sudo absichern

Auch wenn die Meinungen dazu auseinandergehen, kann die Nutzung von sudo [1] unter Ubuntu ein Sicherheitsproblem darstellen. In der üblichen Konfiguration können sich Nutzer nämlich mit dem Kennwort zu ihrem regulären Konto an sudo anmelden und root-Befehle ausführen. Wurde also der User- Account kompromittiert, können Angreifer mittels sudo deutlich größeren Schaden am System anrichten. Es sollten also separate Kennwörter zum Einsatz kommen.

Konfigurieren lässt sich sudo über die Datei "sudoers" im Verzeichnis "/etc". In dieser Datei sind unter anderem das Default-Verhalten und die Privilegien der Nutzer hinterlegt. Wie bereits als Warnung in der Datei erwähnt, sollten Sie diese nur mit dem Befehl »visudo« bearbeiten. Dieser hindert Sie nämlich daran, "sudoers" in einer Art und Weise zu bearbeiten, die den Befehl unbrauchbar macht. Sollten Sie sich verkonfigurieren, gibt Ihnen »visudo« die Möglichkeit, vorhandene Fehler zu korrigieren anhand einer temporären Kopie von "sudoers". Das bietet ein Sicherheitsnetz im Vergleich zum Editieren und vollständigen Überschreiben der Konfigurationsdatei.

Mit Eingabe von »visudo« starten Sie einen Kommandozeileneditor. Üblicherweise handelt es sich dabei um Vim, Sie können aber auch andere Editoren verwenden. Möchten Sie beispielsweise, dass »visudo« nano als Editor nutzt, ändern Sie die Umgebungsvariable mit

export VISUAL=nano; visudo

Konfiguration in sudoers

Die sudoers-Datei ist in drei Abschnitte unterteilt. Der erste bestimmt das Standardverhalten mit einer Option je Zeile. Um beispielsweise die "Insults"-Option zu konfigurieren, die Nutzer "beschimpft", wenn sie erfolglos versuchen, sich an sudo anzumelden, nutzen Sie

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.