sudo vz. su

Keywan Najafi Tonekaboni lists at prometoys.net
Son Mar 30 11:41:56 BST 2008 

Hallo,

Am Sonntag, den 30.03.2008, 12:21 +0200 schrieb Nils Kassube:
> Wolfgang Fogl wrote:
> > Mich wundert nur, dass hier die "eingefleischten" Ubuntu-User stets
> > alles verteidigen, was bei Ubuntu als Standard gilt, obwohl die meisten
> > auch um die Schwächen von "sudo" Bescheid wissen.
> 
> Ich frage mich, wo ich mit meiner Mail, auf die du dich beziehst, etwas 
> verteidigt habe. Die Diskussion, ob sudo oder der traditionelle 
> root-Account besser ist, ist mir eigentlich ziemlich egal, und dazu 
> wollte ich auch gar nicht beitragen. Mich interessierte viel mehr die 
> Theorie, wie die 15 Minuten Sudo-Zeitfenster für einen Angriff ausgenutzt 
> werden können. Das interessiert mich wirklich, aber leider weiß Michael 
> ja selbst nicht mal, wo das Problem ist.

einen entfernten Angriff halte ich ohne weiteres nicht für möglich. Es
könnte sein, dass ich z.B. ein Update mache und kurz danach meinen
Rechner verlasse, ohne diesen zu sperren. Jemand verschafft sich in der
Zeit Zugang, und sei es nur um eben einen Account anzulegen oder das
root-Passwort zu setzen. Dieser Angriff setzt ja einiges voraus: knappes
Zeitfenster und physische Anwesenheit des Angreifers.

Das sind Dinge, über die reine Anwender nichts wissen und sie sperren
Ihren Rechner auch nicht, wenn sie kurz weggehen. Wäre interessant, wie
mensch Sie darüber aufklären könnte, oder ob es bessere Lösungen gibt
(kleineres Timeout, jedesmal Passwort-Abfrage).

Die Trennung user/root schützt ja auch einen vor sich selbst. Es könnte
sein, das Anwender bei Aktionen wo sie nach dem Passwort fragen,
sensibler reagieren. Und dann in diesen kritischen 15min ausversehen ihr
System beschädigen, weil sie eine Einstellung ohne Passwortschutz nicht
für so kritisch eingestuft haben.


Ansonsten sollten wir diese Geschmacksfrage weniger hitzig
betrachten. :D


Liebe Grüße,


Keywan





-- 
Keywan Najafi Tonekaboni
http://www.prometoys.net

people at world:/# apt-get --purge remove dominion
After unpacking world will be freed.
You are about to do something potentially beneficial
To continue type in the phrase 'Yes, do as We say!'