[linux-l] Ubuntu-Sicherheitslücke abdichten

[Norm@nSteinbach]

Hallo Markus,

Markus Mandalka wrote:
> Hallo,
> Wenn du nicht in den sudo-Configs rumpfriemeln möchtest und damit bei
> zukünftigen Updates kein Handlungsbedarf entsteht, kannst du folgendes
> machen:
Ich hab kein Problem, in den sudo-Configs rumzubasteln, hab ich schon 
bei 2 Ubuntu-Systemen vorher ebenfalls gemacht. Ein Dist-Upgrade habe 
ich mit diesen Äderungen zwar noch nicht durchgeführt, dürfte aber 
ebenfalls kein Problem sein.

> bei Neueinrichtung des Ubuntu-Systems als ersten User bei der
> Installation z.B. "Administrator" angeben und dann erst unter
> System/Systemverwaltung/Benutzer und Gruppen den "normalen" Useraccount
> erstellen. Dieser sollte bei "Benutzerrechte" keine Adminrechte haben
> und darf so nie root werden bzw. sudoen.
Anstatt dessen hatte ich mir eher gedacht, einfach ein root-Passwort 
einzurichten, so dass kein User mehr mit seinem Passwort sudoen darf.
Die einzige Einstellung, die ich noch nicht wiedergefunden habe, ist 
die, die dem ganze X-Sudo-Geraffel* auch sagt, dass es nicht auf das 
User-Passwort zu warten hat (was ab Einrichtung des Root-Passworts eh 
nicht mehr funktioniert), sondern auf das root-passwort.

Hierzu habe ich leider in /etc/sudoers keine Einstellung gefunden

* X-Sudo-Geraffel: es gibt da nachdem was ich gesehen habe anscheinend 
wirklich 3 verschiedene programme, die dasselbe zu tun scheinen: GKSU, 
GKSUDO und KDESUDO - vielleicht auch noch ein KDESU irgendwo, keine 
Ahnung obs wirklich 3/4 mal dasselbe ist oder wirklich 3/4 einzelne 
Wege, rootrechte unter X zu erlangen.

> Um Sicherheitspatches oder Software einzuspielen, muss man sich dann
> allerdings auch immer erst als Admin einloggen (was bei Gnome aber auch
> kurz durch "Benutzer wechseln" getan ist, ohne die Sitzung beenden zu
> müssen).
Unter GNOME/KDE melde ich mich generell nicht mit Root-Rechten an, für 
Synaptic & Co. gibts doch gerade diese gksudo-sachen.

> Wenn man das dann auch wirklich macht, arbeitet mensch etwas sicherer,
> da Schadcode sich zumindest nicht ohne Probleme schnell zum root machen
> kann, da es ja das Userpasswort, das mit den eigenen Rechten ja schnell
> mal auf ein Neues gesetzt werden kann, kennt.
Dazu braucht es idR keinen weiteren, neu angelegten User, das Einrichten 
eines root-Passwortes mittels sudo passwd ist vollkommen ausreichend - 
nur dass man diese Änderung dann auch im restlichen System (gksudo 
etcpp) einbinde muss. Davor stehe ich gerade, neben Anderem.


Danke & viele Grüße,

Norm at n