Linux Essentials//Die Einsteiger-Zertifizierung des LPI - Linup Front ...
Linux Essentials//Die Einsteiger-Zertifizierung des LPI - Linup Front ...
Linux Essentials//Die Einsteiger-Zertifizierung des LPI - Linup Front ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
A Musterlösungen 237<br />
11.12 Probieren Sie etwas wie<br />
$ unzip files.zip "a/*" -x "*/*.c"<br />
12.1 Ein einfaches su (ohne /bin/ davor) würde im Prinzip auch klappen. Allerdings<br />
ist es sinnvoll, sich das /bin/su anzugewöhnen, weil Sie dadurch besser<br />
gegen »trojanische Pferde« geschützt sind: Ein cleverer Benutzer könnte in einem<br />
Verzeichnis in seinem $PATH ein Programm unterbringen, das su heißt und vor dem<br />
in /bin gefunden wird. Dann ruft er Sie wegen irgendeinem vorgeschützten Problem<br />
an seinen Rechner, Sie sagen sich »Das habe ich gleich, ich leihe mir nur mal<br />
die Terminalsitzung hier aus, um kurz root zu werden«, rufen nichtsahnend »su«<br />
auf, und das Programm Ihres cleveren Benutzers fragt Sie nach dem root-Kennwort,<br />
so wie das echte su es auch machen würde. Bis darauf, dass es das Kennwort<br />
irgendwo in eine Datei sichert, eine Fehlermeldung ausgibt und sich selbst löscht.<br />
Sie denken natürlich, dass Sie sich beim Kennwort vertippt haben, rufen nochmal<br />
»su« auf, bekommen diesmal das echte Programm und ab hier ist alles OK –<br />
bis darauf, dass Ihr cleverer Benutzer jetzt das root-Kennwort weiß. Wenn Sie von<br />
Anfang an »/bin/su« benutzen, kann dieser Angriff nicht so einfach funktionieren.<br />
12.2 Mit su kann irgendein beliebiger Benutzer Administratorrechte bekommen,<br />
wenn er das root-Kennwort weiß. Mit sudo werden Sie dagegen nur dann Erfolg<br />
haben, wenn Sie in der sudo-Konfiguration als befugt eingetragen sind. sudo fragt<br />
Sie also nicht nach dem Kennwort, um herauszufinden, ob Sie überhaupt root sein<br />
dürfen, sondern um sicherzustellen, dass Sie Sie sind. (Sie könnten mal eben rausgegangen<br />
sein und irgendwer hat sich über Ihren Rechner hergemacht.) Dafür ist<br />
Ihr eigenes Kennwort genauso nützlich wie das root-Kennwort. Besonders praktisch<br />
ist sudo, wenn Sie sich die Systemadministration mit ein paar Kollegen teilen,<br />
da dann niemand das tatsächliche root-Kennwort wissen muss – Sie können etwas<br />
sehr Langes und Kompliziertes vergeben und es nach der Grundinstallation <strong>des</strong><br />
Rechners in einem verschlossenen Umschlag in den Safe tun (für Notfälle). Bei su<br />
müßten alle Administratoren das Kennwort wissen, was Änderungen kompliziert<br />
macht. (<strong>Die</strong> SUSE-Distributionen verwenden auch bei sudo das root-Kennwort und<br />
sind anscheinend sogar noch stolz auf diese Form von Hirnschaden.)<br />
12.7 Hier ist die RPM-Variante:<br />
$ rpm --query --all | wc -l<br />
Und auf einem Debian-artigen System sollten Sie etwas verwenden wie<br />
$ dpkg --list | grep ^ii | wc -l<br />
13.1 Durch deren numerische UID und GID.<br />
13.2 Das funktioniert, ist aber nicht notwendigerweise eine gute Idee. Für das<br />
System ist das dann derselbe Benutzer, das heißt, alle Dateien und Prozesse mit<br />
der entsprechenden UID gehören beiden Benutzern.<br />
13.3 <strong>Die</strong> UIDs von Pseudobenutzern werden von (<strong>Die</strong>nst-)Programmen genutzt,<br />
die dadurch exakt definierte Zugriffsrechte bekommen.<br />
13.4 Wer in der Gruppe disk ist, hat Lese- und Schreibrecht auf die Platten auf<br />
Blockebene. Mit Kenntnissen über die Dateisystemstruktur ist es einfach, eine Kopie<br />
von /bin/sh zu einer SUID-root-Shell (Abschnitt 14.4) zu machen, indem man<br />
direkt die Verwaltungsinformationen auf der Platte ändert. Damit ist Mitgliedschaft<br />
in der Gruppe disk im Wesentlichen äquivalent zu root-Rechten; Sie sollten<br />
niemanden in die Gruppe disk aufnehmen, dem Sie nicht das root-Kennwort verraten<br />
würden.<br />
Copyright © 2012 <strong>Linup</strong> <strong>Front</strong> GmbH