Was bevorzugt ihr, su - oder sudo?

Macke1979

Macke1979

FreeBSD-User
Mich würde mal interessieren, auf welche Art und Weise ihr euch Rootrechte verschafft. Es soll ja sogar Nutzer geben, die sich direkt als root einloggen, wenn sie eine administrative Aufgabe zu erledigen haben, wovon aber im Allgemeinen überall abgeraten wird. Wer aus der Linux-Welt kommt und dort in erster Linie mit Ubuntu oder verwandten Systemen gearbeitet hat, bevorzugt möglicherweise sudo und wer (wie ich) fast nur mit Debian gearbeitet hat, ist eher su - gewohnt, so wie auch ich. Demzufolge werde ich mit su - zum Superuser, bin also als gewöhnlicher Benutzer der Gruppe wheel beigetreten. Wie handhabt ihr das? Ich habe im FreeBSD-Handbuch gelesen, dass sudo als die empfohlene Methode angesehen wird. Hat das einen besonderen Grund? Eigentlich bewirken beide Methoden ja ein- und dasselbe.
 
Für normale Administration immer "su -"

sudo immer dann, wenn ein User eine Administrative Aufgabe erledigen können soll (bzw. ein Useraccount) aber nur genau diese.
 
immer doas , alternativ sudo

aufgaben lassen sie besser automatisieren ohne gleich root sein zu muessen-
beide können weit besser angepasst werden ,was fuer den user erlaubt ist oder nicht
beide koennen besser limitiert werden welche user es nutzen duerfen.

user envireonment kann übernommen werden..

Holger
 
su
sudo, bzw doas ist mal von einer Anwendung auf dem Laptop gewünscht und deshalb installiert worden.

Ich konnte mich nie an das sudo gewöhnen, wo ja dann das Passwort des Nutzers abgefragt wird, um damit zu root zu werden. Ein eigenes root-PW gefällt mir besser, das ich auch remote so handhaben kann.

Aber ich verstehe schon, dass es nicht mehr ganz zeitgemäß ist, auf Einzelplatz-Rechnern die Methoden früher Jahre zu behalten. Heute ist doch fast immer der Nutzer auch sein eigener Sysadmin. Da macht eine Trennung zwischen den Rollen nicht mehr so viel Sinn.
Ein Nutzer, der mittels sudo oder su zum root werden kann, wird gelegentlich eben Mist produzieren und das selbst verantworten oder beheben müssen und dazu dann wieder zu root werden müssen. Sehr viel sicherer scheint es mir deshalb für solche Einzelplatzrechner nicht zu sein, die Rollen überhaupt zu trennen.
 
pit234a schrieb:
Ich konnte mich nie an das sudo gewöhnen, wo ja dann das Passwort des Nutzers abgefragt wird, um damit zu root zu werden. Ein eigenes root-PW gefällt mir besser, das ich auch remote so handhaben kann.
Zum Vergrößern anklicken....
Das gleiche Passwort für Nutzer und root hat außerdem als mögliche Nebenwirkung, dass bei uneingeschränkten sudo-Berechtigungen ein irgendwie in dem Besitz eines Angreifers gelangtes Nutzer-Kennwort dem auch gleich mit sudo -s volle root-Rechte gibt.
 
pit234a schrieb:
Sehr viel sicherer scheint es mir deshalb für solche Einzelplatzrechner nicht zu sein, die Rollen überhaupt zu trennen.
Zum Vergrößern anklicken....
Das ist sehr begrenzt gedacht.. als root dann auch den Firefox/Chrome/schlagmichtot offen? Wo dann die JS-engine quer ueber's Filesystem?
Oder so der letzte npm trojaner...
Eigentlich braucht es drei Accounts - auch wenn prinzipiell die gleiche Person "dran" sitzt.
 
double-p schrieb:
Eigentlich braucht es drei Accounts - auch wenn prinzipiell die gleiche Person "dran" sitzt.
Zum Vergrößern anklicken....
ich möchte da wirklich zustimmen, sehe aber Millionen Menschen mit Smartphones operieren und sich durch unterschiedliche Netze bewegen und alle wissen gar nichts von root und von System-Administration. Geht ja auch...

Mir ist manches Denken zu traditionell. Es fällt mir nicht viel ein, aber warum muss root das Netzwerk einstellen? Auch bei einem Desktop-PC. Oder Programme installieren? Oder Updates machen? Bei solch alltäglichen Aufgaben, möchte ich sogar schon nicht mehr von System-Administration reden. Da gehören doch eigentlich die Systeme und ihre Mechanismen so gut und sicher gebaut, dass es auch einem einfachen Nutzer überlassen werden kann, solche Änderungen zu bewirken.
Das soll nur mal ein Denkanstoß sein und keine Grundsatzdiskussion über System-Sicherheit werden.
 
Weil das alles Elemente sind, die den Unterschied machen, ob Du - halbwegs - kontrollierst, was auf Deinem System laeuft -- oder ob das "andere" tun.
Netzwerk-Konfiguration (z.B. fremder DNS Server) oder gar direkt Software (Malware+Co) als Nutzer - der auch den Browser bedient - installieren?

Ernsthaft? Daher.. minimale Rechtevergabe. Es ist einfach ein Unterschied, ob man als alles-darf-ich arbeitet, oder man z.B. NUR einen "sudo /usr/local/bin/network-switcher.sh" erlaubt (das script stellt beispielsweise zwischen daheim und Arbeitsplatz die Netzkonfiguration um).
 
Ich nutze su. Einfach, bequem und steht so direkt nach einer Standardinstallation zur Verfügung. Da kann ich ein Terminal mit root-Rechten immer offen lassen, falls ich es brauche und muss nicht bei jedem sudo wieder mein Benutzerpasswort eingeben.
Im Übrigen habe ich nie verstanden, was das soll, dass ein normaler Benutzer durch Eingeben von sudo und seinem Benutzerpasswort plötzlich Befehle als Root ausführen kann? Dagegen wurden ja hier vorher auch schon Bedenken geäußert.
 
ich nutze su, doas würde ich im zweifel einsetzen, sudo definitiv nicht auf meinen bsds. wenn ich ne dreckige linux schnell installation mache um mal eben was zu probieren, nehme ich sudo wenn es denn sein muss, aber die gammelt dann meist auch nur ausgeschaltet irgendwo rum und wird irgendwann gelöscht wenn ich platz brauche. für dauerhafte ernst zu nehmende systeme frickel ich bis das auch mit su geht, wenn nicht wird neu evaluiert die software wäre dann raus, hatte ich so aber noch nicht. sudo hat leider so seine einfallstore, bevor ich mir den stress mache es sicher zu confen, nutze ich es lieber nicht. gilt aber nur für mein zeug, wenn es für wen anderes ist, entscheidet natürlich der, da sage ich ggf. nen satz dazu aber nehme garantiert standard sudo wenn es gewünscht ist, jedem das seine, aber dann muss man sich selbst auch damit beschäftigen ist meine divise dann.
 
morromett schrieb:
Kein sudo und kein doas. "su -" mit FreeBSD, OpenBSD und Debian.
Zum Vergrößern anklicken....
Stimmt, doas gibt es ja auch noch, da habe ich gar nicht dran gedacht.
Yamagi schrieb:
Das gleiche Passwort für Nutzer und root hat außerdem als mögliche Nebenwirkung, dass bei uneingeschränkten sudo-Berechtigungen ein irgendwie in dem Besitz eines Angreifers gelangtes Nutzer-Kennwort dem auch gleich mit sudo -s volle root-Rechte gibt.
Zum Vergrößern anklicken....
Gefährlich, gefährlich... Aber, es muss doch einen Grund geben, wieso im FreeBSD-Handbuch sudo als die empfohlene Methode angesehen wird. Und gerade sicherheitstechnisch sehe ich da keinen großen Vorteil, trotz der Protokollierung von Aktivitäten, die mit root-Privilegien durchgeführt worden sind.
cabriofahrer schrieb:
Ich nutze su. Einfach, bequem und steht so direkt nach einer Standardinstallation zur Verfügung.
Zum Vergrößern anklicken....
Aber, es steht nur dann direkt nach der Installation zur Verfügung, wenn du deinen Benutzer in die Gruppe wheel aufnimmst. Ansonsten lautet die Ausgabe auf dem Terminal ganz banal: su: sorry
ath0 schrieb:
ich nutze su, doas würde ich im zweifel einsetzen, sudo definitiv nicht auf meinen bsds.
Zum Vergrößern anklicken....
Ich kenne ehrlich gesagt nicht einmal den genauen Unterschied zwischen sudo und doas weil ich letzteres noch nie benutzt habe.
 
Ich bevorzuge sudo. Auf vielen professionellen Systemen ist der passwortbehaftete root-Login sowieso deaktiviert, weswegen ich mir schon vor Jahren sudo angewöhnt habe.

mark05 schrieb:
immer doas , alternativ sudo

aufgaben lassen sie besser automatisieren ohne gleich root sein zu muessen-
beide können weit besser angepasst werden ,was fuer den user erlaubt ist oder nicht
beide koennen besser limitiert werden welche user es nutzen duerfen.

user envireonment kann übernommen werden..
Zum Vergrößern anklicken....

Zusätzlich ist für professionelle Szenarien der Umstand relevant, dass man mit su bei Mehrbenutzersystemen das root-Passwort teilen muss. Das will man tunlichst vermeiden.

cabriofahrer schrieb:
Ich nutze su. Einfach, bequem und steht so direkt nach einer Standardinstallation zur Verfügung. Da kann ich ein Terminal mit root-Rechten immer offen lassen, falls ich es brauche und muss nicht bei jedem sudo wieder mein Benutzerpasswort eingeben.
Zum Vergrößern anklicken....

Das hängt vom Betriebssystem bzw. Distribution ab, ob sudo/doas direkt zur Verfügung steht.

Das Verhalten von sudo bezüglich der Passwortabfrage lässt sich auch konfigurieren.

cabriofahrer schrieb:
Im Übrigen habe ich nie verstanden, was das soll, dass ein normaler Benutzer durch Eingeben von sudo und seinem Benutzerpasswort plötzlich Befehle als Root ausführen kann?
Zum Vergrößern anklicken....

Das verhindert vor allem, dass man sich versehentlich das System zerschießt; das berühmte rm -rf /.

Erfahrungsgemäß führt die Abwesenheit von sudo dazu, dass die Leute immer eine root-Shell offen haben, weil es gar so bequem ist und keiner ständig sein Passwort eintippen will. Dadurch ist schon so manches System versehentlich den Weg alles Irdischen gegangen. :ugly:

cabriofahrer schrieb:
Dagegen wurden ja hier vorher auch schon Bedenken geäußert.
Zum Vergrößern anklicken....

Das ist eine Abwägung. Dadurch kann man den Passwort-Login für root deaktivieren.

Das ist der einzige Account, dessen Existenz auf (praktisch) jedem System garantiert ist und volle Rechte hat. Dementsprechend beliebt ist er für Brute-Force-Angriffe auf das Passwort. Aus gutem Grunde hat SSH extra den Parameter PermitRootLogin, um dieses Angriffsszenario zu vermeiden.
 
Mein Punkt, dass bei sudo ein gestohlenes Nutzerkennwort auch gleich Root-Rechte gibt, lässt sich z.B. durch eine SSH-CA zur vorgelagerten Nutzerauthentifizierung auch gut in den Griff bekommen. Gerade, wenn man die Zertifikate mit einer sehr kurzen Lebensdauer von wenigen Stunden ausstellt und damit eine sehr zeitnahe Rotation erzwingt. Nur für zu Hause, daran dachte ich mit meiner Antwort eigentlich, ist sowas absoluter Overkill.
 
Ein weiteres Problem - und ohne das zu Lösen ist es müßig über andere Dinge zu diskutieren - ist dass man auch checken muss, dass sudo wirklich sudo ist. Selbiges natürlich auch für su, kein Problem bei direktem root-Login über z.b. ssh-key (bei uns sind auch alle Server noch über VPN gesichert z.b.)

Was ich damit meine: Ein böses sudo oder su Binary/Script in ~/bin oder je nach System auch /opt/bin oder /snap/bin oder auch ein böses .bashrc was einen Alias setzt oder die Path Variable ändert. Kann man alles mit Rechten und Co absichern, aber macht das System nicht gerade Nutzerfreundlicher.
 
Was mich an doas unter FreeBSD stört, ist dass es kein credential caching gibt. Entweder man muss das Passwort für jeden einzelnen Aufruf von doas eingegeben oder man schaltet die Passwortabfrage ganz ab.
sudo merkt sich ja für ein paar Minuten, dass man das korrekte Passwort eingegeben hat. doas kann das auch unter OpenBSD, aber die Funktionalität ist nicht portabel.
 
"Wer aus der Linux-Welt kommt und dort in erster Linie mit Ubuntu oder verwandten Systemen gearbeitet hat, bevorzugt möglicherweise sudo und wer (wie ich) fast nur mit Debian gearbeitet hat, ist eher su - gewohnt..."

Ich komme von Debian und bin von dort auch sudo gewohnt.
Mittlerweile stellt sich Debian da etwas an.

Ich habe ein paar Befehle in der History, die mit sudo beginnen.
Ich nehme aber immer häufiger su, besonders wenn es nicht bei einer Aktion bleibt
 
medV2 schrieb:
Was ich damit meine: Ein böses sudo oder su Binary/Script in ~/bin oder je nach System auch /opt/bin oder /snap/bin oder auch ein böses .bashrc was einen Alias setzt oder die Path Variable ändert. Kann man alles mit Rechten und Co absichern, aber macht das System nicht gerade Nutzerfreundlicher.
Zum Vergrößern anklicken....
Nun ja, bei meinem stinknormalen Heimsystem mit FreeBSD und XFCE (bzw MATE auf dem Laptop) als alltägliches Desktop-OS, dürfte ein solcher Aufwand kaum zu rechtfertigen sein. ;)
MichaZ schrieb:
Ich komme von Debian und bin von dort auch sudo gewohnt.
Mittlerweile stellt sich Debian da etwas an.
Zum Vergrößern anklicken....
Wenn man bei der Installation von Debian das Passwort für root leer lässt, wird automatisch sudo eingerichtet, wenn mich nicht alles täuscht.
 
lme schrieb:
Was mich an doas unter FreeBSD stört, ist dass es kein credential caching gibt. Entweder man muss das Passwort für jeden einzelnen Aufruf von doas eingegeben oder man schaltet die Passwortabfrage ganz ab.
sudo merkt sich ja für ein paar Minuten, dass man das korrekte Passwort eingegeben hat. doas kann das auch unter OpenBSD, aber die Funktionalität ist nicht portabel.
Zum Vergrößern anklicken....

doas - ArchWiki

wiki.archlinux.org wiki.archlinux.org

Gerade das hier gefunden, ist zwar noch potentially dangerous, aber es gibt es :)
 
MichaZ schrieb:
Keine Ahnung, das habe ich noch nie leer gelassen. Lässt der Installer das überhaupt zu?
Zum Vergrößern anklicken....
Jo, lässt er, dann arbeitest du als sudo und kannst dich nicht als root einloggen. Habe ich selbst aber auch noch nie so gemacht, ich habe auch unter Debian, genau wie jetzt unter FreeBSD, ausschließlich mit su - gerabeitet. Und wenn du Debian vom Live-System aus installierst (womit ich ebenfalls keine eigene Erfahrung habe, aber es steht auch so in der Dokumentation, wenn ich mich recht erinnere) dann wird automatisch sudo eingerichtet.
 
Unter OpenBSD nutze ich häufig doas, selten su -.
Unter FreeBSD und Linux nutze ich sudo, selten su -.
Mit doas außerhalb von OpenBSD habe ich meine Probleme. Es geht damit los, dass FreeBSD den doas Port von slicer69 [1] und Archlinux/AlpineLinux den doas Port von Duncaen [2] als Quelle verwenden.
Welcher doas Port ist jetzt der Bessere? Sind die aktuellen OpenBSD Patches mit in die Ports eingeflossen?

Wenn ich mir die diffs von OpenBSD [3], slicer69 [1] und Duncaen [2] anschaue, habe ich so meine Bedenken.

[1] https://raw.githubusercontent.com/slicer69/doas/master/doas.c
[2] https://raw.githubusercontent.com/Duncaen/OpenDoas/master/doas.c
[3] https://raw.githubusercontent.com/openbsd/src/master/usr.bin/doas/doas.c
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben