[linux-l] Ubuntu-Sicherheitslücke abdichten
Norm@nSteinbach
norm at nsteinbach.de
Mi Apr 25 11:54:53 CEST 2007
Hallo Markus,
Markus Mandalka wrote:
> Hallo,
> Wenn du nicht in den sudo-Configs rumpfriemeln möchtest und damit bei
> zukünftigen Updates kein Handlungsbedarf entsteht, kannst du folgendes
> machen:
Ich hab kein Problem, in den sudo-Configs rumzubasteln, hab ich schon
bei 2 Ubuntu-Systemen vorher ebenfalls gemacht. Ein Dist-Upgrade habe
ich mit diesen Äderungen zwar noch nicht durchgeführt, dürfte aber
ebenfalls kein Problem sein.
> bei Neueinrichtung des Ubuntu-Systems als ersten User bei der
> Installation z.B. "Administrator" angeben und dann erst unter
> System/Systemverwaltung/Benutzer und Gruppen den "normalen" Useraccount
> erstellen. Dieser sollte bei "Benutzerrechte" keine Adminrechte haben
> und darf so nie root werden bzw. sudoen.
Anstatt dessen hatte ich mir eher gedacht, einfach ein root-Passwort
einzurichten, so dass kein User mehr mit seinem Passwort sudoen darf.
Die einzige Einstellung, die ich noch nicht wiedergefunden habe, ist
die, die dem ganze X-Sudo-Geraffel* auch sagt, dass es nicht auf das
User-Passwort zu warten hat (was ab Einrichtung des Root-Passworts eh
nicht mehr funktioniert), sondern auf das root-passwort.
Hierzu habe ich leider in /etc/sudoers keine Einstellung gefunden
* X-Sudo-Geraffel: es gibt da nachdem was ich gesehen habe anscheinend
wirklich 3 verschiedene programme, die dasselbe zu tun scheinen: GKSU,
GKSUDO und KDESUDO - vielleicht auch noch ein KDESU irgendwo, keine
Ahnung obs wirklich 3/4 mal dasselbe ist oder wirklich 3/4 einzelne
Wege, rootrechte unter X zu erlangen.
> Um Sicherheitspatches oder Software einzuspielen, muss man sich dann
> allerdings auch immer erst als Admin einloggen (was bei Gnome aber auch
> kurz durch "Benutzer wechseln" getan ist, ohne die Sitzung beenden zu
> müssen).
Unter GNOME/KDE melde ich mich generell nicht mit Root-Rechten an, für
Synaptic & Co. gibts doch gerade diese gksudo-sachen.
> Wenn man das dann auch wirklich macht, arbeitet mensch etwas sicherer,
> da Schadcode sich zumindest nicht ohne Probleme schnell zum root machen
> kann, da es ja das Userpasswort, das mit den eigenen Rechten ja schnell
> mal auf ein Neues gesetzt werden kann, kennt.
Dazu braucht es idR keinen weiteren, neu angelegten User, das Einrichten
eines root-Passwortes mittels sudo passwd ist vollkommen ausreichend -
nur dass man diese Änderung dann auch im restlichen System (gksudo
etcpp) einbinde muss. Davor stehe ich gerade, neben Anderem.
Danke & viele Grüße,
Norm at n
Mehr Informationen über die Mailingliste linux-l