Achtung, ein Speicherfehler in Sudo ermöglicht Root-Rechte
Wie ich gerade gesehen habe, besteht auf quasi allen Linux-Systemen eine kritische Sicherheitslücke, die es lokalen Usern erlaubt, Administratorrechte zu erlangen. Diese Lücke besteht durch einen sogenannten „Heap-Overflow“ im Programm sudo, das mit erhöhten Berechtigungen läuft und beinahe überall installiert ist.
Betroffen sind auch alle Ubuntu-Distributionen (gilt also insbesondere auch für die BBB-Server!)
Um das eigene System auf Verwundbarkeit zu testen, kann man laut Qualys nach dem Anmelden ohne Root-Privilegien versuchen, den Befehl „sudoedit -s /“ auszuführen. Falls das System verwundbar ist, werde ein Fehler angezeigt, der mit „sudoedit:“ beginne. Falls es nicht verwundbar ist, werde ebenfalls eine Fehlermeldung angezeigt – allerdings mit „usage:“ am Anfang. Quelle:Heise
12:17/0 [administrator@server] ~ $ sudoedit -s /
Password:
administrator ist nicht in der sudoers-Datei. Dieser Vorfall wird gemeldet.
12:17/1 [administrator@server] ~ $
Davon abgesehen, dass normale User sowieso keine Shell bekommen wuerde mich dann schonmal interessieren, wozu da dann ueberhaupt noch sudo installiert ist, root alleine braucht kein sudo.
Und wenn irgendwelche User/Skripte/Dienste oder was auch immer, sudo benoetigen, duerfte das „-s“ eventuell andere Probleme mit sich bringen,
Ich bin und werde kein Freund von sudo, hab das auch nur auf den BBB-Ubuntumaschinen gefunden und nutze sudo nie (!), da es keine Sicherheitsvorteile bringt - zumindest so wie es bei Ubuntu eingesetzt wird, aber ich glaube das Thema hatten wir schon
naja, ich habe sudo bereits benötigt, wenn aus irgendwelchen Gründen ein root-Zugang allein mir nicht gereicht hat. Beispiel: Ich habe mir einen NextCloud-Server von einem Kollegen einrichten lassen, wir beide benutzen (und ändern ggf.) unsere user-Passwörter, den root nehmen wir demnächst vom ssh-Zugang aus.
Wenn Du ernsthaft Angst davor hast, dass jemand Dein root-Passwort erraet, dann lass in der config vom sshd (/etc/ssh/sshd_config) die Direktive #PermitRootLogin prohibit-password, die ist aber sowieso voreingestellt (bei den Hetznerservern nicht, da man root mit Passwort bekommt), dann kannst Du mit Zertifikat (eher mit private key, Zertifikat klingt aber besser) rein,
aber selbst das kannst Du Dir sparen, da Du ja offensichtlich fail2ban laufen hast, das sperrt per iptables sowieso die IP und auch wenn 30 Sekunden spaeter die naechste aus dem Netz weitermacht, hast Du nach einer halben Stunde den ganzen Schwarm ausgesperrt, wenn Du nicht gerade als root-Passwort secret, passw0rd oder 1234 hattest, dann ist bis dahin auch keiner drin in Deinem System
Unprivilegierter User und „su“ tut ja auch noch ohne das Gewese mit „sudo“.
Sudo macht nur in ganz wenigen Installationen Sinn, da wo ein paar Admins verschiedene Rechte und nicht gleich user id 0 (root) bekommen sollen, dann muss man sich aber mal mit der /etc/sudoers beschaeftigen, manche machen’s damit schlimmer wie vorher.
Ich weiss, dass ich hier eine eher ungewoehnliche Position vertrete, ich kann aber unterscheiden zwischen Mythen/„weil man’s halt so macht“ und wirklichen Sicherheitsrisiken, bin aber fuer Diskussionen diesbezüglich zu haben.
Der sudo-Wahn wurde eigentlich durch Ubuntu losgetreten, Shuttleworth wollte nicht, dass der kleine User zuviel Rechte hat, aber er wollte es ihm auch nicht ganz so schwer machen, deshalb hat er root kein Passwort gegeben und der kleiner Userdepp konnte mit sudo trotzdem alles (!) machen.
Was dabei die Sicherheit erhoehen soll, entzieht sich meiner Vorstellung.
Die wirklichen Gefahren fuer Server liegen wo ganz anders und genau dort wuerde ich auch Arbeit investieren.
Die andere Sache mit dem „Userdepp“ sehe ich allerdings bei einem Desktop-Linux-System als ziemlich sinnvoll an: Sonst würden viele Benutzer unter Ubuntu als „root“ arbeiten, wenn sie z.B. von einem Windows-BS umgestiegen sind…
Kann ich nix gegen sagen, da haette „su“ aber eigentlich gereicht, ist im Linuxportfolio unter anderem genau dafuer vorgesehen.
Als root kann man ja auch nur unter den wenigsten Desktops arbeiten (XFCE und die ganzen kleinen windowmaker, fluxbox…), Gnome und KDE verbieten das und es ist schwierig das Verbot zu umgehen. Bei Mate geht’s zur Not als root, man kann aber keine Links auf den Desktop legen, beim tor-browser muss man im wrapper was umschreiben, der fraegt beim Start erstmal die user id ab, wenn „0“, dann fertig.
sudo ist hierfuer auf alle Faelle nicht noetig und bringt unnoetigerweise Komplexitaet rein, aber Shuttleworth schert sich schon immer einen Dreck um die Community, das ist aber ein anderes Thema.
sudo wird hier auf alle Faelle nicht sinnvoll genutzt.
Rasphian bzw. Raspberry OS hat ja den Scheiss gleich uebernommen, weiss der Teufel wieso, Debian spielt das Spiel anders und das schon immer.