Sudo wachtwoord

[testcees]

Om te voorkomen dat iemand ernstig misbruik maakt van een onbewaakt computerscherm vraagt sudo voor beheerrechten steeds een wachtwoord.

Als je, zoals ik in mijn situatie, deze extra beveiliging alleen maar lastig vindt kan je dit uitschakelen met visudo:

Code: [Selecteer]

sudo visudo
Voeg aan het einde de volgende regel toe:

Code: [Selecteer]

gebruikersnaam ALL=(ALL) NOPASSWD: ALL
Vul als gebruikersnaam de naam in die is opgegeven bij het installeren van Ubuntu en sla het gewijzigde bestand op.

Voor wie twijfelt of dit wel veilig is: niet doen! 
Zelf zie ik in mijn situatie (zeker in Ubuntu voor Windows 10) weinig risico, nog steeds kan alleen de opgegeven gebruiker sudo gebruiken en de belangrijkste gegevens staan in /home waarvoor geen sudo nodig is (rm /home is bijna net zo erg als rm /).
Uiteraard kan je met sudo het systeem onbruikbaar maken door een verkeerde wijziging (maar dat kan evengoed door desgevraagd het sudo wachtwoord in te toetsen).
Meer info:

NOPASSWD doesn't have a major impact on security.

[Pjotr]

Om te voorkomen dat iemand ernstig misbruik maakt van een onbewaakt computerscherm vraagt sudo voor beheerrechten steeds een wachtwoord.

Als je, zoals ik, deze extra beveiliging alleen maar lastig vindt kan je dit uitschakelen met visudo:

Code: [Selecteer]

sudo visudo
Voeg aan het einde de volgende regel toe:

Code: [Selecteer]

gebruikersnaam ALL=(ALL) NOPASSWD: ALL
Vul als gebruikersnaam de naam in die is opgegeven bij het installeren van Ubuntu en sla het gewijzigde bestand op.

Voor wie twijfelt of dit wel veilig is: niet doen! 
Zelf zie ik in mijn situatie (zeker in Ubuntu voor Windows 10) weinig risico, nog steeds kan alleen de opgegeven gebruiker sudo gebruiken en de belangrijkste gegevens staan in /home waarvoor geen sudo nodig is (rm /home is bijna net zo erg als rm /).
Uiteraard kan je met sudo het systeem onbruikbaar maken door een verkeerde wijziging (maar dat kan evengoed door desgevraagd het sudo wachtwoord in te toetsen).
Meer info:

NOPASSWD doesn't have a major impact on security.

Uitermate dom en gevaarlijk om dit te doen. Ik raad dit ten sterkste af. Niet te geloven, weer een nieuw dieptepunt.   

Het rootwachtwoord is er niet alleen voor zelfbescherming en bescherming tegen anderen die achter je computer plaatsnemen terwijl jij even naar het toilet bent. Het beschermt ook tegen scripts die zichzelf (trachten) uit te voeren, soms op onverwachte momenten.

Aan iedereen die dit leest: DOE DIT NIET. Nooit. Onder geen enkele omstandigheid.

[Joris Donders]

Uitermate dom en gevaarlijk om dit te doen. Ik raad dit ten sterkste af. Niet te geloven, weer een nieuw dieptepunt.   

Het rootwachtwoord is er niet alleen voor zelfbescherming en bescherming tegen anderen die achter je computer plaatsnemen terwijl jij even naar het toilet bent. Het beschermt ook tegen scripts die zichzelf (trachten) uit te voeren, soms op onverwachte momenten.

Aan iedereen die dit leest: DOE DIT NIET. Nooit. Onder geen enkele omstandigheid.

Inderdaad !!! Dit is erg dom om zomaar te posten in een forum met alle impact van dien. NOOIT DOEN DEZE TIP !!! het zet je basisveiligheid serieus met de broek af.

Ten andere: je laat een computer nooit onbeheerd achter als je dat niet wenst. 

[Marqeaux]

Mag ik zeggen dat ik sprakeloos ben van deze tip? Dat gebeurt me niet snel, maar ik moest toch wel heel erg fronsen toen ik dit las. Het valt niet zo goed Testcees. Sorry... 

[Pjotr]

Inderdaad !!! Dit is erg dom om zomaar te posten in een forum met alle impact van dien.

Het woord dat het eerst bij me opkwam: onverantwoordelijk. Ontstellend onverantwoordelijk zelfs.

[jan11000]

Natuurlijk nooit doen zoiets.

Kan iemand deze thread van het forum verwijderen,
zodat beginners dit niet gaan doen.
Gevorderde gebruikers zullen dit zelf vinden via google.

[spievensterke]

Als je, zoals ik, deze extra beveiliging alleen maar lastig vindt kan je dit uitschakelen met ....

Voor wie twijfelt of dit wel veilig is: niet doen! 

@ testcees:

heel verwarrend allemaal...vreemd, want je hebt al heel wat interessante artikelen geschreven in de Wiki ...
Wat is de beweegredenen van jou schrijven / mededeling ?
Stel al een tijdje vast, dat jou inbreng, bij mij 'tegendraads' overkomt.   

Heb twee jaar terug beslist om een 'Linux-gestuurd besturingssysteem' te gebruiken. Bewust afstand genomen van Windows, en ik stel vast, de laatste maanden toch, dat je meer het Windowsgebeuren promoot op dit forum. Belangen daarin? Dit is zeer verwarrend en droevig voor mij.

spievensterke.

[Pjotr]

@spievensterke: laat je niet in de war brengen door negatieve elementen.... Die heb je overal, en helaas ook op dit forum.

Ik doe in elk geval mijn best om kwalijke en destructieve adviezen op dit forum stelselmatig te bestrijden. Meestal is die ellende trouwens afkomstig van enkele "gebruikelijke verdachten".

[testcees]

Wat is de beweegredenen van jou schrijven / mededeling ?

Gewoon een tip, doe er je voordeel mee als je het handig vindt of negeer het (voor optimale beveiliging).
Het is een mythe dat het sudo wachtwoord SUPER belangrijk is voor veiligheid gebruik van Ubuntu. Sudo met een wachtwoord is uiteraard beter maar zoals hier te lezen is de invloed van nopasswd beperkt.
Slecht in hele specifieke gevallen kan het een rol spelen (bijvoorbeeld: toegang tot een aangemelde computerscherm, onbeveiligde ssh-sleutels op een verloren laptop, misbruik van een onbekend kwetsbaarheid, iemand die impulsief een verkeerde sudo-opdracht uitvoert).
Het is verkeerd om te denken dat het geen kwaad kan willekeurige scripts, opdrachten of programma’s uit te voeren zolang je maar niet het sudo wachtwoord intoetst. De meest waardevolle gegevens zijn zonder sudo beschikbaar, gewoon in de /home directory! Bijvoorbeeld crypto-malware, tegenwoordig een plaag voor een ander besturingssysteem, zal echt niet om je sudo wachtwoord vragen!

Bewust afstand genomen van Windows, en ik stel vast, de laatste maanden toch, dat je meer het Windowsgebeuren promoot op dit forum.

Ubuntu voor Windows 10 (WSL) is wel een leuke ontwikkeling van Canonical. WSL kan je ook installeren als root - zonder wachtwoord, dan is deze tip overbodig maar of dat veiliger is?

[Pjotr]

Het is een mythe dat het sudo wachtwoord SUPER belangrijk is voor veiligheid gebruik van Ubuntu. Sudo met een wachtwoord is uiteraard beter maar zoals hier te lezen is de invloed van nopasswd beperkt.
Slecht in hele specifieke gevallen kan het een rol spelen (bijvoorbeeld: toegang tot een aangemelde computerscherm, onbeveiligde ssh-sleutels op een verloren laptop, misbruik van een onbekend kwetsbaarheid, iemand die impulsief een verkeerde sudo-opdracht uitvoert).

Misbruik van een onbekende kwetsbaarheid, kwaadaardige scripts, zelfbescherming, dat zijn allemaal belangrijke argumenten voor het sudo-wachtwoord. Het is volstrekt onverantwoordelijk om daar verwarring over te gaan lopen zaaien.

Het is verkeerd om te denken dat het geen kwaad kan willekeurige scripts, opdrachten of programma’s uit te voeren zolang je maar niet het sudo wachtwoord intoetst.

Dat heeft ook helemaal niemand beweerd. Dit sleur je er weer met de haren bij. Uiteraard is het *ook* belangrijk om *dat* niet te doen.

[McVries]

Slecht in hele specifieke gevallen kan het een rol spelen (bijvoorbeeld: toegang tot een aangemelde computerscherm, onbeveiligde ssh-sleutels op een verloren laptop, misbruik van een onbekend kwetsbaarheid, iemand die impulsief een verkeerde sudo-opdracht uitvoert).

Alleen al om de ssh sleutels op een verloren laptop... Je zet dan al die systemen waar je die sleutels voor hebt wagenwijd open...
Dus: Encryptie op je home, liefst de hele disk. Maak een sudo wachtwoord niet te simpel, gebruik deze alleen voor sudo.
En voor iedereen die dit leest: maak van linux geen XP met dit soort dingen. Zelfs op een test machine zou je dit nooit moeten doen.

(Ik denk dat we met z'n allen een toevallige beginner nu wel weer op het rechte pad hebben gekregen)

[testcees]

Alleen al om de ssh sleutels op een verloren laptop... Je zet dan al die systemen waar je die sleutels voor hebt wagenwijd open...

Offtopic:
Ssh sleutels kan je voorzien van een wachtwoord (wordt tijdens het aanmaken gevraagd).
Maar bovendien haal je verloren sleutels zo snel als mogelijk uit .ssh/authorized_keys anders is er toegang tot je persoonlijke bestanden, ook zonder sudo (vooropgesteld dat je een ssh-server hebt). 

[Pjotr]

Niet op de man gaan spelen.

[Johan van Dijk]

Het sudo wachtwoord uitschakelen voor een specifiek account dat alleen gebruikt wordt door een stukje beheergereedschap kan ik nog mee leven. Dat account logt waarschijnlijk alleen in via SSH, doet zijn beheerwerk en wordt verder voor niets anders gebruikt.
Het risico dat dat account gekaapt wordt, is met SSH keys en een wachtwoord daarop redelijk klein.

Het sudo wachtwoord uitschakelen voor je normale gebruiker (waarmee je ook op internet gaat bijv. of aan belangrijke documenten werkt) zie ik niet zo zitten. Die extra stap om je wachtwoord in te vullen is niet zo'n probleem vind ik. Het is een kleine moeite voor toch weer een stukje veiligheid.

Voor projecten op een Raspberry Pi of andere hobby/knutselsystemen die minder belangrijk zijn vind ik het ook een minder groot probleem. Persoonlijk log ik op zulke systemen alleen in via SSH (beveiligd met een key met wachtwoord).

[testcees]

maak van linux geen XP met dit soort dingen.

De vergelijking met XP gaat niet helemaal op. Het gebruik van beheerrechten met sudo is nog steeds voorbehouden aan de opgegeven gebruiker. Het is eerder te vergelijken met het uitschakelen van de UAC melding in Windows (vanaf Vista). Ook dat maakt het Windows systeem minder veilig maar ook dat vinden sommige gebruikers nogal storend (en schakelen de melding uit). Gelukkig is er, zeker in Ubuntu, altijd de vrije keuze het systeem naar eigen wens te configureren. Als je het af-en-toe intoetsen van een extra sudo wachtwoord niet storend vindt moet je het ook vooral zo laten! Het is met deze “tip” niet anders dan met andere, pas het alleen toe als je er de meerwaarde en nadelen (de risico’s) van inziet.

Voor projecten op een Raspberry Pi of andere hobby/knutselsystemen die minder belangrijk zijn vind ik het ook een minder groot probleem.

Nopasswd is de standaard configuratie in Raspbian, de Debian distributie voor Raspberry Pi. Bezitters van een Raspberry Pi die hier een risico in zien kunnen de “tip” andersom toepassen door de nopasswd regel uit de raspbian configuratie te halen.