sslug-teknik team mailing list archive

["Emil S. Hansen" <esh@xxxxxxxxxxx>]

On Fri, Sep 19, 2003 at 04:52:35PM +0200, Jon Svejgaard wrote:
> >IMHO giver man IKKE et root til et script der ikke behøver det. Med sudo
> >kan jeg bestemme præcis hvad den bruger må som root - mere sikkert
> >bliver det ikke.
> Jeg respekterer naturligvis ærlige meninger, men ikke desto mindre er 
> princippet med sudo (i MIN ærlige, 20-årige opfattelse som UNIX 
> administrator) et lapperi, som UNIX's fædre aldrig har tilsigtet. Og 
> dermed heller ikke Linux's.

Øhh, det var da noget af en slutning, har du nogle referencer?
 
> I UNIX-verdenen har det altid været coutume at man, hvis man havde brug 
> for at have root beføjelser, gjorde dette ved at starte som root (dvs. 
> f.eks. fra root's crontab) ved at logge ind som root, eller ved at køre 
> suid.
> Sikkerheden er jo bestemt af, hvad de programmer, men kører, iøvrigt 
> foretager sig. Så længe de ikke lytter på åbne porte og ikke har "buffer 
> holes" skulle der ikke være noget i vejen for det. At bruge sudo 
> undervejs i et script vidner om usikkerhed om hvad man gør, snarere end 
> om sikkerhed i installationen.

sudo er rigtig god til at udelegere adminstrations opgaver til
forskellige folk (og der med brugere) på en måde der er langt mere
sikker end hvis de alle sammen skulle have fuld rootadgang.

Og nej, sudo vidner IKKE om "usikkerhed om hvad man gør", tvært i mod!
Der hvor jeg benytter sudo er det meget gennemtænkt hvem der skal have
lov til hvad, og der er altså stor forskel på at have en DBA med
rootrettigheder og så have en DBA der kan køre det ENE program han SKAL
køre som root gennem sudo.

-- 
Best Regards
Emil S. Hansen - esh@xxxxxxxxxxx - ESH14-DK
UNIX Administrator, Berlingske IT - www.bit.dk
PGP: 109375FA/ABEB 1EFA A764 529E 82B5  0943 AD3B 1FC2 1093 75FA

"Gravity can not be held responsible for people falling in love."
- Albert Einstein

Attachment: signature.asc
Description: Digital signature