[linux-l] Ubuntu-Sicherheitslücke abdichten

[Markus Mandalka]

Hallo,

Wenn du nicht in den sudo-Configs rumpfriemeln möchtest und damit bei
zukünftigen Updates kein Handlungsbedarf entsteht, kannst du folgendes
machen:

bei Neueinrichtung des Ubuntu-Systems als ersten User bei der
Installation z.B. "Administrator" angeben und dann erst unter
System/Systemverwaltung/Benutzer und Gruppen den "normalen" Useraccount
erstellen. Dieser sollte bei "Benutzerrechte" keine Adminrechte haben
und darf so nie root werden bzw. sudoen.

Ist das System schon installiert, neuen Nutzer Administrator o.ae.
anlegen, dem bei Benutzerrechten das Adminflag setzen, sich als dieser
Benutzer einloggen und dem bisherigen Nutzer, mit dem gearbeitet wird
das Adminflag entziehen.

Um Sicherheitspatches oder Software einzuspielen, muss man sich dann
allerdings auch immer erst als Admin einloggen (was bei Gnome aber auch
kurz durch "Benutzer wechseln" getan ist, ohne die Sitzung beenden zu
müssen).

Wenn man das dann auch wirklich macht, arbeitet mensch etwas sicherer,
da Schadcode sich zumindest nicht ohne Probleme schnell zum root machen
kann, da es ja das Userpasswort, das mit den eigenen Rechten ja schnell
mal auf ein Neues gesetzt werden kann, kennt.

Gruss,
Markus

> sudo ist ohne gesetztes root-passwort mit dem aktuellen
> haupt-user-passwort zufrieden, und zwar auch einige Minuten nachdem
> der eigentliche root-befehl inkl. passwort eingegeben wurde noch,
> glaube 5 minuten sind bei ubuntu als default gesetzt. wenn das
> root-passwort aktiviert ist, dann gilt für dieses dasselbe, solange
> bis der timestamp-timeout-wert in /etc/sudoers auf 0 gesetzt ist.
> Ob das eine Sicherheitslücke oder ein Feature darstellt ist
> Ansichtssache, das gebe ich zu, aber ich sehe es eher als ersteres an.