Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Sudo vs SU

18-10-2018, 16:09 door Anoniem, 35 reacties
In Linux en Mac heb je Sudo en Su.

Welke maatregelen kan je allemaal nemen om deze te beschermen tegen kwaadwillende personen?
Reacties (35)
18-10-2018, 16:40 door MathFox
1) De executables verwijderen.
Maar ze zijn handig
2) Two factor authenticatie gebruiken. (Je kunt PAM configureren dat er een token nodig is.)
Maar dat is lastig en duur
3) Een goede wachtwoordpolicy hebben.
4) Het SUID bit van su afhalen en sudo goed configureren.
sudo is bedoeld als een verbeterde su, met mogelijkheden om de programma's die gebruikers kunnen draaien te beperken tot enkele, logging mogelijkheden, etc.

Maar de eerste vraag is: Waarom? Wat wil je waartegen beveiligen?
18-10-2018, 16:40 door Anoniem
Ik zou Su blocken en niet gebruiken.

sudo heeft superieur loggen. sudo logt elke opdracht.
sudo zorgt voor een gedetaileerdere controle.
ook kan je sudo configureren om roottoegang te geven aan jezelf maar niet voor alle opdrachten, ik zou blokkeren dat je kwetsbare commando's met sudo kan uitvoeren.
Je kan een timeout van 1 millisecond voor sudo doen, zo kan een hacker op jouw computer niet gelijk commando's uitvoeren als jij sudo gebruikt, maar moet voor elke commando de sudo wachtwoord ingevoerd worden.
Timeouts tussen sudo commando's

Mac heeft SIP, Linux heeft dit niet, je moet opzoek naar iets vergelijkbaars op Linux.
18-10-2018, 16:48 door Briolet
Onder een useraccount werken. Dan kun je geen sudo of su gebruiken.
18-10-2018, 18:09 door Anoniem
doas gebruiken. ;)
18-10-2018, 19:00 door Anoniem
Mac

1) Werk niet onder een admin account

2) maak tenminste nog 1 standaard account aan.

3) Ga naar je admin account en verander de permissies van terminal.app zodanig dat het standaard account geen rechten heeft om de app te openen.
Toetscombi cmd-i, in info paneel slotje open zetten, iedereen verbieden en je admin useraccount toevoegen en op read only zetten :)

Bedenk dat wanneer je een permissie repair uitvoert de verminderde permissies er weer af zijn!!

Terminal : veel te sterk voor een standaard account!
(eigenlijk zou er nog een bevestigingsvraag tussen moeten zitten om na een perongelukke klik op een verkeerd bestand niet automatisch tot uitvoer over te gaan, want het gaat snel, sneller dan jij doorhebt dat er even iets (een app icoon) bijkwam en weer verdween in je dock.

4) Als je niet weet wat een bepaald bestand in je download map of in je email bijlage is, klik er nooit zomaar op, want het kan ook een executable zijn en dan ben je dus die logerende manke aap met een zieke airbbook.
18-10-2018, 19:09 door Anoniem
sudo en su tegen kwaadwillenden beschermen? Ze zijn zelf de bescherming. Maar willens en wetens kwaadwillenden op je systeem toelaten wil je niet. Als je shell-diensten aanbiedt dan doe je dat aan mensen die je enigszins kan vertrouwen.

Op *BSD-systemen zorg je dat degenen die su gebruiken in de "wheel" groep zitten en de rest mag su gewoon niet gebruiken. Zo'n regeltje kun je ook aan sudo voeren. Verder zijn er nog vele, vele andere truuks, maar dat is eigenlijk allemaal huiswerk: Lees je in over je favoriete systeem.
18-10-2018, 23:08 door MathFox
Door Anoniem:Op *BSD-systemen zorg je dat degenen die su gebruiken in de "wheel" groep zitten en de rest mag su gewoon niet gebruiken. Zo'n regeltje kun je ook aan sudo voeren. Verder zijn er nog vele, vele andere truuks, maar dat is eigenlijk allemaal huiswerk: Lees je in over je favoriete systeem.
De standaard configuratie van Debian kent de groep "sudo" voor toegestane sudo gebruikers. Read The (Fine) Manual!
19-10-2018, 07:11 door Anoniem
Door MathFox:

2) Two factor authenticatie gebruiken. (Je kunt PAM configureren dat er een token nodig is.)
Maar dat is lastig en duur

Maar de eerste vraag is: Waarom? Wat wil je waartegen beveiligen?

Duur is een relatief begrip, een Yubikey heb je vanaf $20, Als je de Yuibikey opgezet hebt dan kost het nog geen 10 minuten om je OS (Mac/Linux) te configureren in je /etc/pam.d.
19-10-2018, 07:14 door Anoniem
Door Anoniem:

Terminal : veel te sterk voor een standaard account!

Dat kan je zo generiek toch niet zeggen, dat ligt toch helemaal aan het gebruik.
Ik heb gebruikers die wel een terminal nodig hebben maar absoluut geen admin rechten.
19-10-2018, 07:33 door Anoniem

Mac heeft SIP, Linux heeft dit niet, je moet opzoek naar iets vergelijkbaars op Linux.

Bestaat er dan iets als SIP voor Linux?
19-10-2018, 09:38 door Anoniem
Door Anoniem: Ik zou Su blocken en niet gebruiken.

sudo heeft superieur loggen. sudo logt elke opdracht.
sudo zorgt voor een gedetaileerdere controle.

Jij vergeet dat op de manier waarop het vaak ingericht is "sudo" het password van de USER gebnruikt om ADMIN te worden.
Terwijl "su" het password van "root" nodig heeft daarvoor.
Pak het gemiddelde UBUNTU systeem en de gebruiker die is in feite gewoon altijd admin, want zit in de sudo group
die ALL mag uitvoeren met zijn eigen wachtwoord.
Dus die kan gewoon "sudo bash" tikken en lekker als root gaan werken.
Dat is natuurlijk geen beveiliging, en dan kun je beter "su" gebruiken.

Met sudo kan wel veel meer, zoals bepaalde commando's toelaten die een gebruiker nodig heeft voor een bepaald
doel en die admin rechten vereisen, zonder het hele systeem open te gooien, maar dat is minder gemakkelijk dan
veel mensen denken want voor je het wet geef je een lek naar algemene admin uit handen als je iets "onschuldigs"
toelaat.
19-10-2018, 09:38 door Anoniem
Door MathFox:
Door Anoniem:Op *BSD-systemen zorg je dat degenen die su gebruiken in de "wheel" groep zitten en de rest mag su gewoon niet gebruiken. Zo'n regeltje kun je ook aan sudo voeren. Verder zijn er nog vele, vele andere truuks, maar dat is eigenlijk allemaal huiswerk: Lees je in over je favoriete systeem.
De standaard configuratie van Debian kent de groep "sudo" voor toegestane sudo gebruikers. Read The (Fine) Manual!
Ha, als je gaat wijsneuzen, neem je eigen advies: Waarom doet linux su niet aan "wheel"?
19-10-2018, 10:22 door Anoniem
Door Anoniem:

Mac heeft SIP, Linux heeft dit niet, je moet opzoek naar iets vergelijkbaars op Linux.

Bestaat er dan iets als SIP voor Linux?
Nee, de root van Mac is in dat opzicht beter beveiligd dan die van Linux.
19-10-2018, 10:23 door Anoniem
Waarom zowiezo nog een 'root' account hebben. Dat is zo 80's. Er zijn OS'en die hebben dit niet eens meer, probleem opgelost. Maar ja, het feit dat je kunt root worden is toch een soort privilege voor sysadmins, die zich dan meer verheven voelen boven de gewone gebruikers. Zoals BOFH.
19-10-2018, 11:10 door karma4 - Bijgewerkt: 19-10-2018, 11:12
Door Anoniem: Waarom zowiezo nog een 'root' account hebben. Dat is zo 80's. Er zijn OS'en die hebben dit niet eens meer, probleem opgelost. Maar ja, het feit dat je kunt root worden is toch een soort privilege voor sysadmins, die zich dan meer verheven voelen boven de gewone gebruikers. Zoals BOFH.
Eens …
Denk ook aan de cloud ontwikkeling. Je koopt resources in die je moet zien te beheren. Een OS raakt buiten beeld.
19-10-2018, 11:36 door Anoniem
Het idee van een enkel "root" account is ouder dan de 1980er jaren. Het grote voordeel is dat het model lekker simpel is: Je bent de grote baas op het systeem en mag dus alles, of je bent 't niet. Het idee van fijnmazige administratierechten uitdelen is ook al ouder dan de 1980er jaren, maar het nadeel daar is dat het niet simpel is, maar redelijk veel mankracht vergt om het goed uit te delen.

Het grote voordeel van de Unix manier is dat het redelijk goed werkt, ondanks of mischien dankzij de simpliciteit. Er zijn ook systemen (in breed gebruik) die vanalles proberen en dus vele mogelijkheden tot "beveiliging" lijken te hebben, maar stuk voor stuk worden ze zo ingezet of zijn ze zo opgebouwd dat ze niet alleen hopeloos in de weg zitten, maar ook nog eens geen tastbare veiligheid opleveren. Als je dat niet ziet dan kleurt dat je blik op "beveiliging" nogal snel.

Als ervaren systeembeheerder kan ik zeggen dat het hebben van administratieve rechten wel leuk en prettig is want je loopt niet voortdurend tegen limieten op, maar tegelijkertijd zijn ze ook een last want niet alleen kun je er makkelijk zelf dingen mee in de soep laten lopen, bijvoorbeeld als je even niet oplet, maar als er iets mis is ben jij de aangewezen persoon om het weer op te lossen. En dat laatste is al gauw een hoop werk, zeker als iemand anders het zooitje veroorzaakt heeft. Niet iedereen ziet dat zo, maar een goede beheerder zal het ongeveer als eerste zeggen.

Dus mijn voorkeur is om duidelijke keuzes te maken wat ik wel en niet beheer en dus ook welke rechten ik wel en niet wil hebben. Standaard root? Op systemen in mijn beheer wel. Beheer ik ze niet, wil ik ook geen root en zal ik vragers doorverwijzen naar wie wel de beheerder is. En dan maar hopen dat dat een goede is die vlot aanvragen afhandelt.
19-10-2018, 16:57 door Anoniem
Door Anoniem:
Door Anoniem:

Terminal : veel te sterk voor een standaard account!

Dat kan je zo generiek toch niet zeggen, dat ligt toch helemaal aan het gebruik.
Ik heb gebruikers die wel een terminal nodig hebben maar absoluut geen admin rechten.

Klopt, daar ben ik er zelf 1 van.
Omdat er niets tussen standaard account en admin account valt qua gebruik (mits je het gast account niet als veilig standaard account wil gaan zien) is de beste oplossing om er in dat geval nog een tweede standaard account bij te hebben voor als je met terminal onder een standaard account wil werken.

Zet het (de terminal.app functionaliteit) bij een familie mac voor alle andere standaard accounts op slot (met permissies os stop de app desnoods in een encrypted containertje met wachtwoordtoegang).

Correctie op zijn plaats, .. Terminal : veel te sterk voor een standaard user!

;)
19-10-2018, 20:58 door Anoniem
Door Anoniem:Omdat er niets tussen standaard account en admin account valt qua gebruik (mits je het gast account niet als veilig standaard account wil gaan zien) is de beste oplossing om er in dat geval nog een tweede standaard account bij te hebben voor als je met terminal onder een standaard account wil werken.
Een normaal systeem laat je toe om makkelijk te wisselen van gebruikersrechten dus je kan heel goed normaal als gewone gebruiker werken en alleen als het echt moet schakelen naar meer rechten.

Correctie op zijn plaats, .. Terminal : veel te sterk voor een standaard user!
Dat ligt er maar net aan wat je als "standaard user" beschouwt.

En dat ligt er dan maar net weer aan wie je klantjes zijn.

;)
Dat zijn geen grappen meer.
20-10-2018, 08:58 door Anoniem
Door Anoniem:
Door Anoniem:

Mac heeft SIP, Linux heeft dit niet, je moet opzoek naar iets vergelijkbaars op Linux.

Bestaat er dan iets als SIP voor Linux?
Nee, de root van Mac is in dat opzicht beter beveiligd dan die van Linux.

<kleine glimlach op mijn gezicht>

En wat dacht je van SELinux?
20-10-2018, 11:19 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:

Mac heeft SIP, Linux heeft dit niet, je moet opzoek naar iets vergelijkbaars op Linux.

Bestaat er dan iets als SIP voor Linux?
Nee, de root van Mac is in dat opzicht beter beveiligd dan die van Linux.

<kleine glimlach op mijn gezicht>

En wat dacht je van SELinux?
Je bedoelt de tool ontwikkeld door de NSA?
Je kan beter AppArmor gebruiken, heeft dezelfde functionaliteiten in Linux.
In Mac heb je daarvoor Gatekeeper!
SIP is anders dan SElinux
20-10-2018, 11:27 door Anoniem
Door Anoniem:
Door MathFox:
Door Anoniem:Op *BSD-systemen zorg je dat degenen die su gebruiken in de "wheel" groep zitten en de rest mag su gewoon niet gebruiken. Zo'n regeltje kun je ook aan sudo voeren. Verder zijn er nog vele, vele andere truuks, maar dat is eigenlijk allemaal huiswerk: Lees je in over je favoriete systeem.
De standaard configuratie van Debian kent de groep "sudo" voor toegestane sudo gebruikers. Read The (Fine) Manual!
Ha, als je gaat wijsneuzen, neem je eigen advies: Waarom doet linux su niet aan "wheel"?

Daar heb je pam_wheel voor. Werkt prima.
Daarnaast.. linux is geen BSD, waarom zou het persee aan wheel moeten doen?
20-10-2018, 13:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:

Mac heeft SIP, Linux heeft dit niet, je moet opzoek naar iets vergelijkbaars op Linux.

Bestaat er dan iets als SIP voor Linux?
Nee, de root van Mac is in dat opzicht beter beveiligd dan die van Linux.

<kleine glimlach op mijn gezicht>

En wat dacht je van SELinux?
Als een aanvaller slim is, zullen ze voor de kernel gaan, omzeilen ze beide.
Denk je echt dat NSA software zou bouwen en publiceren wat ze zelf dan niet zouden kunnen hacken?
Ik vertrouw SELINUX zowiezo niet.
20-10-2018, 16:41 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:

Mac heeft SIP, Linux heeft dit niet, je moet opzoek naar iets vergelijkbaars op Linux.

Bestaat er dan iets als SIP voor Linux?
Nee, de root van Mac is in dat opzicht beter beveiligd dan die van Linux.

<kleine glimlach op mijn gezicht>

En wat dacht je van SELinux?
Als een aanvaller slim is, zullen ze voor de kernel gaan, omzeilen ze beide.
Denk je echt dat NSA software zou bouwen en publiceren wat ze zelf dan niet zouden kunnen hacken?
Ik vertrouw SELINUX zowiezo niet.

Ik vertrouw Amerikanen niet, dus feitelijk kan ik dan geen computers of internet gebruiken, ik kan niet eens meer bij mijn geld komen. etc. etc. etc.

Een gezonde dosis wantrouwen is niks mis mee maar we moeten ook niet doorslaan.
20-10-2018, 21:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door MathFox:
Door Anoniem:Op *BSD-systemen zorg je dat degenen die su gebruiken in de "wheel" groep zitten en de rest mag su gewoon niet gebruiken. Zo'n regeltje kun je ook aan sudo voeren. Verder zijn er nog vele, vele andere truuks, maar dat is eigenlijk allemaal huiswerk: Lees je in over je favoriete systeem.
De standaard configuratie van Debian kent de groep "sudo" voor toegestane sudo gebruikers. Read The (Fine) Manual!
Ha, als je gaat wijsneuzen, neem je eigen advies: Waarom doet linux su niet aan "wheel"?

Daar heb je pam_wheel voor. Werkt prima.
Daarnaast.. linux is geen BSD, waarom zou het persee aan wheel moeten doen?
Dat was de vraag niet. Zoek uit waarom het dat niet doet. Daar is een hele duidelijke reden voor. En staat gewoon in "info su".
21-10-2018, 12:37 door Anoniem
Door Anoniem: doas gebruiken. ;)

Was is doas en waarvoor wordt het gebruikt?
21-10-2018, 15:35 door Anoniem
Door Anoniem:
Door Anoniem: doas gebruiken. ;)

Was is doas en waarvoor wordt het gebruikt?
Ik denk dat hij het runas-commando van Windows heeft horen luiden maar zich niet herinnert waar de klepel hangt.
21-10-2018, 16:15 door Anoniem
Je kunt het beste su gewoon uitschakelen en alleen sudo gebruiken.
21-10-2018, 16:54 door Anoniem
Door Anoniem:
Door Anoniem: doas gebruiken. ;)

Was is doas en waarvoor wordt het gebruikt?

Het is een veiligheidsmaatregel onder de root van een OpenBSD systeem, vergelijkbaar met het sudo commando onder Linux. De systeemheerder werkzaam onder OpenBSD kan daarmee zich tijdelijk als een andere UNIX shell gebruiker op dat systeem voordoen, om zo voor die persoon een probleem op te kunnen lossen.

De systeembeheerder kan daarmee zichzelf ook tijdelijk verhoogde root persmissies geven. Daarmee kan vermeden worden dat per ongeluk fouten worden gemaakt waarmee hij of zij zichzelf in de vingers snijdt. Doas logt bovendien net als sudo onder Linux alle op de root shell uitgevoerde commando's, waardoor verantwoordling afleggen mogelijk wordt.

https://man.openbsd.org/doas
21-10-2018, 17:23 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: doas gebruiken. ;)

Was is doas en waarvoor wordt het gebruikt?
Ik denk dat hij het runas-commando van Windows heeft horen luiden maar zich niet herinnert waar de klepel hangt.

Ik denk eerder dat ik wel heel goed weet waar ik over praat en schrijf. Doas is de vervanger van sudo, maar dan geschreven door de ontwikkelaars van OpenBSD, en dientengevolge stukken veiliger. :) Doe geen aannames, vooral geen domme aannames. Google had je heel snel wijzer gemaakt.

Sudo is volgens diezelfde ontwikkelaars niet geheel vrij van (zeer gevaarlijke) fouten.

Om de oorspronkelijke vraagsteller een antwoord te geven: schakel su uit, en gebruik uitsluitend sudo, waarbij 'sudo su -' een prima methode is om naar root te gaan.
21-10-2018, 17:50 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: doas gebruiken. ;)

Was is doas en waarvoor wordt het gebruikt?

Het is een veiligheidsmaatregel onder de root van een OpenBSD systeem, vergelijkbaar met het sudo commando onder Linux. De systeemheerder werkzaam onder OpenBSD kan daarmee zich tijdelijk als een andere UNIX shell gebruiker op dat systeem voordoen, om zo voor die persoon een probleem op te kunnen lossen.

De systeembeheerder kan daarmee zichzelf ook tijdelijk verhoogde root persmissies geven. Daarmee kan vermeden worden dat per ongeluk fouten worden gemaakt waarmee hij of zij zichzelf in de vingers snijdt. Doas logt bovendien net als sudo onder Linux alle op de root shell uitgevoerde commando's, waardoor verantwoordling afleggen mogelijk wordt.

https://man.openbsd.org/doas

Okey want op Mac heb je ook Sudo maar geen doas volgens mij.
21-10-2018, 18:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: doas gebruiken. ;)

Was is doas en waarvoor wordt het gebruikt?
Ik denk dat hij het runas-commando van Windows heeft horen luiden maar zich niet herinnert waar de klepel hangt.

Ik denk eerder dat ik wel heel goed weet waar ik over praat en schrijf. Doas is de vervanger van sudo, maar dan geschreven door de ontwikkelaars van OpenBSD, en dientengevolge stukken veiliger. :) Doe geen aannames, vooral geen domme aannames. Google had je heel snel wijzer gemaakt.

Sudo is volgens diezelfde ontwikkelaars niet geheel vrij van (zeer gevaarlijke) fouten.

Om de oorspronkelijke vraagsteller een antwoord te geven: schakel su uit, en gebruik uitsluitend sudo, waarbij 'sudo su -' een prima methode is om naar root te gaan.

Ik ben het met je advies, su uitschakelen, sudo gebruiken. Verschillende hackers hebben in het verleden gedemonstreerd dat sudo rechten verkregen kan worden door hackers.
DOAS ken ik niet, maar als dat de nieuwe sudo is ben ik wel nieuwsgierig hoe je het op de Mac en Linux aan de praat krijgt!
21-10-2018, 22:08 door Anoniem
https://www.reddit.com/r/linux/comments/4pzet8/openbsds_doas_utility_ported_to_linux/
https://github.com/multiplexd/doas
https://forum.voidlinux.org/t/introducing-doas-to-those-who-have-never-heard-about-it/5125

etc.
22-10-2018, 12:56 door Anoniem
Door Anoniem: Ik denk dat hij het runas-commando van Windows heeft horen luiden maar zich niet herinnert waar de klepel hangt.

Ik denk eerder dat ik wel heel goed weet waar ik over praat en schrijf. Doas is de vervanger van sudo, maar dan geschreven door de ontwikkelaars van OpenBSD, en dientengevolge stukken veiliger. :) Doe geen aannames, vooral geen domme aannames. Google had je heel snel wijzer gemaakt.
Dan was ik zelf degene die de klepel niet kon vinden. Sorry dat ik je beledigd heb.

Ik had wel degelijk naar doas gezocht, zowel via een internetzoekmachine als in de repositories van de Linux-distro's die ik gebruik, en niets dat erop leek gevonden. Er is wel nog verrassend veel meer dat doas heet, en aangezien ik niet Google gebruik maar een zoekmachine die geen persoonlijke profielen opbouwt heb ik niet altijd het voordeel dat IT-gerelateerde zaken voor niet IT-gerelateerde zaken in de resultaten verschijnen.

Als je wilt dat mensen geen aannames doen over wat je bedoelt is het trouwens zinvol om even een hyperlink op te nemen naar waar je aan refereert.
22-10-2018, 13:11 door Anoniem
Door Anoniem: https://www.reddit.com/r/linux/comments/4pzet8/openbsds_doas_utility_ported_to_linux/
https://github.com/multiplexd/doas
https://forum.voidlinux.org/t/introducing-doas-to-those-who-have-never-heard-about-it/5125

etc.

Is DOAS veiliger dan Sudo en su? En hoe schakel je Sudo en su uitdan?
23-10-2018, 09:05 door Anoniem
Door Anoniem:
Door Anoniem: https://www.reddit.com/r/linux/comments/4pzet8/openbsds_doas_utility_ported_to_linux/
https://github.com/multiplexd/doas
https://forum.voidlinux.org/t/introducing-doas-to-those-who-have-never-heard-about-it/5125

etc.

Is DOAS veiliger dan Sudo en su? En hoe schakel je Sudo en su uitdan?

Je kan Sudo en Su niet uitschakelen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.