sudo absichern

Gefahrenabwehr

Den sudo-Befehl gibt es seit den 1980er-Jahren. Besonders in den letzten Jahren hat sudo an Popularität als Standardwerkzeug für root-Aktionen unter Linux zugenommen. Doch sudo kann weit mehr. So umfasst die zugehörige Man Page mehr als 2400 Zeilen und deckt eine ganze Reihe von Situationen ab, die einen Nutzer durchaus verwirren können. Wie Sie solche Stolperfallen meiden und die Sicherheit Ihres Systems mit sudo deutlich erhöhen, zeigt dieser Beitrag.
Firmen stecken in einer Zwickmühle: Einerseits verschärfen die Gesetzgeber in Deutschland und Europa laufend die Anforderungen an die Datensicherheit und den ... (mehr)

Auch wenn die Meinungen dazu auseinandergehen, kann die Nutzung von sudo [1] unter Ubuntu ein Sicherheitsproblem darstellen. In der üblichen Konfiguration können sich Nutzer nämlich mit dem Kennwort zu ihrem regulären Konto an sudo anmelden und root-Befehle ausführen. Wurde also der User- Account kompromittiert, können Angreifer mittels sudo deutlich größeren Schaden am System anrichten. Es sollten also separate Kennwörter zum Einsatz kommen.

Konfigurieren lässt sich sudo über die Datei "sudoers" im Verzeichnis "/etc". In dieser Datei sind unter anderem das Default-Verhalten und die Privilegien der Nutzer hinterlegt. Wie bereits als Warnung in der Datei erwähnt, sollten Sie diese nur mit dem Befehl »visudo« bearbeiten. Dieser hindert Sie nämlich daran, "sudoers" in einer Art und Weise zu bearbeiten, die den Befehl unbrauchbar macht. Sollten Sie sich verkonfigurieren, gibt Ihnen »visudo« die Möglichkeit, vorhandene Fehler zu korrigieren anhand einer temporären Kopie von "sudoers". Das bietet ein Sicherheitsnetz im Vergleich zum Editieren und vollständigen Überschreiben der Konfigurationsdatei.

Mit Eingabe von »visudo« starten Sie einen Kommandozeileneditor. Üblicherweise handelt es sich dabei um Vim, Sie können aber auch andere Editoren verwenden. Möchten Sie beispielsweise, dass »visudo« nano als Editor nutzt, ändern Sie die Umgebungsvariable mit

export VISUAL=nano; visudo

Konfiguration in sudoers

Die sudoers-Datei ist in drei Abschnitte unterteilt. Der erste bestimmt das Standardverhalten mit einer Option je Zeile. Um beispielsweise die "Insults"-Option zu konfigurieren, die Nutzer "beschimpft", wenn sie erfolglos versuchen, sich an sudo anzumelden, nutzen Sie

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021