[linux-l] Ubuntu-Sicherheitslücke abdichten
Thomas Kaepernick
Thomas.Kaepernick at web.de
Di Mai 1 23:59:14 CEST 2007
Am Tue, Apr 24, 2007 at 10:12:29PM +0200, schrieb Norm at nSteinbach:
> Ralph Angenendt wrote:
> > Welche Sicherheitslücke?
> >
> > Ralph
>
> sudo ist ohne gesetztes root-passwort mit dem aktuellen
> haupt-user-passwort zufrieden, und zwar auch einige Minuten nachdem der
> eigentliche root-befehl inkl. passwort eingegeben wurde noch, glaube 5
> minuten sind bei ubuntu als default gesetzt. wenn das root-passwort
> aktiviert ist, dann gilt für dieses dasselbe, solange bis der
> timestamp-timeout-wert in /etc/sudoers auf 0 gesetzt ist.
> Ob das eine Sicherheitslücke oder ein Feature darstellt ist
> Ansichtssache, das gebe ich zu, aber ich sehe es eher als ersteres an.
Ich komme mir vor, wie bei Windows. Der erste Benutzer ist
Hauptbenutzer mit Administrator-Rechten. Meines Verstehens nach ist
sudo ursprünglich dazu gedacht einzelne Kommandos, die
z.B. root-Rechte bedürfen, normale Benutzer ausführen zu lassen, ohne
daß sie das root-Passwort wissen müssen. Dazu kann sudo ziemlich fein
konfiguriert werden. Ich benütze es z.B. zum manuellen Verbinden mit
dem Internet. Nur die Benutzer, die Zugang zum WWW haben sollen,
können ihn mit einem kleinen Script-Aufruf herstellen. Es nun als
generellen Zugang zum System einzusetzen, finde ich ziemlich
merkwürdig. Da lob ich mir doch das Konservative meiner Distribution.
>
> Viele Grüße,
>
> Norm at n
Gruß Thomas
Mehr Informationen über die Mailingliste linux-l