch
verschiedene Implementierungen von sudo zu geben. Auf einigen Rechnern in
meinem Serversammelsurium in der Firma sind die Optionen anders, u.a. geht
"-i" nicht.
Man _kann_ sudo zwar feintunen, aber bis jetzt habe ich es immer nur als
Allzweckwaffe fuer wheel, 'sudo -i" oder "sudo bash" gesehen.
Der Punkt "dann muss man das Passwort nicht teilen", ist da nicht
stichhaltig.
Wenn ich an der Maschine was tun will, brauche ich:
- einen Loginaccount
(daher kein "PermitRootLogin yes" in der sshd_config, wie bei Red Hat
Standard)
[oder Zugriff zur Konsole, der auch gewissen Schutzmechanismen
unterworfen ist, hoffentlich]
- einen Nutzer der gruppe "wheel",
(bis hierhin ist alles gleich)
- und (mit su statt sudo) das Rootpasswort
Sogesehen erhoeht su die Sicherheit gegenueber sudo.
>> Für Maschinen auf denen sich keine Benutzer tummeln und die einfach
>> eine Aufgabe als Router usw. erfüllen, besteht überhaupt kein Anlass
>> einen Benutzeraccount anzulegen. Alles was dort zu tun ist, sind
>> Administrationsaufgaben, da kann man sich gleich als root einloggen.
>
> Das ist eine konkrete Anwendung, die ich noch gar nicht bedacht
> hatte. Stimmt natürlich. Zur Fernadministration kriecht man in
> solche Maschinen dann auch per SSH rein, weswegen auf die Erlaubnis,
> sich per SSH als root anzumelden, zu achten ist.
Womit man eine Zwiebelhaut des Unix-Sicherheitskonzepts entfernt hat.
Mal abgesehen, dass ich nicht immer etwas aendern moechte, wenn ich mich
einlogge. Wenn ich das System nur beobachte, brauche ich in diesem Moment
keinen Root-Zugang.
Bewahrt mich auch vor dummen Fehlern (reine Statistik, wenn ich nur 20%
der Zeit Rootrechte habe, haqbe ich 80% weniger Chancen, folgenschwere
Fehler zu machen)
Nicht, dass "oops" zu meinem taeglichen Sprachschatz gehoert, aber eine
Sekunde der Unachtsamkeit genuegt. Und nachts um drei nach zwei Stunden
Schlaf ist nicht der Hoehepunkt meiner Aufmerksamkeit..
Es gruesst
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 14 Aug 2009 - 03:03:11 CEST