Wer kennt Ubuntu 6.06-Image von Strat.

make_root
Posts: 23
Joined: 2007-06-14 04:12

Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

Hallo zusammen ;-)

Auch wenn es evtl. nicht gerne gesehen wird(wegen Boardregeln), ich muss wohl den Anbieter-Namen erwähnen, da mir wohl auch nur jemand helfen kann, der genau dieses Image kennt…

Daten:
Frisch eingespieltes Ubuntu 6.06 LTS Server Image von Strato [STRATO Treueserver SR (v4.3)] — Hardware ist eh egal…

Problem:
Irgendwie ist da das Ubuntu-Prinzip der User/User-Rechte völlig auf den Kopf gestellt — es gibt einen Root-Zugang, dafür kann ein angelegter User kein "sudo" ausführen!!
Bei den normalen Installationen von 6.06(LAMP-Server) gibt es eigentlich nie einen Root, es wird auch bei der Installation kein Root-Passwort abgefragt. Man geht mit einen User-Konto rauf und macht alles über sudo…

Kann mir jemand sagen, was Strat. da gemacht hat und wo? Oder, wie man damit am besten zurecht kommt?
Wenn ich den Root-Zugang dicht machen will, muss ich ja wenigstens irgendwo noch ein sudo machen können. Mit "su -l" kann man auf Ubuntu ja eh nicht arbeiten, aber auch "sudo -i" bzw. "sudo -s " gehen nicht — bei einem normalen sudo meint Ubuntu dann "Sorry, try again".

Kennt sich da jemand genauer aus mit? Kennt das jemand von evtl. doch von anderen Anbietern?

Vielen Dank schon jetzt…

Gruß
Last edited by make_root on 2008-01-07 00:40, edited 1 time in total.
Top

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by oxygen »

Schau dir die PAM Konfiguration für sudo an. Wahrscheinlich muss der Nutzer in der Gruppe wheel sein.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by Joe User »

make_root wrote:Bei den normalen Installationen von 6.06(LAMP-Server) gibt es eigentlich nie einen Root

Auch wenn ich Ubuntu nicht kenne, setze ich einen Pott Kaffee, ein Stück Torte und eine Zigarre dagegen ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

make_root
Posts: 23
Joined: 2007-06-14 04:12

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

Joe User wrote:
make_root wrote:Bei den normalen Installationen von 6.06(LAMP-Server) gibt es eigentlich nie einen Root

Auch wenn ich Ubuntu nicht kenne, setze ich einen Pott Kaffee, ein Stück Torte und eine Zigarre dagegen ;)

Ja Joe, deswegen die Frage an jene, die sich mit Ubuntu/Strato-Ubuntu auskennen… denn die wissen wie es läuft :wink:

http://wiki.ubuntuusers.de/sudo wrote:Sudo - Der Standard unter Ubuntu

Für Ubuntu Linux wählten die Entwickler einen anderen Ansatz. Hier existiert zwar ein Root-Account, er ist aber standardmäßig deaktiviert. Stattdessen kann der erste angemeldete Benutzer mit seinem Benutzerpasswort vorübergehend root-Rechte erlangen. Im Terminal geschieht dies, indem er dem auszuführenden Befehl das Kommando sudo - sprich substitute user do - voranstellt…


oxygen wrote:Schau dir die PAM Konfiguration für sudo an. Wahrscheinlich muss der Nutzer in der Gruppe wheel sein.

Ja, da hab' ich noch nicht nachgesehen, aber eigntlich wäre es die Gruppe "SUDO", denn wenn ich die dem User entziehe bekomme ich die Meldung "…Userxxx is not in the sudoers file…"

Gruß
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by Joe User »

make_root wrote:
Joe User wrote:
make_root wrote:Bei den normalen Installationen von 6.06(LAMP-Server) gibt es eigentlich nie einen Root

Auch wenn ich Ubuntu nicht kenne, setze ich einen Pott Kaffee, ein Stück Torte und eine Zigarre dagegen ;)

Ja Joe, deswegen die Frage an jene, die sich mit Ubuntu/Strato-Ubuntu auskennen… denn die wissen wie es läuft :wink:

Und es gibt Admins, die wissen, auch ohne die diskutierte Distribution zu kennen, dass es dort einen root-Account gibt. Dazu muss man nichtmal die Dokumentation zur fraglichen Distribution lesen, da nahezu alle Betriebssysteme ohne root-Account nicht funktionieren können. Ob "deaktiviert" oder nicht, stand ja nicht in Deiner selbst widerlegten Behauptung ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

make_root
Posts: 23
Joined: 2007-06-14 04:12

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

Joe User wrote:Und es gibt Admins, die wissen, auch ohne die diskutierte Distribution zu kennen, dass es dort einen root-Account gibt. Dazu muss man nichtmal die Dokumentation zur fraglichen Distribution lesen, da nahezu alle Betriebssysteme ohne root-Account nicht funktionieren können. Ob "deaktiviert" oder nicht, stand ja nicht in Deiner selbst widerlegten Behauptung ;)


Ach Joe… wenn in der Zeile davor steht "es gibt einen Root-Zugang" kann man schon drauf kommen, dass es um den Root-Zugang geht den es nicht gibt, denn so einschlauer Admin kennt ja den Umstand, dass
Joe User wrote:nahezu alle Betriebssysteme ohne root-Account nicht funktionieren können


In wie weit hast du eingentlich den Betreff des Posts beachtet?
Du anwortest, obwohl du Ubuntu eben absolut nicht kennst. Und schon ist der Beitrag in einen völlig unzweckmäßigen, nicht sachdienlichen Zustand geraten… schade

Gruß
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by Joe User »

Setze ein Passwort für root und setze Deinen Arbeitsuser in die Gruppe wheel, voila schon hast Du Deinen root zurück...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

make_root
Posts: 23
Joined: 2007-06-14 04:12

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

Danke Joe, dass wir wieder bei der Sache sind! :wink:

Okay noch zwei "Klarstellungen" zur Sache:
    1. Ich habe von Strato einen funktionierenden Root-Zugang und PW — und genau das widerspricht ja dem Ubuntu-Prinzip
    2. Es gibt keine Gruppe wheel:

    Code: Select all

    root:x:0:
    daemon:x:1:
    bin:x:2:
    sys:x:3:
    adm:x:4:
    tty:x:5:
    disk:x:6:
    lp:x:7:
    mail:x:8:
    news:x:9:
    uucp:x:10:
    man:x:12:
    proxy:x:13:
    kmem:x:15:
    dialout:x:20:
    fax:x:21:
    voice:x:22:
    cdrom:x:24:
    floppy:x:25:
    tape:x:26:
    sudo:x:27:
    audio:x:29:
    dip:x:30:
    www-data:x:33:
    backup:x:34:
    operator:x:37:
    list:x:38:
    irc:x:39:
    src:x:40:
    gnats:x:41:
    shadow:x:42:
    utmp:x:43:
    video:x:44:
    sasl:x:45:
    plugdev:x:46:
    staff:x:50:
    games:x:60:
    users:x:100:
    nogroup:x:65534:
    dhcp:x:101:
    syslog:x:102:
    klog:x:103:
    crontab:x:104:
    ssh:x:105:
    ntp:x:106:
    mysql:x:107:
    ssl-cert:x:108:
    postfix:x:109:
    postdrop:x:110:
    bind:x:111:

Es gibt die Gruppe "sudo" — und auch nur so kenne ich es von 2 anderen Ubuntu 6.06 LAMP(Standard-Install von CD), welche ich in einem Intranet einer Schulungseinrichtung stehen habe. Leider komme ich erst nächste Woche wieder dahin…

Ach ja, PAM…
/etc/pam.d/sudo:

Code: Select all

@include common-auth
@include common-account

Gruß
Top

make_root
Posts: 23
Joined: 2007-06-14 04:12

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

Kurzer Zwischenstand…

Habe mir mal einen lokalen Rechner und die Ubuntu 6.06-CD genommen und dabei auf dem Begrüßungsscreen die Funktion "F6" entdeckt. Dahinter versteckt sich ein "Experten-Modus", bei dessen Auswahl so ziemlich genau das passiert, was ich auch auf dem Strat.-Image bekommen habe — Root-Zugang bekommt PW und wird somit aktiv, angelegte User können keinen "sudo" ausführen!
Somit ist mir nun immerhin klar, was die da gemacht haben. Was das sonst noch alles bedeutet muss ich aber wohl noch rausfinden…

Hilfe von jemandem der sich damit auskennt wäre natürlich immer noch gerne gesehen :wink:

AntwortEmail vom Support steht noch aus; Anrufen kann ich von Neuseeland leider nicht.

Gruß
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by Roger Wilco »

In /etc/pam.d/sudo und /etc/sudoers sollte stehen, was für normale Benutzer notwendig ist, um 'sudo' zu benutzen...
Top

make_root
Posts: 23
Joined: 2007-06-14 04:12

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

Hab' nun wohl den sudo-Teil gelöst…

1. addgroup --system admin (Die vorhandene Gruppe "adm" ist eben nicht "admin")
2. visudo (nicht vi sudo — visudo ist ein eigener Editor für sudo)
    Am Ende des Text:
    # User privilege specification
    root ALL=(ALL) ALL
    dieseZeile anfügen:
    %admin ALL=(ALL) ALL

    Code: Select all

    # User privilege specification
    root    ALL=(ALL) ALL
    %admin  ALL=(ALL) ALL
3. useradd -d /home/DeinAdminUser -m DeinAdminUser (Also eigenes Admin-User anlegen, mit dem du arbeiten willst)
4. adduser DeinAdminUser admin (Diesen User in die Gruppe "admin" aufnehmen)

Danach steht dir dann als User=DeinAdminUser der sudo-Befehl wieder zur Verfügung, um z.b. mal ein "sudo cat /var/log/messages | grep "irgendwas" usw. etc. auszuführen!

Auch kann nun ein "sudo -i" für eine Root-Shell ausgeführt werden — nun kann man also beruhigt in SSH ein "PermitRootLogin no" eintragen — was mein ursprüngliches Anliegen "Nummer 1" war :wink:
(Zur Erinnerung: ein "su -l" kann jetzt trotzdem nicht ausgeführt werden — ist bei Ubuntu eben so!)

Ich denke das kann als Hilfe so stehen bleiben, für alle die eben gleich nach der Installation von Ubuntu 6.06 denn "Root-Zugang" im SSH dicht machen/sperren wollen!
Vielleicht passt der Beitrag so auch wieder in eine andere Rubrik!?


Mal sehen, ob noch was vom Support kommt, bzw. was mir noch so auffällt…

Gruß
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by Joe User »

Prima, nun braucht $Angreifer nur noch einen Account statt zwei zu cracken um root-Rechte zu erlangen...

Man merke sich: su ist sudo grundsätzlich vorzuziehen...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

make_root
Posts: 23
Joined: 2007-06-14 04:12

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

Naja und JAEIN :wink:

Das hat mir an Ubuntu(vorher nur SuSE) auch nicht so ganz gefallen. Aber immerhin ist so der Root-Zugang raus aus dem SSH! Und dann einen Usernamen so zu wählen, dass er "m1*7s_UsernameIrgendwas" lautet kostet den $Angreifer schon etwas Zeit, oder?
Ein Admin sollte da schon etwas kreativ sein… und dann macht er sich ja sicher auch bald einen Schlüssel zurecht :wink:

Und dann gibt es auch noch irgendeine Möglichkeit für sudo das Root-Password abzufragen — muss ich erst noch finden…

Gruß
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by Joe User »

Der SSH-Key hilft Dir bei einem lokalen Angriff, zum Beispiel per Webapp ebenso wenig, wie ein kryptischer Username (ls -a /home). Und sudo das root-Passwort abfragen zu lassen, ist mit verlaub Schwachfug, dafür gibt es su und die Gruppe wheel (auch wenn man sich bei Ubuntu gerne über (Quasi-)Standards hinwegsetzt).
Ubuntu mag ja auf Desktops ganz nett sein, auf Servern hat soeine per Default unsichere Distribution nichts verloren. Die meisten erfolgreichen Angriffe erfolgen nunmal lokal, nicht remote...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

make_root
Posts: 23
Joined: 2007-06-14 04:12

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

Hi Joe,
denke das stimmt soweit, was du schreibst — eben aus deiner Sicht/Erfahrung und dem Umstand, dass es in diesem Forum wohl wirklich fast immer um Serverbetrieb mit "Web-Hosting-Angebot" geht, wo in den Webs sonstwer Daten(PHP etc.) ablegen darf.

Das ist bei mir jedoch nie der Fall! Es gibt sehr wenige Dienste und fast noch weniger User auf dem Server!

Gruß
Top

make_root
Posts: 23
Joined: 2007-06-14 04:12

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

@Joe User — widersprichst du dir da nicht selbst ein wenig?
Erst schreibst du
Joe User wrote:Prima, nun braucht $Angreifer nur noch einen Account statt zwei zu cracken um root-Rechte zu erlangen…

dann
Joe User wrote:Und sudo das root-Passwort abfragen zu lassen, ist mit verlaub Schwachfug…

Du meldest dich also als User123 auf 'nem Server an und machst dann kein "su -l" und gibst nicht das Root-PW ein??
Verwendest du eigentlich irgendwo sudo, oder ist es wie mit Ubuntu, dass du es einfach nicht kennst?

Da ich es erwähnt hatte, hier noch die alternative Anpassung für /etc/sudoers (wieder mit visudo):

Code: Select all

Defaults        !lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0
wobei "targetpw" dafür sorgt, dass man das Root-PW eingeben muss.
Die Option "timestamp_timeout = 0" bedeutet, dass man bei jedem sudo das Passwort eingeben muss und nicht, wie sonst üblich, 5-15min lang nicht mehr gefragt wird. Das mag lästig sein, hat aber auch einige vorteile!

Warum sudo durchaus Sinn macht auf einem Server…
Mal ehrlich — wie oft wird das Root-PW intern weitergegeben, wegen Urlaub, Krankheit, Aufgabenverteilung etc. — da kann ein "su -l" und die Folgen kaum noch auf eine Person zurückgeführt werden, oder?
In einer Firmenumgebung, kann es auch durch aus sein, dass ein Root die Aufgaben an verschiedene Admins delegieren muss z.B. Schichtbetrieb(24 Support) oder der Arbeitsumfang muss einfach verteilt werden…
Hier kommt nun ein Vorteil von sudo zum tragen, denn jeder sudo wird im Log eingetragen:

Code: Select all

sudo: mc*17-make : TTY=pts/6 ; PWD=/home/mc*17-make ; USER=root ; COMMAND=/usr/bin/mc
oder eben
sudo: mc*17-make : 3 incorrect password attempts ; TTY=pts/6 ; PWD=/home/mc*17-make ; USER=root ; COMMAND=/usr/bin/mc

Die Protokollierungsmöglichkeit beschränkt sich natürlich nur auf sudo selbst und erfasst natürlich nicht folgende Eingaben, beantwortet aber eben sehr gut die Frage „Wer war denn da wieder am spielen“ :oops:

Da die Konfiguration von sudo recht umfangreich ist, lassen sich besondere Ansprüche recht gut abdecken, bis hin zu weiteren Aliase um einem "AdminNochNichtGanzVertrauenswürdig" den REBOOT verbietet damit er nicht vielleicht im Resc. mit Grub rumspielt oder so…

Oder, anderes Extrem, einem "VertrauenswürdigerUser" eben genau den REBOOT erlaubt, für den Notfall — mit oder ohne "targetpw" kann man ja selbst entscheiden…

Klar hängt das natürlich von den eigenen Anforderungen ab, aber verteufeln sollte man es auch nicht gleich, finde ich.
In einer Schulungsumgebung wie hier hat es sicher auch seine gute Berechtigung(hat nix mit dem Strat.-Server zu tun)

Gruß
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by Joe User »

make_root wrote:@Joe User — widersprichst du dir da nicht selbst ein wenig?

Nein. Irgendwann wirst Du auch verstehen weshalb nicht.
make_root wrote:Du meldest dich also als User123 auf 'nem Server an und machst dann kein "su -l" und gibst nicht das Root-PW ein??

Ich logge mich als user/wheel ein und werde bei Bedarf per "su - root" zu root/root.
make_root wrote:Verwendest du eigentlich irgendwo sudo, oder ist es wie mit Ubuntu, dass du es einfach nicht kennst?

Ich habe sudo durchaus schon auf meinem Desktop genutzt, allerdings auf Grund der unzureichenden Sicherheit nie auf einem Server. Zudem muss ich ein Programm oder eine Distribution nicht selbst verwenden, um dessen Vor- beziehungsweise Nachteile zu kennen oder dessen Sicherheit beurteilen zu können. Dafür gibt es neben Erfahrung auch noch Dokumentationen, Quelltexte und vertrauenswürdige Dritte.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

make_root
Posts: 23
Joined: 2007-06-14 04:12

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

Joe User wrote:Ich logge mich als user/wheel ein und werde bei Bedarf per "su - root" zu root/root.
make_root wrote:Verwendest du eigentlich irgendwo sudo, oder ist es wie mit Ubuntu, dass du es einfach nicht kennst?

Ich habe sudo durchaus schon auf meinem Desktop genutzt, allerdings auf Grund der unzureichenden Sicherheit nie auf einem Server. Zudem muss ich ein Programm oder eine Distribution nicht selbst verwenden, um dessen Vor- beziehungsweise Nachteile zu kennen oder dessen Sicherheit beurteilen zu können. Dafür gibt es neben Erfahrung auch noch Dokumentationen, Quelltexte und vertrauenswürdige Dritte.

Kannst du mal etwas ausführlicher beschreiben oder auf Quellen verweisen, welche Probleme da bestehen sollen?

Und hat dein user/wheel per default denn dann nicht auch die sudo Berechtigung, dann müsste man bei dir auch nur einen User cracken?
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by Joe User »

make_root wrote:Kannst du mal etwas ausführlicher beschreiben oder auf Quellen verweisen, welche Probleme da bestehen sollen?

Bei sudo? Die Defaults. Bei Ubuntu? Die Defaults. Ausführlicher ist es Rahmen dieses Forums leider nicht möglich. Vielleicht trifft man sich ja auf einem der nächsten Forentreffen, dort wäre eine passendere Umgebung.
make_root wrote:Und hat dein user/wheel per default denn dann nicht auch die sudo Berechtigung, dann müsste man bei dir auch nur einen User cracken?

Wie ich bereits schrieb, existiert sudo auf meinen Systemen nicht mehr, somit müssen bei mir mindestens zwei Accounts gecrackt werden.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

tiax
Posts: 10
Joined: 2006-02-05 14:20

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by tiax »

Wer sich nach EINEM gecrackten Kennwort noch darauf verlässt, dass der Angreifer jetzt am ZWEITEN Kennwort scheitert, kann mitunter böse überrascht werden. Wirkliche Sicherheit setzt hier selbstverständlich auf andere Methoden.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by Joe User »

Keine Sorge, darauf verlasse ich mich schon lange nicht mehr. Es gibt mir im Ernstfall aber ein paar Minuten mehr Zeit zum angemessenen Reagieren.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

make_root
Posts: 23
Joined: 2007-06-14 04:12

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

tiax wrote:Wer sich nach EINEM gecrackten Kennwort noch darauf verlässt, dass der Angreifer jetzt am ZWEITEN Kennwort scheitert, kann mitunter böse überrascht werden. Wirkliche Sicherheit setzt hier selbstverständlich auf andere Methoden.
Genau taix, das sehe ich auch so. Wenn man alle Möglichkeiten ausschöpft den SSH-Zugriff abzusichern, gebe ich einer Gruppe "Admin" gerne sudo, um dann eben auch ungefähr zu sehen, was die da machen. Ein unberechtigter sudo Zugriff und die resultierende Meldung im Log würde mir doch auch ganz gut zeigen, wenn etwas wirklich mal gecrackt wurde.

Joe User wrote:Bei sudo? Die Defaults. Bei Ubuntu? Die Defaults.
Beides natürlich… da du Worte wie
Joe User wrote:Man merke sich: su ist sudo grundsätzlich vorzuziehen...
Schwachfug
auf Servern hat soeine per Default unsichere Distribution nichts verloren
verwendest, wäre ein Beleg sicher angebracht.

Im Fall "su | sudo" kann ich dir mal eine Quelle anbieten…
http://www.debian.org/doc/manuals/securing-debian-howto/ wrote:4.10.5 Verwendung von su
Wenn es wirklich benötigt wird, dass Nutzer der Super-User (also Root, d.Ü.) auf Ihrem System werden, zum Beispiel um Pakete zu installieren oder neue Benutzer anzulegen, können Sie das Programm su benutzen, um Ihre Identität zu wechseln. Sie sollten jeden Login als Nutzer Root vermeiden und stattdessen das Programm su benutzen. Eigentlich ist die beste Lösung, su zu entfernen und zu sudo zu wechseln, da es eine feinere Steuerung und mehr Möglichkeiten bietet als su. Wie auch immer, su ist verbreiteter und wird auf vielen Unices benutzt.

4.10.6 Verwendung von sudo
Das sudo erlaubt es dem Benutzer, ein definiertes Kommando unter einer anderen Nutzeridentität auszuführen, sogar als Root. Wenn der Nutzer zu /etc/sudoers hinzugefügt ist und sich korrekt authentifiziert, ist er in der Lage, Kommandos, die in /etc/sudoers definiert wurden, auszuführen. Sicherheitsverletzungen, wie ein inkorrektes Passwort oder der Versuch ein Programm auszuführen, für das Ihre Rechte nicht ausreichen, werden protokolliert und an root gemailt.
http://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html#s4.10.5


Joe User wrote:Und sudo das root-Passwort abfragen zu lassen, ist mit verlaub Schwachfug…

Über PAM kann man das auch noch so ausbauen, damit ein PW eingegeben werden muss, welches weder dem eigenen User-PW, noch dem Root-PW entspricht!
(Nur als Ergänzung…)

Joe User wrote:Vielleicht trifft man sich ja auf einem der nächsten Forentreffen, dort wäre eine passendere Umgebung.

Naja, lebe halt in Neuseeland — das wäre mit ca. 18000Km eine lange Anreise :wink:

Gruß aus Kiwiland
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by Joe User »

make_root wrote:
Joe User wrote:Bei sudo? Die Defaults. Bei Ubuntu? Die Defaults.
Beides natürlich… da du Worte wie
Joe User wrote:Man merke sich: su ist sudo grundsätzlich vorzuziehen...
Schwachfug
auf Servern hat soeine per Default unsichere Distribution nichts verloren
verwendest, wäre ein Beleg sicher angebracht.

Im Fall "su | sudo" kann ich dir mal eine Quelle anbieten…

Du zitierst bereits eine Quelle, lies sie mal in Ruhe und genau, ebenso wie meine Äusserungen in diesem Thread.
Kurzfassung: sudo muss explizit sicher konfiguriert werden, was in einer OOTB-Ubuntu-Installation definitiv nicht der Fall ist. Dem stimmst ja selbst Du miterweile zu, anderfalls hättest Du Dein sudo ja nicht umkonfiguriert. su hingegen muss gar nicht erst konfiguriert werden, da es (als non-root ausgeführt) generell das TargetPasswort verlangt. Und da man sicherheitstechnisch ausschliesslich letzteres Verhalten auf einem Server will, ist sudo dort schlicht überflüssig. Sicherlich kann man sudo sicher konfigurieren, aber das scheint man zumindest bei Ubuntu nicht zu wissen und liefert lieber ein per Default unsicheres Produkt aus. Wird man darauf in der offiziellen Ubuntu-Dokumentation hingewiesen?
make_root wrote:
Joe User wrote:Vielleicht trifft man sich ja auf einem der nächsten Forentreffen, dort wäre eine passendere Umgebung.

Naja, lebe halt in Neuseeland — das wäre mit ca. 18000Km eine lange Anreise :wink:

Schade, wäre sicherlich eine interessante Diskussion geworden.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

make_root
Posts: 23
Joined: 2007-06-14 04:12

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by make_root »

Joe User wrote:Sicherlich kann man sudo sicher konfigurieren, aber das scheint man zumindest bei Ubuntu nicht zu wissen und liefert lieber ein per Default unsicheres Produkt aus. Wird man darauf in der offiziellen Ubuntu-Dokumentation hingewiesen?

Stimmt so nicht ganz… der Auslieferungszustand der 6.06 war ja quasi ohne sudo, denn sudo stand ja nur Root zur Verfügung. Zudem gab es eben auch noch su.(Das bewirkt eben der "Experten Modus" bei den Installation gewählt automatisch)
Beschweren werde ich mich eher darüber, dass man keine direkte Doku findet, worin alle Unterschiede aufgelistet werden. Und u.U. noch, dass Strat. nicht informiert, dass sie eben den "Experten Modus" gewählt haben(kl. Zusatz beim Image würde ja reichen)

Vielleicht sollte man wirklich mal einen eigenen Thread/HowTo über sudo starten. Ich könnte mir auch gut vorstellen, dass selbst hier im Forum um die 60% der Roots ihr Passwort schon mal weitergegeben haben und ihnen eine andere Möglichkeit sicher lieber gewesen wäre.

In einem Unternehmen wird das Root-PW ja gerne in einem versiegelten Umschlag in Safe aufgehoben, gleichzeitig wird der Root aber auch noch gerne verplichtet "Zugänge" für andere Admins, Vertretungen oder auch mal für externe Consultants(Softwareinstall) einzurichten… Da der Vertrag und die GF ausdrücklich sagen, dass das Root-PW nicht weitergegeben od. verändert werden darf muss man sich ja quasi sudo bedienen, oder wie würdest du das lösen?
Ein paar gut gemachte Aliase in sudo wären in einer "Default Installation" sicher auch zu begrüßen und würden den Root evtl. auch mal vor sich selbst und dem ständigen arbeiten mit Root-Rechten schützen :wink:

Gruß
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11462
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Wer kennt Ubuntu 6.06-Image von Strat.

Post by Joe User »

Wir reden/schreiben aneinander vorbei: Ich beziehe mich auf eine Ubuntu-Default-Installation und Du von diversen zum Teil spezialisierten Anwendungsgebieten mit entsprechend angepasster Konfiguration. Solange wir uns nicht auf den kleinsten gemeinsamen Nenner, nämlich die Ubuntu-Default-Installation, einigen, werden wir weiterhin von unterschiedlichen Dingen reden/schreiben und uns somit nie einig werden können.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

Who is online

Users browsing this forum: Google [Bot] and 322 guests