Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > de.comp.security.misc > #40992
| From | Helmut Waitzmann <nn.throttle@erine.email> |
|---|---|
| Newsgroups | de.comp.security.misc |
| Subject | Re: Editieren als root |
| Date | 2026-02-05 10:29 +0100 |
| Organization | A noiseless patient Spider |
| Message-ID | <83o6m3tu6g.fsf@helmutwaitzmann.news.arcor.de> (permalink) |
| References | <45433b0e-b1ff-4981-96f5-8fdc5e5d394e@alexander-goetzenstein.my-fqdn.de> |
Alexander Goetzenstein <alexander_goetzenstein@web.de>: > Hallo, > eine Frage zum Verständnis: > wenn ich als root (hier unter openSUSE Tumbleweed) eine Datei mit kate > editieren will, erhalte ich folgende Meldung: > >> p16b:/usr/local/sbin # kate Datensicherung.sh >> THIS IS POTENTIALLY INSECURE! >> To edit files as root please use: >> SUDO_EDITOR=kwrite sudoedit <file> > > Warum ist das potenziell unsicher? > > > Wenn ich der Anweisung oben folge, sieht es so aus: > >> p16b:/usr/local/sbin # SUDO_EDITOR=kwrite sudoedit Datensicherung.sh >> THIS IS POTENTIALLY INSECURE! >> To edit files as root please use: >> SUDO_EDITOR=kwrite sudoedit <file> >> sudoedit: Datensicherung.sh unchanged > > Wie ist das zu verstehen? > So, wie du es verstehst, ist das nicht gemeint. Das Kommando SUDO_EDITOR=kwrite sudoedit Datensicherung.sh soll nicht von einem Shell aus, das unter der Benutzerkennung „root“ läuft, gestartet werden, sondern von einem Shell aus, das unter der Benutzerkennung des Anwenders läuft: „sudo“ und „sudoedit“ ist ja gerade ein Set‐User‐Id‐„root“‐Programm, d. h., es startet – egal, von welcher Benutzerkennung aus es aufgerufen wird – in der Benutzerkennung „root“ – wie man im folgenden Kommando sehen kann: command -v -- sudo sudoedit | xargs -E '' -r -- ls --time-style=+ -Qld -- Da erhalte ich die folgende Ausgabe (mit GNU‐ls): -rwsr-xr-x 1 root root 217812 "/usr/bin/sudo" lrwxrwxrwx 1 root root 4 "/usr/bin/sudoedit" -> "sudo" (Für den Editor‐Start wechselt es zurück zur Benutzerkennung des Aufrufers, also deiner). Im Einzelnen: „sudoedit“ legt zunächst (als „root“) eine temporäre Kopie der Datei, die du bearbeiten willst, unter deiner Benutzerkennung an. Dann erzeugt es einen neuen Prozess unter deiner Benutzerkennung und lässt ihn den von dir gewählten Editor ausführen. Mit dem Editor bearbeitest du dann die Dateikopie. (Das ist dir erlaubt, weil sie dir gehört.) Nach dem Beenden deines Editors prüft „sudoedit“, ob die Kopie von dir geändert worden ist, und kopiert sie, falls das der Fall ist, auf die Original‐Datei, die du bearbeiten wollen hast, zurück (ansonsten ist das Zurückkopieren nicht nötig). Schließlich löscht es die Kopie. (Siehe auch die Beschreibung der Option „--edit“ im „sudo“-Manual‐Page.) Dieses Verfahren hat folgende Vorteile: Unter „root“ läuft im wesentlichen nur „sudoedit“ selbst: Der von dir verwendete Editor läuft unter deiner Benutzerkennung. Du hast daher im Editor deine gewohnte Benutzerumgebung und Editorkonfiguration. Wenn der Editor hingegen als „root“ läuft, hat man die Wahl zwischen Pest und Cholera: Entweder, man lässt vor dem Editor‐Start eine volle „root“‐Prozessumgebung (mit einem Login‐Shell) aufbauen (das ist sicherer), hat dann aber nicht mehr die gewohnte Prozessumgebung sondern diejenige von „root“ vor der Nase. Der folgende „su“‐Programmaufruf tut genau das: su -- - root sh -c '"$@"' -su "$editor" -- "$datei" (für geeignete Werte von „"$editor"“ und „"$datei"“). Oder, man versucht, einen „root“‐Prozess in der eigenen Umgebung laufen zu lassen, etwa so: su -- root sh -c '"$@"' su "$editor" -- "$datei" Das bedeutet dann aber, dass sich der „root“‐Prozess seine Konfigurationsdateien aus dem HOME‐Verzeichnis des Anwenders holt (also liest und gegebenenfalls auch schreibt(!)). Das schreit nach Ärger.
Back to de.comp.security.misc | Previous | Next — Previous in thread | Find similar
Editieren als root Alexander Goetzenstein <alexander_goetzenstein@web.de> - 2026-01-29 14:52 +0100
Re: Editieren als root Ralph Aichinger <ra@h5.or.at> - 2026-01-29 14:16 +0000
Re: Editieren als root Matthias Gerds <m.gerds@posteo.de> - 2026-01-29 17:56 +0100
Re: Editieren als root Alexander Goetzenstein <alexander_goetzenstein@web.de> - 2026-01-30 12:08 +0100
Re: Editieren als root Arno Welzel <usenet@arnowelzel.de> - 2026-02-09 11:45 +0100
Re: Editieren als root Alexander Goetzenstein <alexander_goetzenstein@web.de> - 2026-01-30 12:07 +0100
Re: Editieren als root Ralph Aichinger <ra@h5.or.at> - 2026-01-30 15:19 +0000
Re: Editieren als root Udo Steinbach <trashcan@udoline.de> - 2026-02-04 11:41 +0100
Re: Editieren als root Marc Haber <mh+usenetspam1118@zugschl.us> - 2026-02-04 22:55 +0100
Re: Editieren als root Stefan Reuther <stefan.news@arcor.de> - 2026-02-05 18:49 +0100
Re: Editieren als root Marc Haber <mh+usenetspam1118@zugschl.us> - 2026-02-07 10:45 +0100
Re: Editieren als root Stefan Reuther <stefan.news@arcor.de> - 2026-02-09 18:05 +0100
Re: Editieren als root hauke+usenet@causeuse.org (Hauke Fath) - 2026-03-22 14:18 +0100
Re: Editieren als root Alf der Kleine <gogoki5126@cgbird.com> - 2026-03-22 16:10 +0100
Re: Editieren als root Helmut Waitzmann <nn.throttle@erine.email> - 2026-03-22 21:41 +0100
Re: Editieren als root Alf der Kleine <gogoki5126@cgbird.com> - 2026-03-23 09:49 +0100
alias rm='rm -i' (was: Editieren als root) Helmut Waitzmann <nn.throttle@erine.email> - 2026-03-24 00:46 +0100
Re: alias rm='rm -i' (was: Editieren als root) Marc Haber <mh+usenetspam1118@zugschl.us> - 2026-03-24 07:20 +0100
Re: Editieren als root hauke+usenet@causeuse.org (Hauke Fath) - 2026-05-10 16:21 +0200
Re: Editieren als root Axel Reichert <mail@axel-reichert.de> - 2026-05-11 11:14 +0200
Re: Editieren als root Michael Pachta <mipani@gmx.de> - 2026-05-11 11:49 +0200
Re: Editieren als root Holger Schieferdecker <spamless@gmx.de> - 2026-05-11 12:12 +0200
Re: Editieren als root Michael Pachta <mipani@gmx.de> - 2026-05-11 13:42 +0200
Re: Editieren als root Axel Reichert <mail@axel-reichert.de> - 2026-05-11 15:14 +0200
Re: Editieren als root Marc Haber <mh+usenetspam2616@zugschl.us> - 2026-05-11 17:26 +0200
Re: Editieren als root Michael Pachta <mipani@gmx.de> - 2026-05-12 10:08 +0200
Re: Editieren als root Ralph Aichinger <ra@h5.or.at> - 2026-05-12 09:12 +0000
Re: Editieren als root Michael Pachta <mipani@gmx.de> - 2026-05-12 12:54 +0200
Re: Editieren als root Joerg Walther <joerg.walther@magenta.de> - 2026-05-12 15:02 +0200
Re: Editieren als root Ralph Aichinger <ra@h5.or.at> - 2026-05-11 11:27 +0000
Re: Editieren als root Marc Haber <mh+usenetspam2616@zugschl.us> - 2026-05-11 15:28 +0200
Re: Editieren als root Axel Reichert <mail@axel-reichert.de> - 2026-05-11 16:20 +0200
Re: Editieren als root Marc Haber <mh+usenetspam2616@zugschl.us> - 2026-05-11 17:28 +0200
Re: Editieren als root Marc Haber <mh+usenetspam2616@zugschl.us> - 2026-05-11 15:34 +0200
Re: Editieren als root "Peter J. Holzer" <hjp-usenet4@hjp.at> - 2026-05-11 18:52 +0200
Re: Editieren als root Stefan Reuther <stefan.news@arcor.de> - 2026-05-11 18:13 +0200
Re: Editieren als root Marc Haber <mh+usenetspam2616@zugschl.us> - 2026-05-11 22:40 +0200
Re: Editieren als root Ralph Aichinger <ra@h5.or.at> - 2026-05-12 04:59 +0000
Re: Editieren als root Christian Weisgerber <naddy@mips.inka.de> - 2026-05-12 13:56 +0000
Re: Editieren als root "Peter J. Holzer" <hjp-usenet4@hjp.at> - 2026-05-12 18:13 +0200
Re: Editieren als root Stefan Reuther <stefan.news@arcor.de> - 2026-01-31 10:12 +0100
Re: Editieren als root Thomas Hochstein <thh@thh.name> - 2026-01-29 19:32 +0100
Re: Editieren als root Alexander Goetzenstein <alexander_goetzenstein@web.de> - 2026-01-30 12:13 +0100
Re: Editieren als root Lutz Falke <lutzfalke@gmx.de> - 2026-01-30 11:36 +0000
Re: Editieren als root "Peter J. Holzer" <hjp-usenet4@hjp.at> - 2026-01-30 18:06 +0100
Re: Editieren als root Thomas Hochstein <thh@thh.name> - 2026-01-30 19:25 +0100
Re: Editieren als root Ralph Aichinger <ra@h5.or.at> - 2026-01-30 18:55 +0000
Re: Editieren als root Helmut Waitzmann <nn.throttle@erine.email> - 2026-02-05 10:29 +0100
csiph-web