1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Privilege Escalation: MacOS…

Kritsch?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Kritsch?

    Autor: Teebecher 29.11.17 - 06:00

    Warum sollte man ein root Account ohne Passwort haben?

    Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll loswird?

  2. Re: Kritsch?

    Autor: Mangnoppa 29.11.17 - 06:23

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte man ein root Account ohne Passwort haben?
    >
    > Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung
    > sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll
    > loswird?

    Ich glaube du hast den sudo-'Müll' nicht ganz verstanden. Ich gebe zu, dass das unter Ubunut + Derivaten immer etwas nervig ist, aber immer noch besser als alles als root auszuführen. Wenn du Ahnung ist, mag das vielleicht gehen, weil du weißt was du tust
    aber für Leute die weniger Ahnung haben (**hüstel, Mac-User, hüstel**) ist das Ausschalten von sudo und Wechsel auf Root mehr als gefährlich.

    BTW: Debian geht da noch weiter, versuch mal '$ cat /etc/network/interfaces' mit nem normalen Benutzeraccount mit sudo-Rechten auszuführen. Angeblich gibt es die Datei nicht :-)

  3. Re: Kritsch?

    Autor: Poison Nuke 29.11.17 - 06:25

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte man ein root Account ohne Passwort haben?
    >
    > Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung
    > sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll
    > loswird?


    denk mal abseits von deinem Heimrechner.
    In Unternehmen gibt es kein SUDO, bzw da wird dir vom Admin für einen Tag über die sudoers erlaubt etwas mehr zu machen als sonst. Sonst aber gibt es kein sudo.

    Und genau in dem Umfeld ist die Lücke kritisch: ein normaler Nutzer kann sich jetzt root-rechte verschaffen ohne das er sie hätte bekommen sollen. Oder der entsprechende User vergisst seinen Mac zu sperren in der Pause und ein Kollege kennt den Trick und verschafft sich damit Remote-Zugriff auf den Rechner um wichtige Dokumente zu kopieren/überwachen usw...



    Weiterhin macht auch sudo im Heimumfeld immernoch sinn, denn damit hast du eine weitere Sicherheitsbarriere gegen Schädlinge und Angreifer, die du bei deiner gewählten Lösung nicht hast. Genausowenig wie man UAC von Windows deaktivieren sollte, denn im Normalfall hat man damit sogut wie nie zu tun und wenn es aufploppt sollte man sich jedes mal Gedanken machen ob es von einem selbst kommt.

  4. Re: Kritsch?

    Autor: Teebecher 29.11.17 - 06:32

    Mangnoppa schrieb:
    --------------------------------------------------------------------------------
    > Teebecher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Warum sollte man ein root Account ohne Passwort haben?
    > >
    > > Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung
    > > sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll
    > > loswird?
    >
    > Ich glaube du hast den sudo-'Müll' nicht ganz verstanden. Ich gebe zu, dass
    > das unter Ubunut + Derivaten immer etwas nervig ist, aber immer noch besser
    > als alles als root auszuführen. Wenn du Ahnung ist, mag das vielleicht
    > gehen, weil du weißt was du tust
    > aber für Leute die weniger Ahnung haben (**hüstel, Mac-User, hüstel**) ist
    > das Ausschalten von sudo und Wechsel auf Root mehr als gefährlich.
    Ich habe den Sinn von sudo schon verstanden.
    Nur nicht auf einem Gerät, das nur von einer Person benutzt wird.

    "su -" wenn ich root brauche, "ctrl-D", wenn nicht mehr.
    Fertig.
    Und ich komme seit '95 ohne sudo aus … auch im beruflichen Umfeld.

    >
    > BTW: Debian geht da noch weiter, versuch mal '$ cat
    > /etc/network/interfaces' mit nem normalen Benutzeraccount mit sudo-Rechten
    > auszuführen. Angeblich gibt es die Datei nicht :-)
    Werde jetzt nur zum Testen kein sudo installieren :-)

  5. Re: Kritsch?

    Autor: Teebecher 29.11.17 - 06:37

    Poison Nuke schrieb:
    --------------------------------------------------------------------------------
    > Teebecher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Warum sollte man ein root Account ohne Passwort haben?
    > >
    > > Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung
    > > sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll
    > > loswird?
    >
    > denk mal abseits von deinem Heimrechner.
    > In Unternehmen gibt es kein SUDO, bzw da wird dir vom Admin für einen Tag
    > über die sudoers erlaubt etwas mehr zu machen als sonst. Sonst aber gibt es
    > kein sudo.
    Richtig, das ist auch der einzige Grund für sudo, (zeitlich limitierte) erweiterte Rechte.

    Aber nicht die Leute, die sich eine Computer-Bild mit Ubuntu kaufen …


    >
    > Und genau in dem Umfeld ist die Lücke kritisch: ein normaler Nutzer kann
    > sich jetzt root-rechte verschaffen ohne das er sie hätte bekommen sollen.
    > Oder der entsprechende User vergisst seinen Mac zu sperren in der Pause und
    > ein Kollege kennt den Trick und verschafft sich damit Remote-Zugriff auf
    > den Rechner um wichtige Dokumente zu kopieren/überwachen usw...
    Wie kann man das vergessen?
    Geht automatisch, entsperren tut die Uhr, also null Aufwand.

    >
    >
    > Weiterhin macht auch sudo im Heimumfeld immernoch sinn, denn damit hast du
    > eine weitere Sicherheitsbarriere gegen Schädlinge und Angreifer, die du bei
    > deiner gewählten Lösung nicht hast. Genausowenig wie man UAC von Windows
    > deaktivieren sollte, denn im Normalfall hat man damit sogut wie nie zu tun
    > und wenn es aufploppt sollte man sich jedes mal Gedanken machen ob es von
    > einem selbst kommt.
    Na, die Computerbild-Leser installieren jede PPA die nicht bei 3 auf den Bäumen ist, und da ist ein "apt install", oh, sorry, "sudo apt-get install" dann sicher?

  6. Re: Kritsch?

    Autor: Der Supporter 29.11.17 - 06:42

    Und weshalb ist in Unternehmen kein Passwort für root gesetzt? Das würde ja die Ausnutzung der Sicherheitslücke verhindern.

  7. Re: Kritsch?

    Autor: MarcelLambacher 29.11.17 - 07:02

    Teebecher schrieb:
    --------------------------------------------------------------------------------

    > Richtig, das ist auch der einzige Grund für sudo, (zeitlich limitierte)
    > erweiterte Rechte.

    Scheinbar hast du Sudo doch nicht ganz verstanden (Achtung, das ist kein persönlicher Angriff). Sudo ist sehr sinnvoll und sollte ebenfalls privat verwendet werden.

    So, also für was ist denn jetzt genau Sudo sinnvoll?

    Mit Hilfe von Sudo kannst du dir kurzzeitig Rootrechte vergeben. Du musst nicht permanent als Root angemeldet sein.
    Wenn richtig verwendet, erlaubt Sudo auch immer nur ein Befehl mit Rootrechten.
    Wenn du aber als Root angemeldet bist, kannst du alle folgenden Befehle ebenfalls als Root ausführen (was man nicht möchte). Besonders bei Anfängern die einfach mal gerne irgendwelche Befehle aus Stackoverflow kopieren kann das fatale Auswirkungen mit sich bringen. Da besonders in Zeiten von JavaScript dein Clipboardmanager manipuliert werden kann.

    Zusätzlich kannst du mit Sudo definieren, was genau als Root ausgeführt werden darf und was nicht. Sprich du kannst Befehle wie "rm -rf" einfach auf eine Blacklist setzen und läufst nicht in Gefahr diesen Befehl warum auch immer einfach mit Rootrechten auszuführen.

  8. Re: Kritsch?

    Autor: Teebecher 29.11.17 - 07:19

    MarcelLambacher schrieb:
    --------------------------------------------------------------------------------
    > Teebecher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Richtig, das ist auch der einzige Grund für sudo, (zeitlich limitierte)
    > > erweiterte Rechte.
    >
    > Scheinbar hast du Sudo doch nicht ganz verstanden (Achtung, das ist kein
    > persönlicher Angriff). Sudo ist sehr sinnvoll und sollte ebenfalls privat
    > verwendet werden.
    Ich mache seit Mitte der 90er Linux, kurz danach beruflich Solaris.
    Immer ohne sudo.
    >
    > So, also für was ist denn jetzt genau Sudo sinnvoll?
    >
    > Mit Hilfe von Sudo kannst du dir kurzzeitig Rootrechte vergeben. Du musst
    > nicht permanent als Root angemeldet sein.
    > Wenn richtig verwendet, erlaubt Sudo auch immer nur ein Befehl mit
    > Rootrechten.
    > Wenn du aber als Root angemeldet bist, kannst du alle folgenden Befehle
    > ebenfalls als Root ausführen (was man nicht möchte). Besonders bei
    ctrl-d, wenn ich es nicht mehr brauche.

    > Anfängern die einfach mal gerne irgendwelche Befehle aus Stackoverflow
    > kopieren kann das fatale Auswirkungen mit sich bringen. Da besonders in
    > Zeiten von JavaScript dein Clipboardmanager manipuliert werden kann.
    >
    > Zusätzlich kannst du mit Sudo definieren, was genau als Root ausgeführt
    > werden darf und was nicht. Sprich du kannst Befehle wie "rm -rf" einfach
    > auf eine Blacklist setzen und läufst nicht in Gefahr diesen Befehl warum
    > auch immer einfach mit Rootrechten auszuführen.
    Für solche Turnbeutelvergesser gibt es doch "rm -i" :-)

    Ausserdem prägt das früh, wie wichtig ein gutes backup ist.

  9. Re: Kritsch?

    Autor: trapperjohn 29.11.17 - 07:32

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > MarcelLambacher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Teebecher schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > >
    > > > Richtig, das ist auch der einzige Grund für sudo, (zeitlich
    > limitierte)
    > > > erweiterte Rechte.
    > >
    > > Scheinbar hast du Sudo doch nicht ganz verstanden (Achtung, das ist kein
    > > persönlicher Angriff). Sudo ist sehr sinnvoll und sollte ebenfalls
    > privat
    > > verwendet werden.
    > Ich mache seit Mitte der 90er Linux, kurz danach beruflich Solaris.
    > Immer ohne sudo.


    Und weil man etwas bereits seit langem nutzt, ist es gut und richtig?

    Ein root Account ohne Passwort dämmt auch einen potentiellen Angriff von außen etwas ein (für beliebige Zugriffsart, SSH, FTP, RDP, wasauchimmer) - jeder Angreifer muss nicht nur das Passwort kennen, sondern auch einen gültigen Nutzeraccount! Brute force Passwort-raten auf root Accounts funktioniert ja nicht mehr ...

    Und wenn du selbst länger auf der Konsole unterwegs bist, machste einfach 'sudo su -' und bist weiterhin root. Wie in den 90ern ...

  10. Re: Kritsch?

    Autor: charlemagne 29.11.17 - 07:33

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > Warum sollte man ein root Account ohne Passwort haben?
    >
    > Damit man wie unter Ubuntu mit sudo gegängelt wird, weil jede Anleitung
    > sudo verwendet, statt mit einer Zeile zu erklären, wie man den Müll
    > loswird?

    Ubuntu gängelt nicht. Als ich es unlängst zum ersten mal anfasste habe ich mit "sudo passwd" ein root Passwort meiner Wahl eingegeben und fürderhin "su -" verwendet.

  11. Re: Kritsch?

    Autor: dxp 29.11.17 - 07:36

    Mangnoppa schrieb:
    --------------------------------------------------------------------------------
    > BTW: Debian geht da noch weiter, versuch mal '$ cat
    > /etc/network/interfaces' mit nem normalen Benutzeraccount mit sudo-Rechten
    > auszuführen. Angeblich gibt es die Datei nicht :-)

    Das wär mir aber neu. Konnte ich weder unter jessie, noch unter stretch feststellen. Zudem hat interfaces per default 644 Rechte.

  12. Re: Kritsch?

    Autor: MarcelLambacher 29.11.17 - 07:38

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > ctrl-d, wenn ich es nicht mehr brauche.

    Ich glaube da haben wir uns nicht ganz richtig verstanden. Kannst du mir den Unterscheid zwischen folgenden Befehlen näher erläutern?

    1: su root
    > Befehl1 && "bößer" Befehl2

    2. sudo
    > sudo Befehl1 && "bößer" Befehl2

    In welchem Szenario wird denn jetzt unser "bößer" Befehl als Root ausgeführt? Richtig, bei der mit deiner 90er Einstellung.

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > Für solche Turnbeutelvergesser gibt es doch "rm -i" :-)
    >
    > Ausserdem prägt das früh, wie wichtig ein gutes backup ist.

    Meinst du nicht, dass das nur ein Beispiel von mir war und eigentlich dazu gedacht ist, mal ein kleines bisschen weiter zu denken?



    1 mal bearbeitet, zuletzt am 29.11.17 07:44 durch MarcelLambacher.

  13. Re: Kritsch?

    Autor: charlemagne 29.11.17 - 07:39

    dxp schrieb:
    --------------------------------------------------------------------------------
    > Mangnoppa schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > BTW: Debian geht da noch weiter, versuch mal '$ cat
    > > /etc/network/interfaces' mit nem normalen Benutzeraccount mit
    > sudo-Rechten
    > > auszuführen. Angeblich gibt es die Datei nicht :-)
    >
    > Das wär mir aber neu. Konnte ich weder unter jessie, noch unter stretch
    > feststellen. Zudem hat interfaces per default 644 Rechte.

    erlangen:~ # ll /etc/network/interfaces
    ls: cannot access '/etc/network/interfaces': No such file or directory
    erlangen:~ #

    YMMV

  14. Re: Kritsch?

    Autor: Apfelbrot 29.11.17 - 07:59

    Der Supporter schrieb:
    --------------------------------------------------------------------------------
    > Und weshalb ist in Unternehmen kein Passwort für root gesetzt? Das würde ja
    > die Ausnutzung der Sicherheitslücke verhindern.

    Tja nur sind die meisten die Macs einsetzen eben Unternehmen ohne IT Fuzzie.

  15. Re: Kritsch?

    Autor: Thinal 29.11.17 - 08:32

    Und es ist wirklich so schwierig "sudo -s" statt "su -" zu tippen?

  16. Re: Kritsch?

    Autor: dxp 29.11.17 - 08:56

    charlemagne schrieb:
    --------------------------------------------------------------------------------
    > dxp schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mangnoppa schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > BTW: Debian geht da noch weiter, versuch mal '$ cat
    > > > /etc/network/interfaces' mit nem normalen Benutzeraccount mit
    > > sudo-Rechten
    > > > auszuführen. Angeblich gibt es die Datei nicht :-)
    > >
    > > Das wär mir aber neu. Konnte ich weder unter jessie, noch unter stretch
    > > feststellen. Zudem hat interfaces per default 644 Rechte.
    >
    > erlangen:~ # ll /etc/network/interfaces
    > ls: cannot access '/etc/network/interfaces': No such file or directory
    > erlangen:~ #
    >
    > YMMV

    Da würd ich aber ganz stark darauf tippen, dass das file nicht existiert :D

  17. Re: Kritsch?

    Autor: elgooG 29.11.17 - 09:03

    Apfelbrot schrieb:
    --------------------------------------------------------------------------------
    > Tja nur sind die meisten die Macs einsetzen eben Unternehmen ohne IT
    > Fuzzie.

    Du meinst wie zB Google oder IBM?

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  18. Re: Kritsch?

    Autor: der_wahre_hannes 29.11.17 - 09:13

    Teebecher schrieb:
    --------------------------------------------------------------------------------
    > Wie kann man das vergessen?

    Indem man einfach vom Rechner aufsteht und weggeht. Vielleicht weil ein Kollege reinkommt "kannst du mir mal eben hier helfen?"

    > Geht automatisch, entsperren tut die Uhr, also null Aufwand.

    Automatisch gesperrt wird ein Rechner für gewöhnlich aber erst nach einer gewissen Zeit der Inaktivität...

  19. Re: Kritsch?

    Autor: zorndyuke 29.11.17 - 09:14

    Ich glaube hier unterschätzen einige die DAU's. Selbst diverse "Admins" schaffen es die Rechte zu versauen.

    Klar sollte in einer perfekten Welt "su -" ausreichen, aber es werden nicht umsonst täglich "zu viele" Server gehackt. Da sollte es sehr gut sein, dass man nur "sudo" mit einer White/Blacklist an Befehlen arbeiten kann.

    Die Tipps sind nicht unbedingt für Profis erschaffen worden, sondern eher für die große Mehrheit an "nicht Profis" ;)

    Wer über 10 Jahre Linux benutzt, der braucht das sicher nicht.. obwohl auch der mal einen Tag haben wird, an dem er übers Ohr gehauen werden könnte, aber im besten Fall nicht zu dem Fall kommt aus versehen schwachsinn einzugeben.

  20. Re: Kritsch?

    Autor: makeworld 29.11.17 - 10:12

    dxp schrieb:

    > Das wär mir aber neu. Konnte ich weder unter jessie, noch unter stretch
    > feststellen. Zudem hat interfaces per default 644 Rechte.

    richtig.
    für debian:
    $ cat /etc/debian_version
    9.2
    $ ls -l /etc/network
    -rw-r--r-- 1 root root 240 Aug 19 14:49 interfaces

    $ cat /etc/debian_version
    8.9
    $ ls -l /etc/network
    -rw-r--r-- 1 root root 495 Mai 19 2017 interfaces

    $ cat /etc/debian_version
    buster/sid
    $ ls -l /etc/network
    insgesamt 28
    -rw-r--r-- 1 root root 293 Jan 17 2013 interfaces
    -rw-r--r-- 1 root root 277 Jan 17 2013 interfaces.bak-0

    --
    bitte nicht nur beim Editor den rechten Rand einstellen

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Softwareentwickler*in (w/m/d) Java Application Software
    Hensoldt, Ulm
  2. ERP Product Owner (m/w/d)
    Goldbeck GmbH, Bielefeld
  3. Product Owner Cloud Platform (m/w/d) Software Logistics
    ecovium GmbH, deutschlandweit (Home-Office)
  4. Projektmanagement und IT-Support (w/m/d)
    Universität Konstanz, Konstanz

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Linux: Endlich raus aus der Pakethölle
Linux
Endlich raus aus der Pakethölle

Eine Systemd-Komponente könnte Updates vereinheitlichen und die Linux-Pakete in ihrer klassischen Funktion für Nutzer überflüssig machen.
Von Sebastian Grüner

  1. Reverse Engineering Linux läuft auf dem iPad Air 2
  2. Deklaratives Linux NixOS 22.05 kommt mit grafischem Installationsassistenten
  3. Plex, LRZ, Nvidia Geforce GTX 1630 soll im Juni erscheinen

30 Jahre Fate of Atlantis: Indiana Jones in seinem besten Abenteuer
30 Jahre Fate of Atlantis
Indiana Jones in seinem besten Abenteuer

Mehrere Handlungspfade und Prügeleien: Golem.de hat das vor 30 Jahren veröffentlichte Indiana Jones and the Fate of Atlantis neu ausprobiert.
Von Andreas Altenheimer

  1. Indiana Jones wird 40 Jahre alt Als Harrison Ford zum ersten Mal die Peitsche schwang

Apple Newton Messagepad: Apples Handheld ohne Jobs-Garantie
Apple Newton Messagepad
Apples Handheld ohne Jobs-Garantie

Das Messagepad war Apples erstes Handheld - und hat einen schlechten Ruf. Unser Test zeigt allerdings, dass das PDA-Konzept seiner Zeit voraus war.
Ein Test von Tobias Költzsch

  1. Hermit Apple widerruft Zertifikat für italienischen Staatstrojaner
  2. Produktlaunch Apple soll neue Macs, iPhones und Homepod für Herbst planen
  3. Apple iOS 16 kann Captchas umgehen