Linux: kritische Lücke für sudo
- Ersteller the other
- Erstellt am
framp
Active member
Früher war standardmäßig der User
mit dem Kennwort
sowie der sshd eingeschaltet. Nachdem dann Leute ihre Raspberry vom Netz aus errichbar gemacht hatten und diverse Raspberries mit diesen Standardeinstellungen gekapert wurden hat man das vernünftigerweise geändert:
Jetzt muss man bei der Installation einen Nutzernamen vergeben und es wird davor gewarnt nicht pi zu nehmen sowie ein Kennwort vergeben. Auch ist der sshd jetzt vernünftigerweise standardmässig ausgeschaltet. Warum immer noch standardmäßig sudo ohne Kennwort möglich ist weiss ich nicht. Besser wäre es standardmäßig aus Securitygründen ein Kennwort zu verlangen, wie es bei Linux OSen Standard ist.
Code:
pi
Code:
raspberryJetzt muss man bei der Installation einen Nutzernamen vergeben und es wird davor gewarnt nicht pi zu nehmen sowie ein Kennwort vergeben. Auch ist der sshd jetzt vernünftigerweise standardmässig ausgeschaltet. Warum immer noch standardmäßig sudo ohne Kennwort möglich ist weiss ich nicht. Besser wäre es standardmäßig aus Securitygründen ein Kennwort zu verlangen, wie es bei Linux OSen Standard ist.
Loxley
Active member
Vermutlich um Anfängern das Leben nicht unnötig schwer zu machen.
Wie schon geschrieben: die Ausführung von sudo mit oder ohne Passwortabfrage ist konfigurationsabhängig und kann jederzeit individuell geändert werden. Raspian hat sudo für den User pi ohne Passwort konfiguriert, Ubuntu (und alle weiteren AFAIK) nutzen die Standardeinstellung (Passwort muss eingegeben werden). Umgekehrt kann man natürlich auch in Raspbian die Passwortabfrage wieder aktivieren.
Soll sudo ohne Passwort ausgeführt werden, muss in /etc/sudoers (oder ggf. in einer Datei in /etc/sudoers.d/) die folgende Zeile eingefügt werden:
$USER ist der Benutzername des Benutzers, der sudo ohne Passwort ausführen darf.
Soll sudo ohne Passwort ausgeführt werden, muss in /etc/sudoers (oder ggf. in einer Datei in /etc/sudoers.d/) die folgende Zeile eingefügt werden:
Code:
$USER ALL=(ALL) NOPASSWD: ALLframp
Active member
Der Vollständigkeit halber auch die umgekehrte Richtung - also die sudo Kennwortabfrage einschalten für den normalen Benutzer auf der Raspberry unter Bookworm:
Einfach die Datei
löschen. Wurde ein anderer Standardnutzer beim Installieren definiert statt
steht der Nutzername im Dateinamen statt pi.
Einfach die Datei
Code:
/etc/sudoers.d/010_pi-nopasswd
Code:
pi