Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ist sudo auf Servern Pflicht?

Mitglied: lcer00

lcer00 (Level 2) - Jetzt verbinden

20.05.2019 um 10:04 Uhr, 957 Aufrufe, 13 Kommentare

Hallo zusammen,

wir haben für einige Netzwerkdienste einige Debian Server. Auf diesen Servern arbeiten keine Benutzer im eigentlichen sinne. Der Login erfolgt nur zu administrativen Zwecken über ssh/PubKey-Authentifizierung und nur durch mich.

Bislang melde ich mich als root an und verzichte auf den Umweg user->sudo

Nachdem ich aber gestern meinem Sohn am RasperryPi erklären musste weshalb er immer "sudo" eintippen muss, kam ich etwas ins grübeln.

Also - bei einem Server, bei dem Logins nur zu administrativen Zwecken erfolgen - sollte ich da trotzdem mit user/sudo arbeiten? Wie handhabt Ihr das? Ich erkenne nicht so richtig die Vorteile, ausser vielleicht, dass man als Angreifer nicht raten muss, wie der Loginname ist.

Grüße


lcer
Mitglied: Kraemer
LÖSUNG 20.05.2019 um 10:17 Uhr
Moin,

wenn man richtig mit sudo arbeitet, hält es einen vor allem davon ab, unbeabsichtigt Scheiße zu bauen. Das Starten von bestimmten Programmen / Diensten als root gehört u.a. dazu.

Gruß
Bitte warten ..
Mitglied: itisnapanto
LÖSUNG 20.05.2019 um 10:17 Uhr
Moin ,

kenne ich das Thema. Ist lästig, aber eben auch ein Sicherheitsfeature. Ich für meinen Teil , lasse gar keine Remotelogins für das Root Konto zu.
Wenn ich intensivere arbeiten machen muss, wechsle ich aber auch in der Konsole auf Root.


Gruss
Bitte warten ..
Mitglied: Penny.Cilin
LÖSUNG 20.05.2019 um 10:41 Uhr
Moin,

auch wenn der Vergleich nicht ganz zutreffend ist, ich sehe dass ähnlich wie bei Windows mit der UAC (User Account Control).
Das ist ein Sicherheitsfeature, welches einem bringen soll: Hab' acht! oder Pass auf!

Wie oft höre und lese ich, auf dem Server wird UAC abgeschaltet. Ich weiß was ich tue. Und wenn dann etwas schiefläuft, ist das Geschrei groß.
Und ich habe diese Szenarien schon mehrfach erlebt bzw. erleben müssen.

Gruss Penny.
Bitte warten ..
Mitglied: Looser27
LÖSUNG 20.05.2019 um 10:44 Uhr
Moin,

meine Linuxserver laufen allesamt in der Standard-Konfig, d.h. keine Änderungen am System ohne sudo.
Natürlich kann man, wenn man mehrere Sachen hintereinander macht sich mit sudo su für die Dauer der Arbeiten zum root machen, aber das nutze ich nur zum Aufsetzen der Systeme oder wenn massive Anpassungen vorgenommen werden müssen und ich einfach zu faul bin jedesmal sudo zu tippen.
Wie immer bei Linux: sudo eintippen ist die letzte Sicherung.

Es bleibt aber Deine Entscheidung, wie Du es nutzt.

Gruß

Looser
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 20.05.2019 um 11:04 Uhr
Kann man so oder anders sehen, ganz ehrlich, wer etwas geübt ist, der tippt das sudo doch sowieso rein, wie andere über die Admin-Maske gehen, wirklicher Sicherheitsgewinn ist das nicht. Vor allem nicht, wenn es gar nicht _wissen will_. Das beste Sicherheitsfeature ist immer noch Wissen aufbauen.denn mit
01.
sudo task
kann man genau so viel Mist machen, wenn der Befehlsstring dann lang genug ist, fallen die 4 Zeichen auch nicht mehr ins Gewicht. Daher, viel wichtiger, keine User an Adminkonsolen/PW ran lassen.

VG
Bitte warten ..
Mitglied: NetzwerkDude
LÖSUNG 20.05.2019, aktualisiert um 11:30 Uhr
Auf distros die auf das klassiche root setzen ohne sudoers, hat man es gerne so gemacht das man ssh nur für nicht-root user freigegeben hat. Das hatte folgenden Sicherheitsvorteil: Du musstest:
a) den user per ssh raten
b) dessen passwort
und c) wenn du drin warst, musstest du noch das root passwort erraten

Wobei man sich streiten kann ob das ein Sicherheitsgewinn ist, meist "reicht" es schon aus wenn der angreifer als irgendein user per ssh sich verbinet, fürs root bekommen nutzt der angreifer dann irgendwelche rechteausweitungs exploits o.ä.

Bei distros mit sudoers sinds halt nur 2 schritte:
a) user raten der ssh darf
b) dessen passwort
- wenn er in sudoers drinsteht, entfällt c)

Bei direktem root zugang, so wie du es richtig schreibst, entfällt eben noch a) sodass nur noch b) zu tun ist.

Besser ist vermutlich eh private-public keys zu nutzen bzw. 2FA mit z.B. Key + Passwort

MFG N-Dude
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 20.05.2019, aktualisiert um 11:51 Uhr
Zitat von lcer00:

Bislang melde ich mich als root an und verzichte auf den Umweg user->sudo

PermitRootLogin sollte immer(!) auf No stehen!
Und Einloggen nur mit Zertifikaten!

Also - bei einem Server, bei dem Logins nur zu administrativen Zwecken erfolgen - sollte ich da trotzdem mit user/sudo arbeiten?

Ja.

Wie handhabt Ihr das?

Als User einloggen und sich dann ggf. mit sudo erhöhte rechte verschaffen (oder auch nicht). Nicht alles muß man als root tun.

Ich erkenne nicht so richtig die Vorteile, ausser vielleicht, dass man als Angreifer nicht raten muss, wie der Loginname ist.

Dir fliegt dann bei einem ssh-exploit nicht gleich der ganze Server um die Ohren sondern der Useraccount.

lks
Bitte warten ..
Mitglied: lcer00
20.05.2019 um 11:59 Uhr
Hallo,
Zitat von Lochkartenstanzer:

Zitat von lcer00:

Bislang melde ich mich als root an und verzichte auf den Umweg user->sudo

PermitRootLogin sollte immer(!) auf No stehen!
Und Einloggen nur mit Zertifikaten!

Also - bei einem Server, bei dem Logins nur zu administrativen Zwecken erfolgen - sollte ich da trotzdem mit user/sudo arbeiten?

Ja.

Wie handhabt Ihr das?

Als User einloggen und sich dann ggf. mit sudo erhöhte rechte verschaffen (oder auch nicht). Nicht alles muß man als root tun.

Ich erkenne nicht so richtig die Vorteile, ausser vielleicht, dass man als Angreifer nicht raten muss, wie der Loginname ist.

Dir fliegt dann bei einem ssh-exploit nicht gleich der ganze Server um die Ohren sondern der Useraccount.

lks

Na dann kann man doch sagen, dass sudo ein zusätzliches Sicherheitsfeature für den SSH-Zugang. Also - wenn SSH, dann sudo?

Grüße

lcer
Bitte warten ..
Mitglied: Kraemer
20.05.2019 um 12:01 Uhr
Zitat von lcer00:
Na dann kann man doch sagen, dass sudo ein zusätzliches Sicherheitsfeature für den SSH-Zugang.
nein, kann man nicht.
Bitte warten ..
Mitglied: it-fraggle
20.05.2019 um 14:22 Uhr
Na dann kann man doch sagen, dass sudo ein zusätzliches Sicherheitsfeature für den SSH-Zugang. Also - wenn SSH, dann sudo?
Äpfel und Birnen!
Bitte warten ..
Mitglied: lcer00
20.05.2019 um 14:46 Uhr
Hallo
Na dann kann man doch sagen, dass sudo ein zusätzliches Sicherheitsfeature für den SSH-Zugang. Also - wenn SSH, dann sudo?

Man Leute, das war ein Stück weit ironisch gemeint. Die Windows-UAC habe ich auch nicht deaktiviert. Wobei das da nur 1 Klick ist - sudo sind 5 Tadtenanschläge pro Befehl

Also um es zusammenzufassen, sudo erhöht die Sicherheit hier und da, und sollte verwendet werden. PermitRootLogin gehört auf No.

Wobei, so ein bisschen eine Glaubensfrage ist da schon mit im Spiel. Nachdem es gefühlt 100 Jahre gebraucht hat bis Microsoft die UAC eingeführt hat, darf man natürlich sudo nicht in Frage stellen. Achtung: war auch etwas mit Ironie angereichert.

Jedenfalls kann ich dem Junior das ganze glaubhafter rüberbringen, wenn man es nicht nur auf dem Raspi sondern auch im Produktivbetrieb so handhabt.

Danke an alle

lcer
Bitte warten ..
Mitglied: aqui
20.05.2019, aktualisiert um 15:37 Uhr
Nachdem ich aber gestern meinem Sohn am RasperryPi erklären musste weshalb er immer "sudo" eintippen muss
Das muss er ja nicht immer. Er kann ja auch einmal "sudo su" eingeben, dann ist er immer root
(Jedenfalls für die aktuelle Session)
Bitte warten ..
Mitglied: lcer00
20.05.2019 um 17:53 Uhr
Na aber damit unterlaufe ich ja das ganze Konzept.

Grüße

lcer
Bitte warten ..
Ähnliche Inhalte
Debian
Mit WinSCP root (sudo) Rechte erlangen?
gelöst Frage von 90530Debian6 Kommentare

Hallo, wie kann ich mit WinSCP root Rechte erlangen. Mittels putty geht das mittels sudo ohne Probleme, nur mit ...

JavaScript

Radio Button als Pflicht definieren mit js

gelöst Frage von PludanJavaScript4 Kommentare

Hallo Ich muss in einem Formular die Radio Button als Pflicht Button definieren. Dies haben ich so ohne erfolg ...

Windows Server

Office auf RDS, ist die SA Pflicht?

Frage von NordicMikeWindows Server3 Kommentare

Moin community, ich lese mich gerade in die Lizenzierung von RDS und Office ein. Dabei stoße ich ständig auf ...

Rechtliche Fragen

Gesetzliche Pflicht auf welchen Webseiten die User waren?

gelöst Frage von HertenRechtliche Fragen16 Kommentare

Hallo zusammen, ich hab mir mal vor etwas längeren erzählen lassen, das man von allen Usern Dokumentieren muss, auf ...

Neue Wissensbeiträge
Microsoft
PowerShell script für LAPS
Information von kgborn vor 1 TagMicrosoft5 Kommentare

Kurzer Hinweis für Admins im AD-Umfeld. Ich bin die Tage auf das PowerShell Script der Woche “Local Administrator Password ...

Windows 10
Windows 10 bis Version 1803 und das Zwangs-Upgrade
Information von kgborn vor 1 TagWindows 10

Ich denke, die meisten Admins hier werden Systeme mit Windows 10 Enterprise einsetzen und Updates per WSUS/SCCM oder ähnlichem ...

Microsoft Office
BSI-Empfehlungen für die Office-Konfiguration
Information von kgborn vor 1 TagMicrosoft Office

Kurze Information für Admins, die Office verwalten. Das BSI hat einige Regeln für die Absicherung von Office-Konfigurationen veröffentlicht. Ich ...

Windows 10

Sandy-Bridge plus Nvidia plus Win10 1903 braucht Hotfix

Information von DerWoWusste vor 5 TagenWindows 101 Kommentar

Es gibt ein Problem in der seltenen Konstellation Nvidia-Grafikkarte/Sandy-Bridge-CPU/Win10v1903: die von Nvidia vorgeschlagenen Treiber lassen sich nicht installieren. verlinkt ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 Logonskript greift nicht
Frage von xbast1xWindows 1019 Kommentare

Hallo zusammen, da sich die per GPO gemappten Laufwerke bei allen Usern schließen und das Problem sich nicht lösen ...

SAN, NAS, DAS
SFP+ 10GB Module kompatibel?
Frage von get--4SAN, NAS, DAS18 Kommentare

Grüße euch alle, ich bin in mehreren Schulen für die EDV verantwortlich. In einer Schule haben wir eine SAN ...

Entwicklung
Welche Programmiersprache ist das?
Frage von DschingisEntwicklung17 Kommentare

Hallo zusammen, unser ERP-System ermöglicht es, eigene Ansichten zu bearbeiten. Ich würde mich hier gerne weiterbilden. Kann mir jamand ...

Batch & Shell
Powershell Skript für Reg Datei ändern
gelöst Frage von SoccerdeluxBatch & Shell16 Kommentare

Hallo zusammen, ich muss auf einem Windows 10 Pc ein Skript ausführen lassen was sich alle 5 Minuten wiederholt. ...