Durch den Einsatz von Sudo die Sicherheit erhöhen?

T

tobi471

Active Member
Feb 14, 2020
57
6
28
Hallo zusammen,

ich bin doch schon noch ein ziemlicher Anfänger beim Thema Linux und Proxmox.

Ich stelle mir jedoch die Frage, ob es in Proxmox sinnvoll ist sudo zu installieren und einen User mit Sudorechten auszustatten und danach dann den root Zugang zu deaktivieren (passwd -l root).

Erhöhe ich hierdurch die Sicherheit? Auf die Konsole greife nur ich zu.

Vielen Dank für Eure Unterstützung.

Gruß Tobi
 
Last edited:
Danke für die schnelle Antwort.
Der Server hängt hinter einer Fritzbox und wird nur für den Heimgebrauch benutzt. (NAS, Pihole, Win 10 VM, Unifi Server und zum Testen).
Ich habe auch keine Anwendungen wo ich von aussen auf den Server zugreifen muss.
Cluster benötige ich nicht. DIe Frage ist halt, ob es die Sicherheit in irgendeiner Weise erhöht, oder ob ich mir das sparen kann.

Teilweise wird ja auch bei Debian empfohlen Sudo zu nutzen:
https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-10
 
Last edited:
Es wurde erst vor einer Woche ein exploit veröffentlicht CVE-2021-3156 der jedem Benutzer erlaubt zu root zu wechseln ohne sudo rechte zu haben.

Der exploit reicht 10 Jahre zurück...


Root zu deaktivieren ist nicht wirklich möglich auf PVE. Wird für cluster, gui shell, etc. verwendet.

Allgemein gilt immer als normaler benutzer arbeiten und sudo verwenden.
 
Last edited:
Wenn ich das jetzt richtig verstehe dann ist es schon besser sudo mit
apt install sudo nachzuinstallieren und auch zu nutzen.

Beispiel:
Ich erstelle in Proxmox einen LXC Container in dem ich Debian 10 installiere.
Standardmäßig arbeitet man ja hier mit dem root user.
Ich kann jetzt aber einen User (z.B. Tobi) anlegen und sudo nachinstallieren. Danach das Root-Passwort mit passwd -l löschen.
Jetzt arbeite ich mit dem User Tobi unter verwendung von sudo wenn root Rechte benötigt werden.

Das gleiche kann ich ja auch machen wenn ich eine VM mit Debian installiere.

Wenn ich H4R0 richtig verstanden habe, sollte man das auch so machen, oder?
 
Mach das wenn du damit meinst die Sicherheit zu erhöhen. Aber um ein richtiges Firewall Security Konzept kommst du trotzdem nicht drum rum ;)
 
sudo ist ein Toll für Rechte und User Management. Es erhöht nur soweit die Sicherheit wie Du verstanden hast es ein zu richten.
Wenn Du Deinem User erlaubst durch sudo Systemroot zu werden, hast Du wieder ein Root User der alles darf. Dann kannst auch root lassen.
Wenn man aber sudo dazu verwendet bestimmten Usern oder Gruppen Zugriff auf Systemteile oder Anwendungen zu geben welche mit anderen (höheren) Rechten laufen dann ist das vernünftig.
Ich würde root im übrigen nicht deaktivieren. Ich habe bei mir einfach ein 32bit langes passwort genommen.

Und ja ein Firewall Konzept sollte auch vorhanden sein, genau so wie ein vernünftiges User Management.
 
Last edited:
Das ist ja der Grund warum ich hier im Forum nachfrage. Ich bin mir eben überhaupt nicht sicher, ob der Einsatz von sudo für die Sicherheit sinnvoll ist, dafür habe ich zu wenig Kentnisse.
Also deiner Meinung nach bringt es ja nicht viel.
Angenommen jemand hätte von aussen Zugriff auf den Server durch irgendeine Sicherheitslücke.
Macht es dann einen Unterschied, ob mit root oder mit sudo gearbeitet wird?
 
Leon Gaultier said:
sudo ist ein Toll für Rechte und User Management. Es erhöht nur soweit die Sicherheit wie Du verstanden hast es ein zu richten.
Wenn Du Deinem User erlaubst durch sudo Systemroot zu werden, hast Du wieder ein Root User der alles darf. Dann kannst auch root lassen.
Wenn man aber sudo dazu verwendet bestimmten Usern oder Gruppen Zugriff auf Systemteile oder Anwendungen zu geben welche mit anderen (höheren) Rechten laufen dann ist das vernünftig.
Ich würde root im übrigen nicht deaktivieren. Ich habe bei mir einfach ein 32bit langes passwort genommen.

Und ja ein Firewall Konzept sollte auch vorhanden sein, genau so wie ein vernünftiges User Management.
Click to expand...
Dann bedeutet für meinen Anwendungsfall ja, das ich mir das sparen kann, da ich eh der einzigste User bin, der direkt auf den Server zugreift. Danke.
 
Wie gesagt, es kommt auf Deinen Anwendungsfall an. Wenn Du mit Deinem normalen User aber eh dann immer doch zu Voll-Root werden willst dann kannst Du es Dir sparen. Ja. Gerade wenn Du eh Intern arbeitest.

Beispiel für ein Anwendung wie Du sie Dir vorgestellt hast.
System steht im Internet. Du bist alleiniger User und hast Zugriff nur per SSH mit PrivatKey und Passwort. Anmeldung per SSH nicht als Root möglich. Also meldest Dich als normaler User per SSH an und machst Dich dann per sudo -i zu root mit vollen Rechten.
 
Es geht primär darum das arbeiten als root eine gefahr darstellt.

Root wird nur bei modifikationen benötigt, neue pakete installieren, konfigurationen ändern etc.

Alles andere geht mit normalen benutzer rechten.
 
Hallo, auch wenn der Thread schon etwas älter ist hier meine Meinung: den User root zu deaktivieren schützt vor z.B Bruteforce Attacken über ssh, da die meisten Angreifer Benutzer wie root oder admin probieren.
Da es auf einem PVE aber ohne root offensichtlich Probleme geben kann (Danke für den Hinweis), würde ich es lassen und auf Firewall und starke Passwörter vertrauen.
VG
Thoenny
 
Jup, was man stattdessen gut machen kann ist:
1.) PVE WebUI/SSH Zugang nur lokal erlauben und wenn man Remote dadrauf Zugreifen möchte, dann nur über einen VPN Tunnel
2.) SSH Login über Passwort verbieten und RSA Keys für jeden Nutzer einrichten
3.) Fail2ban gegen SSH-Bruteforce-Angriffe einrichten
4.) Zweifaktorauthentifikation für das WebUI nutzen
5.) Über die Firewall nur Zugriff von bestimmten IPs zulassen, sofern man keine wechselnden IPs vom ISP bekommt
 
Last edited:
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back