Hallo, * Peter Geerds schrieb am [18.07.07 20:51]: > Durch das sudo-Konzept wird man bei Ubunte zu einem > Zwischending zwischen root und $USER. Darin sehe ich eine > Gefahr.
Wenn du dich da so gefühlt hast, mag das für dich gelten. Ich fühle mich am Ubuntu-Rechner genauso wie an einer Debian-Box oder Opensuse-Kiste zunächst als User. Jetzt muss ich aber auch gleichzeitig Root sein, weil es bei mir sonst keiner ist. Bei Ubuntu gebe ich dann "sudo BEFEHL XY" und mein Benutzer-Passwort ein, bei Debian und Opensuse "su" und mein Root-Passwort. Und zur Gefahr: Bei "sudo BEFEHL XY" sind die Root-Rechte anschließend wieder weg, bei "su" muss ich die Konsole explizit wieder verlassen, sonst bleibt ein Türchen mit Root-Priviligien geöffnet. Wo mehr Gefahr lauert, mag jeder für sich entscheiden. sudo ist übrigens ein sehr ausgefeiltes Stück Software. Es wird auch in großen Organisationen benutzt und hat den Vorteil, dass man beispielsweise mehrere Ebenen an Administratoren oder besser Operatoren schaffen kann, die unterschiedliche Aufgaben wahrnehmen dürfen - etwa Backups fahren, aber keine Serverplatten formatieren, den Druckserver verwalten, aber nicht den E-Mail-Server etc. > Eben - es wird oft keine normaler User mit eingeschränkten > Rechten angelegt. Auch darin sehe ich eine Gefahrenquelle. Es wird ein *normaler* Benutzer angelegt. Wenn der Befehle eingeben will, die Administratorrechte erfordern, muss er das mit "sudo BEFEHL XY" machen und sich mit seinem Passwort ausweisen. Das merkt sich sudo laut Voreinstellung in Ubuntu 15 Minuten. In dieser Zeit reicht ein "sudo BEFEHL XY" ohne Passwortangabe. Die Vorgabe kann man mit "sudo visudo" in der Datei /etc/sudoers ändern. > > Das Nachkonfigurieren eines Root-Users mit Passwort ist > > ein Klacks, der nach wenigen Augenblicken und zwei oder drei > > Befehlen erledigt ist. > > Genauso einfach wie bei WinXP-Home. Bloß: In der Praxis > macht das keiner!! Ob das einer macht, weiß ich nicht. Ich bezog mich damit auf deine Aussage "Um ein sicheres System daraus zu machen, muss ich sehr viel nachkonfigurieren". Unter uns - so gehts: sudo passwd Anschließend mit "su" als root anmelden und in der /etc/sudoers den Defaults-Eintrag so ändern: Defaults !lecture,tty_tickets,!fqdn,targetpw,timestamp_timeout = 0 Empfehlenswert ist das zum Beispiel überall dort, wo Ubuntu-Rechner öffentlich zugänglich sind, etwa im Computerraum einer Schule. Der Grund ist aber ein anderer, als man zunächst denken mag: Man kommt nicht mehr über das Boot-Menü auf die Rettungskonsole, ohne ein Passwort eingeben zu müssen. Und da besteht imho die einzige Gefahr. > > Desweiteren ist Ubuntu imho genau auf die Zielgruppe der > > Windows-Umsteiger ausgelegt, die sich nicht mit allen möglichen > > Server-Sicherheitskonzepten und Administrationsaufgaben herumschlagen > > wollen oder können. Und da hat es seine Daseinsberechtigung. > > Böse formuliert: Daseinsberechtigung für die, die sich um > Sicherheit & Co keine Gedanken machen wollen. Das sehe ich anders. Wer sich für Linux entscheidet, macht das aus mehreren Gründen. Zwei fallen mir spontan ein: Freiheit und mehr Sicherheit. Interessanterweise nennen viele die Sicherheit zuerst. Das ist ok, denn bis sie begriffen haben, dass Windows ähnlich sicher sein kann wie Linux bzw. das es in Linux auch immer wieder Sicherheitslücken gibt (merke: Sichere Software gibt es nicht), haben viele die Freiheit schätzen gelernt, die ihnen Linux bietet. Und das ist - um abschließend nochmal das Listenthema einzustreuen - bei OpenOffice gegenüber Microsoft Office genauso. > Aber damit nicht ein Flamewar entsteht: für mich EOT. Ich empfehle dringend, Begriffe wie "Flamewar" und "Gefahr" sparsamer einzusetzen und nur dort, wo sie auch zutreffen. > PS: Der geneigte Leser möchte doch bitte selber die > Suchmaschine seines Vertrauens bemühen. Ich bin weder vor noch rück noch seitwärts geneigt. Was willst du mir also jetzt damit sagen? -- * Thomas Hümmler * http://www.huemmler.de --------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
