Ist sudo -i weniger sicher als pkexec?

7

Ich habe gerade gehört, dass die Verwendung sudo -iin GUI-Programmen nicht empfohlen wird - weil es weniger sicher ist.

Gibt es hier eine Wahrheit - hat dies einen Vorteil:

sudo -i gedit /random/file.name

Über

pkexec gedit /random/file.name

Früher habe ich gksudo verwendet, aber das wurde eingestellt. Jetzt verhindere ich sudo -i, dass Root-Dateien in meinem Heimatbereich vorhanden sind . Aber sollte ich wirklich verwenden pkexec?

Hier ist ein Grund:

Die Umgebung, in der PROGRAM [in] ausgeführt wird, wird auf eine minimale bekannte und sichere Umgebung eingestellt, um zu vermeiden, dass Code durch LD_LIBRARY_PATHoder ähnliche Mechanismen eingefügt wird. Außerdem wird die PKEXEC_UIDUmgebungsvariable auf die Benutzer-ID des aufrufenden Prozesses gesetzt pkexec.

Tim
quelle
2
Es gibt nichts, was einem rootBenutzer mit UID 0
Mudit Kapil
2
Wo hast du es gehört? Ich sehe bisher nichts Erwähntes, sudowas nicht geht (es kann Umgebungsvariablen zurücksetzen und die Variablen SUDO_USERund sehen SUDO_UID).
Muru
1
IMHO, wenn er nicht ein Szenario zeigen kann, das zeigt, was er meinte, gibt er nur "empfangene Weisheit" weiter (um es höflich auszudrücken). Ich bin der Meinung, dass der einzige Vorteil darin pkexecbesteht, dass ein anderer Benutzer für Sie autorisieren kann, aber ich bin kein Sicherheitsexperte. Übrigens können wir die Beta von eOS.se weiterhin anzeigen, sodass Sie direkt auf die Diskussion verlinken können.
Muru
1
Neugierig: pkexecMuss konfiguriert werden, um grafische Programme auszuführen. Ubuntu, Debian und Arch Linux konfigurieren es standardmäßig nicht dafür. Funktioniert elementares Betriebssystem? Wenn nicht, pkexecist es nur ein Aufwand , Benutzer zur Verwendung aufzufordern. Und wo es Ärger gibt, wechseln Benutzer zu einfacheren Befehlen.
Muru

Antworten:

0

Ich denke, die Sicherheitsbedenken, auf die Sie sich beziehen, beruhen auf der Tatsache, dass Sie, wenn Sie sudo mit oder ohne -i verwenden, eine aktive Berechtigung haben, sudo-Befehle 5 Minuten lang auszuführen. Wenn Sie sudo vim /file.txtdann gehen, wäre Ihr Computer unbeaufsichtigt, die Sudo-Sitzung wäre immer noch aktiv. jemand könnte mitkommen und tippen sudo rm /file.txtoder schlimmer.

pkexec fordert Sie jedes Mal zur Eingabe eines Passworts auf, was etwas sicherer erscheint.

Ich denke, Elementary OS ist für Schulen gedacht, in denen die physische Umgebung nicht als sicher angesehen werden sollte. Die Schüler können kurz nach Ihrer Abreise an Ihrem Schreibtisch erscheinen. In meinem Geschäftsbüro, in dem nur drei Personen den Schlüssel haben und mein Computer im physischen Sinne mäßig sicher ist, geht es mir weniger um nicht vertrauenswürdige Personen, die unbeaufsichtigt auf meinem PC laufen und ihn verwenden. Wenn ich den Befehl sudo ausführe und dann gehe, gehe ich davon aus, dass niemand hereinkommt und böswillige sudo-Befehle gibt.

Ich behaupte nicht, ein Sicherheitsexperte zu sein, aber ich denke, das ist es, was die elementaren OS-Leute denken.

j0h
quelle