* Christoph Maurer schrieb am 18.Jan.2002:
Am Don, 17 Jan 2002 schrieb Bernd Brodesser:
Wieso ist sudo eine Krücke?
Na ja, so hart will ich es nicht formulieren, aber mit sudo läßt sich halt AFAIK nicht verhindern, daß der User, der das Sonderrecht bekommt, einen Befehl als root auszuführen, das immer darf, nicht nur in dem Skript, das Carsten ansprach. Andererseits hat die
Klar, wenn ich einem User erlaube, einen bestimmten Befehl ausführen zu dürfen, so darf er diesen Befehl immer ausführen. Das kann man wohl kaum vermeiden. Ich muß dem User halt soweit vertrauen, daß er mit diesem Befehl keinen Unsinn anstellt. Es kommt ja auch auf dem Befehl an. Wenn ich etwa einem User erlaube, sich ins Internet einwählen zu dürfen, so vertraue ich ihm, daß er nicht wie wild rumsurft und so die Kosten steigert. Ob er es nun in einem Skript macht oder außerhalb. Sollte ein Befehl mehr Möglichkeiten bieten, als ich jemanden gestatten will, so muß ich diesen Befehl halt in einem Skript packen, und ihm nur sudo auf dieses Skript gewähren. Selbstverständlich ist es, zumindest bei SuSE, die bessere Methode, jemanden den ich erlaube sich ins Netz zu wählen, neben der Gruppe uucp, in der jeder gehört, der surfen darf, auch noch in die Gruppe dialout zu packen. Mir fiel nur kein andere Beispiel ein.
Diskussion ja gezeigt, daß Linux Bordmittel mitbringt, um den gewünschten Effekt (ob der sinnvoll ist, kann ich nicht beurteilen, da ich nicht mit wwwoffle arbeite) auch ohne eine solche Hilfskonstruktion zu erreichen, und das finde ich dann allemal sauberer.
In diesem speziellen Fall braucht es gar kein Superuser. wwwoffle -online darf jeder ausführen, was mich allerdings auch ein wenig wundert. Und neu gestartet werden muß wwwoffle so wie so nicht.
Außerdem habe ich gerade diese Woche bei LinuxToday von einem neu gefundenen Sicherheitsloch in sudo gelesen (wobei das nicht der Grund ist, warum ich von Krücke gesprochen habe).
Das ist jetzt wieder was ganz anderes. Natürlich bergen solche Programme wie sudo eine besondere Gefahr. Bernd -- Probleme mit dem Drucker? Schon die Druckercheckliste beachtet? http://localhost/doc/sdb/de/html/drucker-howto.html | Auch lesenswert: Oder schon das Drucker-HOWTO gelesen? | man lpr file://usr/shar/doc/howto/de/DE-Drucker-HOWTO.txt.gz | Zufallssignatur 3