1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Privilege Escalation: MacOS High…

Kritsch?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Kritsch?

    Autor: Teebecher 29.11.17 - 06:00

    Warum sollte man ein root Account ohne Passwort haben?

    Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll loswird?

  2. Re: Kritsch?

    Autor: Mangnoppa 29.11.17 - 06:23

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte man ein root Account ohne Passwort haben?
    >
    > Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung
    > sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll
    > loswird?

    Ich glaube du hast den sudo-'Müll' nicht ganz verstanden. Ich gebe zu, dass das unter Ubunut + Derivaten immer etwas nervig ist, aber immer noch besser als alles als root auszuführen. Wenn du Ahnung ist, mag das vielleicht gehen, weil du weißt was du tust
    aber für Leute die weniger Ahnung haben (**hüstel, Mac-User, hüstel**) ist das Ausschalten von sudo und Wechsel auf Root mehr als gefährlich.

    BTW: Debian geht da noch weiter, versuch mal '$ cat /etc/network/interfaces' mit nem normalen Benutzeraccount mit sudo-Rechten auszuführen. Angeblich gibt es die Datei nicht :-)

  3. Re: Kritsch?

    Autor: Poison Nuke 29.11.17 - 06:25

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte man ein root Account ohne Passwort haben?
    >
    > Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung
    > sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll
    > loswird?


    denk mal abseits von deinem Heimrechner.
    In Unternehmen gibt es kein SUDO, bzw da wird dir vom Admin für einen Tag über die sudoers erlaubt etwas mehr zu machen als sonst. Sonst aber gibt es kein sudo.

    Und genau in dem Umfeld ist die Lücke kritisch: ein normaler Nutzer kann sich jetzt root-rechte verschaffen ohne das er sie hätte bekommen sollen. Oder der entsprechende User vergisst seinen Mac zu sperren in der Pause und ein Kollege kennt den Trick und verschafft sich damit Remote-Zugriff auf den Rechner um wichtige Dokumente zu kopieren/überwachen usw...



    Weiterhin macht auch sudo im Heimumfeld immernoch sinn, denn damit hast du eine weitere Sicherheitsbarriere gegen Schädlinge und Angreifer, die du bei deiner gewählten Lösung nicht hast. Genausowenig wie man UAC von Windows deaktivieren sollte, denn im Normalfall hat man damit sogut wie nie zu tun und wenn es aufploppt sollte man sich jedes mal Gedanken machen ob es von einem selbst kommt.

  4. Re: Kritsch?

    Autor: Teebecher 29.11.17 - 06:32

    Mangnoppa schrieb:
    --------------------------------------------------------------------------------
    > Teebecher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Warum sollte man ein root Account ohne Passwort haben?
    > >
    > > Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung
    > > sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll
    > > loswird?
    >
    > Ich glaube du hast den sudo-'Müll' nicht ganz verstanden. Ich gebe zu, dass
    > das unter Ubunut + Derivaten immer etwas nervig ist, aber immer noch besser
    > als alles als root auszuführen. Wenn du Ahnung ist, mag das vielleicht
    > gehen, weil du weißt was du tust
    > aber für Leute die weniger Ahnung haben (**hüstel, Mac-User, hüstel**) ist
    > das Ausschalten von sudo und Wechsel auf Root mehr als gefährlich.
    Ich habe den Sinn von sudo schon verstanden.
    Nur nicht auf einem Gerät, das nur von einer Person benutzt wird.

    "su -" wenn ich root brauche, "ctrl-D", wenn nicht mehr.
    Fertig.
    Und ich komme seit '95 ohne sudo aus … auch im beruflichen Umfeld.

    >
    > BTW: Debian geht da noch weiter, versuch mal '$ cat
    > /etc/network/interfaces' mit nem normalen Benutzeraccount mit sudo-Rechten
    > auszuführen. Angeblich gibt es die Datei nicht :-)
    Werde jetzt nur zum Testen kein sudo installieren :-)

  5. Re: Kritsch?

    Autor: Teebecher 29.11.17 - 06:37

    Poison Nuke schrieb:
    --------------------------------------------------------------------------------
    > Teebecher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Warum sollte man ein root Account ohne Passwort haben?
    > >
    > > Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung
    > > sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll
    > > loswird?
    >
    > denk mal abseits von deinem Heimrechner.
    > In Unternehmen gibt es kein SUDO, bzw da wird dir vom Admin für einen Tag
    > über die sudoers erlaubt etwas mehr zu machen als sonst. Sonst aber gibt es
    > kein sudo.
    Richtig, das ist auch der einzige Grund für sudo, (zeitlich limitierte) erweiterte Rechte.

    Aber nicht die Leute, die sich eine Computer-Bild mit Ubuntu kaufen …


    >
    > Und genau in dem Umfeld ist die Lücke kritisch: ein normaler Nutzer kann
    > sich jetzt root-rechte verschaffen ohne das er sie hätte bekommen sollen.
    > Oder der entsprechende User vergisst seinen Mac zu sperren in der Pause und
    > ein Kollege kennt den Trick und verschafft sich damit Remote-Zugriff auf
    > den Rechner um wichtige Dokumente zu kopieren/überwachen usw...
    Wie kann man das vergessen?
    Geht automatisch, entsperren tut die Uhr, also null Aufwand.

    >
    >
    > Weiterhin macht auch sudo im Heimumfeld immernoch sinn, denn damit hast du
    > eine weitere Sicherheitsbarriere gegen Schädlinge und Angreifer, die du bei
    > deiner gewählten Lösung nicht hast. Genausowenig wie man UAC von Windows
    > deaktivieren sollte, denn im Normalfall hat man damit sogut wie nie zu tun
    > und wenn es aufploppt sollte man sich jedes mal Gedanken machen ob es von
    > einem selbst kommt.
    Na, die Computerbild-Leser installieren jede PPA die nicht bei 3 auf den Bäumen ist, und da ist ein "apt install", oh, sorry, "sudo apt-get install" dann sicher?

  6. Re: Kritsch?

    Autor: Der Supporter 29.11.17 - 06:42

    Und weshalb ist in Unternehmen kein Passwort für root gesetzt? Das würde ja die Ausnutzung der Sicherheitslücke verhindern.

  7. Re: Kritsch?

    Autor: MarcelLambacher 29.11.17 - 07:02

    Teebecher schrieb:
    --------------------------------------------------------------------------------

    > Richtig, das ist auch der einzige Grund für sudo, (zeitlich limitierte)
    > erweiterte Rechte.

    Scheinbar hast du Sudo doch nicht ganz verstanden (Achtung, das ist kein persönlicher Angriff). Sudo ist sehr sinnvoll und sollte ebenfalls privat verwendet werden.

    So, also für was ist denn jetzt genau Sudo sinnvoll?

    Mit Hilfe von Sudo kannst du dir kurzzeitig Rootrechte vergeben. Du musst nicht permanent als Root angemeldet sein.
    Wenn richtig verwendet, erlaubt Sudo auch immer nur ein Befehl mit Rootrechten.
    Wenn du aber als Root angemeldet bist, kannst du alle folgenden Befehle ebenfalls als Root ausführen (was man nicht möchte). Besonders bei Anfängern die einfach mal gerne irgendwelche Befehle aus Stackoverflow kopieren kann das fatale Auswirkungen mit sich bringen. Da besonders in Zeiten von JavaScript dein Clipboardmanager manipuliert werden kann.

    Zusätzlich kannst du mit Sudo definieren, was genau als Root ausgeführt werden darf und was nicht. Sprich du kannst Befehle wie "rm -rf" einfach auf eine Blacklist setzen und läufst nicht in Gefahr diesen Befehl warum auch immer einfach mit Rootrechten auszuführen.

  8. Re: Kritsch?

    Autor: Teebecher 29.11.17 - 07:19

    MarcelLambacher schrieb:
    --------------------------------------------------------------------------------
    > Teebecher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Richtig, das ist auch der einzige Grund für sudo, (zeitlich limitierte)
    > > erweiterte Rechte.
    >
    > Scheinbar hast du Sudo doch nicht ganz verstanden (Achtung, das ist kein
    > persönlicher Angriff). Sudo ist sehr sinnvoll und sollte ebenfalls privat
    > verwendet werden.
    Ich mache seit Mitte der 90er Linux, kurz danach beruflich Solaris.
    Immer ohne sudo.
    >
    > So, also für was ist denn jetzt genau Sudo sinnvoll?
    >
    > Mit Hilfe von Sudo kannst du dir kurzzeitig Rootrechte vergeben. Du musst
    > nicht permanent als Root angemeldet sein.
    > Wenn richtig verwendet, erlaubt Sudo auch immer nur ein Befehl mit
    > Rootrechten.
    > Wenn du aber als Root angemeldet bist, kannst du alle folgenden Befehle
    > ebenfalls als Root ausführen (was man nicht möchte). Besonders bei
    ctrl-d, wenn ich es nicht mehr brauche.

    > Anfängern die einfach mal gerne irgendwelche Befehle aus Stackoverflow
    > kopieren kann das fatale Auswirkungen mit sich bringen. Da besonders in
    > Zeiten von JavaScript dein Clipboardmanager manipuliert werden kann.
    >
    > Zusätzlich kannst du mit Sudo definieren, was genau als Root ausgeführt
    > werden darf und was nicht. Sprich du kannst Befehle wie "rm -rf" einfach
    > auf eine Blacklist setzen und läufst nicht in Gefahr diesen Befehl warum
    > auch immer einfach mit Rootrechten auszuführen.
    Für solche Turnbeutelvergesser gibt es doch "rm -i" :-)

    Ausserdem prägt das früh, wie wichtig ein gutes backup ist.

  9. Re: Kritsch?

    Autor: trapperjohn 29.11.17 - 07:32

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > MarcelLambacher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Teebecher schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > >
    > > > Richtig, das ist auch der einzige Grund für sudo, (zeitlich
    > limitierte)
    > > > erweiterte Rechte.
    > >
    > > Scheinbar hast du Sudo doch nicht ganz verstanden (Achtung, das ist kein
    > > persönlicher Angriff). Sudo ist sehr sinnvoll und sollte ebenfalls
    > privat
    > > verwendet werden.
    > Ich mache seit Mitte der 90er Linux, kurz danach beruflich Solaris.
    > Immer ohne sudo.


    Und weil man etwas bereits seit langem nutzt, ist es gut und richtig?

    Ein root Account ohne Passwort dämmt auch einen potentiellen Angriff von außen etwas ein (für beliebige Zugriffsart, SSH, FTP, RDP, wasauchimmer) - jeder Angreifer muss nicht nur das Passwort kennen, sondern auch einen gültigen Nutzeraccount! Brute force Passwort-raten auf root Accounts funktioniert ja nicht mehr ...

    Und wenn du selbst länger auf der Konsole unterwegs bist, machste einfach 'sudo su -' und bist weiterhin root. Wie in den 90ern ...

  10. Re: Kritsch?

    Autor: charlemagne 29.11.17 - 07:33

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte man ein root Account ohne Passwort haben?
    >
    > Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung
    > sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll
    > loswird?

    Ubuntu gängelt nicht. Als ich es unlängst zum ersten mal anfasste habe ich mit "sudo passwd" ein root Passwort meiner Wahl eingegeben und fürderhin "su -" verwendet.

  11. Re: Kritsch?

    Autor: dxp 29.11.17 - 07:36

    Mangnoppa schrieb:
    --------------------------------------------------------------------------------
    > BTW: Debian geht da noch weiter, versuch mal '$ cat
    > /etc/network/interfaces' mit nem normalen Benutzeraccount mit sudo-Rechten
    > auszuführen. Angeblich gibt es die Datei nicht :-)

    Das wär mir aber neu. Konnte ich weder unter jessie, noch unter stretch feststellen. Zudem hat interfaces per default 644 Rechte.

  12. Re: Kritsch?

    Autor: MarcelLambacher 29.11.17 - 07:38

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > ctrl-d, wenn ich es nicht mehr brauche.

    Ich glaube da haben wir uns nicht ganz richtig verstanden. Kannst du mir den Unterscheid zwischen folgenden Befehlen näher erläutern?

    1: su root
    > Befehl1 && "bößer" Befehl2

    2. sudo
    > sudo Befehl1 && "bößer" Befehl2

    In welchem Szenario wird denn jetzt unser "bößer" Befehl als Root ausgeführt? Richtig, bei der mit deiner 90er Einstellung.

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > Für solche Turnbeutelvergesser gibt es doch "rm -i" :-)
    >
    > Ausserdem prägt das früh, wie wichtig ein gutes backup ist.

    Meinst du nicht, dass das nur ein Beispiel von mir war und eigentlich dazu gedacht ist, mal ein kleines bisschen weiter zu denken?



    1 mal bearbeitet, zuletzt am 29.11.17 07:44 durch MarcelLambacher.

  13. Re: Kritsch?

    Autor: charlemagne 29.11.17 - 07:39

    dxp schrieb:
    --------------------------------------------------------------------------------
    > Mangnoppa schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > BTW: Debian geht da noch weiter, versuch mal '$ cat
    > > /etc/network/interfaces' mit nem normalen Benutzeraccount mit
    > sudo-Rechten
    > > auszuführen. Angeblich gibt es die Datei nicht :-)
    >
    > Das wär mir aber neu. Konnte ich weder unter jessie, noch unter stretch
    > feststellen. Zudem hat interfaces per default 644 Rechte.

    erlangen:~ # ll /etc/network/interfaces
    ls: cannot access '/etc/network/interfaces': No such file or directory
    erlangen:~ #

    YMMV

  14. Re: Kritsch?

    Autor: Apfelbrot 29.11.17 - 07:59

    Der Supporter schrieb:
    --------------------------------------------------------------------------------
    > Und weshalb ist in Unternehmen kein Passwort für root gesetzt? Das würde ja
    > die Ausnutzung der Sicherheitslücke verhindern.

    Tja nur sind die meisten die Macs einsetzen eben Unternehmen ohne IT Fuzzie.

  15. Re: Kritsch?

    Autor: Thinal 29.11.17 - 08:32

    Und es ist wirklich so schwierig "sudo -s" statt "su -" zu tippen?

  16. Re: Kritsch?

    Autor: dxp 29.11.17 - 08:56

    charlemagne schrieb:
    --------------------------------------------------------------------------------
    > dxp schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mangnoppa schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > BTW: Debian geht da noch weiter, versuch mal '$ cat
    > > > /etc/network/interfaces' mit nem normalen Benutzeraccount mit
    > > sudo-Rechten
    > > > auszuführen. Angeblich gibt es die Datei nicht :-)
    > >
    > > Das wär mir aber neu. Konnte ich weder unter jessie, noch unter stretch
    > > feststellen. Zudem hat interfaces per default 644 Rechte.
    >
    > erlangen:~ # ll /etc/network/interfaces
    > ls: cannot access '/etc/network/interfaces': No such file or directory
    > erlangen:~ #
    >
    > YMMV

    Da würd ich aber ganz stark darauf tippen, dass das file nicht existiert :D

  17. Re: Kritsch?

    Autor: elgooG 29.11.17 - 09:03

    Apfelbrot schrieb:
    --------------------------------------------------------------------------------
    > Tja nur sind die meisten die Macs einsetzen eben Unternehmen ohne IT
    > Fuzzie.

    Du meinst wie zB Google oder IBM?

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  18. Re: Kritsch?

    Autor: der_wahre_hannes 29.11.17 - 09:13

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > Wie kann man das vergessen?

    Indem man einfach vom Rechner aufsteht und weggeht. Vielleicht weil ein Kollege reinkommt "kannst du mir mal eben hier helfen?"

    > Geht automatisch, entsperren tut die Uhr, also null Aufwand.

    Automatisch gesperrt wird ein Rechner für gewöhnlich aber erst nach einer gewissen Zeit der Inaktivität...

  19. Re: Kritsch?

    Autor: zorndyuke 29.11.17 - 09:14

    Ich glaube hier unterschätzen einige die DAU's. Selbst diverse "Admins" schaffen es die Rechte zu versauen.

    Klar sollte in einer perfekten Welt "su -" ausreichen, aber es werden nicht umsonst täglich "zu viele" Server gehackt. Da sollte es sehr gut sein, dass man nur "sudo" mit einer White/Blacklist an Befehlen arbeiten kann.

    Die Tipps sind nicht unbedingt für Profis erschaffen worden, sondern eher für die große Mehrheit an "nicht Profis" ;)

    Wer über 10 Jahre Linux benutzt, der braucht das sicher nicht.. obwohl auch der mal einen Tag haben wird, an dem er übers Ohr gehauen werden könnte, aber im besten Fall nicht zu dem Fall kommt aus versehen schwachsinn einzugeben.

  20. Re: Kritsch?

    Autor: makeworld 29.11.17 - 10:12

    dxp schrieb:

    > Das wär mir aber neu. Konnte ich weder unter jessie, noch unter stretch
    > feststellen. Zudem hat interfaces per default 644 Rechte.

    richtig.
    für debian:
    $ cat /etc/debian_version
    9.2
    $ ls -l /etc/network
    -rw-r--r-- 1 root root 240 Aug 19 14:49 interfaces

    $ cat /etc/debian_version
    8.9
    $ ls -l /etc/network
    -rw-r--r-- 1 root root 495 Mai 19 2017 interfaces

    $ cat /etc/debian_version
    buster/sid
    $ ls -l /etc/network
    insgesamt 28
    -rw-r--r-- 1 root root 293 Jan 17 2013 interfaces
    -rw-r--r-- 1 root root 277 Jan 17 2013 interfaces.bak-0

    --
    bitte nicht nur beim Editor den rechten Rand einstellen

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. Kassenzahnärztliche Vereinigung Bayerns, München
  3. dSPACE GmbH, Paderborn
  4. SITA Airport IT GmbH, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 634,90€ (Bestpreis!)
  2. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  3. 789€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  4. 369,99€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Apple: iPhone 12 bekommt Magnetrücken und kleinen Bruder
Apple
iPhone 12 bekommt Magnetrücken und kleinen Bruder

Das iPhone 12 ist mit einem 6,1-Zoll- und das iPhone 12 Mini mit einem 5,4-Zoll-Display ausgerüstet. Ladegerät und Kopfhörer fallen aus Gründen des Umweltschutzes weg.

  1. Apple iPhone 12 Pro und iPhone 12 Pro Max werden größer
  2. Apple iPhone 12 verspätet sich
  3. Back Tap iOS 14 erkennt Trommeln auf der iPhone-Rückseite

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  2. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar
  3. Smartwatch Apple Watch 3 hat Probleme mit Watch OS 7

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da