Alexander (HH): auf /dev/sdb1 wechseln?

Beitrag lesen

SELF-Forum

auf /dev/sdb1 wechseln?

Alexander (HH)
Informationen zu den Bewertungsregeln

Moin Moin!

Und jeder sudoer kann weitere sudoer anlegen bzw. User zu Sudoern machen?

das hängt von der Konfiguration ab, im Falle der Gruppe wheel ja, jeder Nutzer darin hat in der üblichen Konfiguration volle root-Rechte bzw. kann sie sich beschaffen. Man kann sudo allerdings auch stark einschränken und damit nur noch Befehle in exakt definierten Grenzen zulassen.

Genau das ist einer der Gründe, warum man sudo benutzen soll und nicht su oder ein root-Login. Bei mir darf z.B. jeder User und sogar ohne jede Passwort-Abfrage das Script runfetchmail aufrufen, dass über daemontools fetchmail anstubst, um neue Mails abzurufen.

Ein zweiter Grund ist, dass man kein geteiltes root-Passwort braucht. Jeder Benutzer verschafft sich mit seinem EIGENEN Passwort die notwendigen Rechte.

Und natürlich schreibt sudo ein Log. Richtig konfiguriert ist es mit sudo möglich, dass Leute gewisse Programme mit root-Rechten starten, ohne dass sie ihre Spuren verwischen können. Der Weg über die wheel-Gruppe ist natürlich gefährlicher, weil User in dieser Gruppe nach sudo -i effektiv root sind und natürlich auch das Log beseitigen können.

Für das Szenario, dass ein Computer nur von einer Person benutzt wird, oder dass nur eine Hand voll vertrauenswürdiger Leute den Rechner administrieren und der Rest der User eben nicht, ist der Weg über wheel am schnellsten eingerichtet und stört am wenigsten. Kommandos, die root-Rechte benötigen, stellt man ein sudo voran und alles ist gut. Und für längere Wartungsarbeiten nutzt man eben sudo -i. Ein deutlich anderer Prompt (Environment-Variable PS1) ist da sehr nützlich als Warnung, dass man zu viele Rechte hat.

In paranoiden Umgebungen ist wheel eher nicht zu empfehlen, dann muß sehr stark eingeschränkt sein, welche Software überhaupt über sudo gestartet werden kann. Wer per sudo den Midnight Commander, joe oder emacs aufrufen kann, hat auch automatisch eine Root-Shell. Selbst mit tee kann man sich ganz leicht eine Root-Shell verschaffen, wenn man es per sudo ausführen darf. Ist halt ein Schritt mehr als über den mc.

Alexander

--
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
Beitrag melden
Informationen zu den Bewertungsregeln
0 33

auf /dev/sdb1 wechseln?

spotti
  • sonstiges
  1. 1
    EKKi
  2. 0
    Der Martin
    1. 0
      Dennis_B
      1. 0
        Der Martin
        1. 0
          Jens Holzkämper
          1. 0
            Alexander (HH)
            1. 0
              Der Martin
              1. 0
                Jens Holzkämper
              2. 0
                Alexander (HH)
                1. 0
                  Der Martin
                  1. 0
                    Alexander (HH)
            2. 0
              Jens Holzkämper
    2. 0
      Brillo Agent Nr. 1
      1. 0
        Der Martin
        1. 0
          brillo agent nr.1
          1. 0
            Alexander (HH)
            1. 0
              brillo agent nr.1
              1. 0
                Jens Holzkämper
                1. 0
                  Alexander (HH)
                  1. 0
                    Jens Holzkämper
                  2. 0

                    Teilen: Blöde Übersetzung!

                    Der Martin
                    • menschelei
                    1. 0
                      Alexander (HH)
                      1. 0
                        Der Martin
                        1. 0
                          dedlfix
                          1. 0
                            at
          2. 0
            Der Martin
          3. 0
            Der Martin
            1. 0
              brillo agent nr.1
        2. 0
          Alexander (HH)
    3. 1
      Alexander (HH)
      1. 0
        spotti
        1. 1
          Alexander (HH)