su braucht suid

[Elador]

ketzerische Frage: was versprichst du dir von sudo resp su? Ein Plus an Sicherheit ergibt sudo nur wenn mach auf einen Passwortlogin verzichtet. Sonst könnte ja jeder Keylogger das PW des sudo Users mitschneiden und wäre damit auch root. su selber kommt ihmo eh nicht in Frage, weil man dazu das root Passwort kennen muss. Dann kann man sich gleich mit root anmelden.
Denn aus Sicht der Sicherheit ist es egal ob dein root Passwort geknackt ist oder das Passwort eines Users mit sudo Rechten. In beiden Fällen ist man defakto root

Hauptsächlich wollte ich den root-login per ssh ganz deaktivieren. Passwort-authentication habe ich auch deaktiviert. So muss man erstmal auf die Idee kommen, meinen User zu knacken, und weis ja erstmal gar nicht, dass er überhaupt sudo hat.
Nebst diesem (hoffentlich Plus an Sicherheit) ergibt sich erhöhter Komfort, direkt auf der User-Konsole administrieren zu können falls nötig.

Klar, wenn einer nun mein Key-file knackt, ist er quasi als root drin. Aber irgendwie muss man ja administrieren können, und sicherer geht es denk ich nicht?

 

[jahlives]

SSH-Login nur noch mit Key ist sicher eine der besten Methoden wirklich mehr Sicherheit zu gewinnen. Trotzdem würde es z.B. vor einem Keylogger nicht nicht unbedingt schützen. Denn sudo verlangt dein Userpasswort, was wiederum ein Keylogger mitschneiden könnte.
Das komplette Deaktivieren des root Logins ist sicher auch ein Teil, den man machen kann. Ob es wirklich deutlich mehr Sicherheit gegenüber einem root Login mit Key-only bringt weiss ich nicht so recht. Denn einerseits ist der deaktivierte root Login ein deutliches Anzeichen dafür, dass auf dem System User existieren müssen mit sudo Rechten.
Andererseits kenne ich es von vielen Usern, dass sie bei Passworten für Admin (Win) oder root sehr viel besser aufpassen und komplexere Passworte nehmen als für ihre "normalen" User.
Auch nicht vergessen darf man dabei dass sudo ein Program wie jedes andere ist und damit auch Fehler enthalten kann. Gab gerade kürzlich ein Sicherheitsupdate für eine ziemliche Lücke ;-)