Hallo, Am Wed, 10 Nov 2010, Michael Höhne schrieb:
Ein Verwaschen der Grenzen muss aber auch nicht zwangsläufig schlimm sein. Das starten oder stoppen von Systemnahen Diensten schätze ich kritischer ein als die Einstellungen des Designs und der Schriftgröße im Anmeldungsmanager. Beides erfordert root-Rechte, wobei letzteres Beispiel eher zu einer Desensibilisierung führt da keine direkte "Gefahr" für das System zu erkennen ist. Ändert der Benutzer nun zehnmal das Design und muss jedes Mal sein root- Passwort eingeben wird dies zur Gewohnheit und verleitet das zur Unachtsamkeit.
Das tut es. Wenn jemand seinen eigenen Rechner verwaltet, wird ein "su" oder "sudo" doch letztlich/leider genauso selbstverständlich, wie das eingeben des eigene Passwortes...
Es macht dennoch einen großen Unterschied, denn mit sudo darf ich als User nicht nur den einen Befehl, für den ich grad das root-PW eingegeben habe nochmal ausführen, sondern jeden beliebigen anderen Befehle, für den ich gemäß sudoers qualifiziert bin. Bei "ALL=ALL" ist das fatal, denn so nen Shell-Aufruf kann man auch per gekapertem Browser oder so machen. Denn weder bei SUSE und schon gar nicht bei ubuntu steht ein 'Defaults passwd_timeout=0' in der sudoers. Und wer hat das schon drinstehen? Ich nagel die sudoers hingegen eh so zu, daß 'sudo -u bla' für root nur ne Variante von 'su -u bla -c' (mit weniger quoting-Problemen) ist und für ein paar "NOPASSWD" Befehle für meinen User (speziell wenn's shell-scripte sind, wo ich nichtmal das suid-Bit setzen könnte bzw. wo's nicht helfen würde), z.B. für "mein" shutdown (je eins für -h bzw. -r) Wrapper (äh, bzw. um "poweroff" statt '-h'), die mir noch ein kleines Logfile pflegen (mit der Ausgabe von 'uptime' ;) Hilft mir öfter mal bei der Frage, wie spät es die Nacht zuvor wurde ;) -dnh -- Grundsätzlich finde ich es begrüßenswert, wenn Attentäter mit dem Zug zum Attentat fahren. Ich meine, wo kann man sicherer sein, daß sie zu spät kommen? -- Dieter Nuhr, Nuhr 2006 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org