Anfängerfragen zum Sudo Passwort

  • Als Absoluter Anfänger (Richtung Linux Mint) würde ich gerne wissen, welche Länge das normale Sudo Passwort haben sollte.
    Da es doch recht häufig verwendet wird, sollte es vermutlich nicht zu lang sein, aber trotzdem lang genug. Was sichert es eigentlich alles ab. Also welche Aufgabe hat es? Muss ich nur das System gegen Nutzer aus dem eigenen Haushalt absichern oder wird das Sudo Passwort von außen angegangen und muss somit seeehr komplex und lang sein? Kann ich auch einen Yubikey verwenden und ihn einfach nur antippen (also ohne Passwort)?
    Dass mein Passwort für den Passwortmanager eine Länge von größer 20 Zeihen lang ist und reichlich komplex habe ich verstanden.

  • Das "sudo"-Passwort ist das User-Passwort mit dem sich der User anmeldet.

    Wenn man im Terminal einen Befehl eingibt (z.B. "apt install irgendwas") dann muss man das als User "root" machen

    oder mit sudo davorsetzen (z.B. "sudo apt install irgendwas") .

    Um sudo zu verstehen kann man es "übersetzen" in s u do (super user do) oder eingedeutscht (super user mach).

    sudo führt User-Befehle mit "super user" Berechtigungen aus.

    Linux Mint 22 Mate

  • Muss ich nur das System gegen Nutzer aus dem eigenen Haushalt absichern oder wird das Sudo Passwort von außen angegangen

    Von außen wohl selten bis gar nicht, im eigenen Haushalt, das musst du selber wissen. Mein Password (Gerät ist immer zu Hause) hat keine 10 Zeichen. Beim Laptop zum Mitnehmen sollte schon länger sein.

    Bevor du mit dem Kopf durch die Wand willst, frage dich, was du im Nebenzimmer willst!

  • Geht mir ähnlich, mein Passwort zum Anmelden (und für sudo) hat auch weniger als 10 Zeichen und ist leicht zu tippen. Es hält sicher keinen Brute Force Angriff aus wenn der Laptop in falsche Hände kommt aber hindert jeden durch mal rumprobieren Zugang zu bekommen.

    Allerdings ist meine Platte auch nicht verschlüsselt (wen interessieren schon meine Renten- und Krankenkassenbescheide ;) ), damit kann jeder, der den Laptop in Besitz bringt mit einem Livesystem mein Passwort in der passwd Datei zurück setzen. Da würde auch kein noch so kompliziertes Passwort reichen.

    Anders sieht's natürlich mit meinem Passwort für keepassxc aus. Das hab ich lang genug.

    Linux Mint Mate auf ASUS Zenbook Flip UX360U; Armbian auf Banana Pi

  • Dann ist es also nur ein zusätzliches Signal das eigene Hirn einzuschalten bevor ich einen Befehl durchführe ;-). Mir droht keine Ungemach aus dem eigenen Haushalt.

    Danke für eure Antworten.

  • Wegen dem Zugriff aus dem eigenen Haushalt: wenn man das System nicht verschlüsselt hat kann man jederzeit mit einem Live-USB-Stick auf den Datenträger und die Dateien zugreifen. Davor schützt auch kein langes Passwort alleine sondern nur in Kombination mit Verschlüsselung.

  • Allerdings ist meine Platte auch nicht verschlüsselt (wen interessieren schon meine Renten- und Krankenkassenbescheide ;) ), damit kann jeder, der den Laptop in Besitz bringt mit einem Livesystem mein Passwort in der passwd Datei zurück setzen. Da würde auch kein noch so kompliziertes Passwort reichen.

    Wegen dem Zugriff aus dem eigenen Haushalt: wenn man das System nicht verschlüsselt hat kann man jederzeit mit einem Live-USB-Stick auf den Datenträger und die Dateien zugreifen. Davor schützt auch kein langes Passwort alleine sondern nur in Kombination mit Verschlüsselung.

    Wenn das System verschlüsselt ist, das Verschlüsselungspasswort aber schon eingegeben wurde und der Laptop auf Standby steht, so das nurnoch das User Passwort zwischen dem Anrgeifer und dem System steht.

    Kann der Angreifer dann ein Live System starten ohne das er das User Passwort eingeben muss oder nochmal nachdem Verschlüsselungspasswort gefragt wird?

  • Wenn du den Standby nutzt ist es am Sichersten das Passwort nach dem Aufwachen abzufragen.

    Wenn ein Live-System gestartet wird ist keine im installierten System laufende Session mehr aktiv.

  • da hat natürlich jeder so seine Meinung.

    ich würde an Deiner Stelle einen Kompromiss finden. Selbst denke ich mir immer Sätze aus wie zB 'HeutegeheichnachMexiko'. Das ist leicht zu merken und tippt man sehr schnell ein.

    Das sudo-Passwort schützt ja nicht nur vor physischem Zugriff, sondern auch das System vor Zugriffen von außen her übers Internet. Und wie beim Router auch sollte so ein Passwort nicht nur aus einem kurzem Wort bestehen, sondern imho ein bischen was hermachen.

    wind weht... laub fällt herab ... die zeit schreitet voran ... und alles wird ...

    .. 'Musik ist mehr als die Summe ihrer Teile'

    * Linux Mint Cinnamon, Ultramarine Linux, für Spiele Windows 11

  • Das sudo-Passwort

    Ich finde den Begriff "sudo-Passwort" schwierig im Sinne von irreführend.

    Denn es gibt kein spezielles Passwort für sudo. Stattdessen ist es das Passwort des Benutzerkontos, das man während der Installation des Linux-Systems anlegt, z. B. Benutzer "egon" mit Kennwort "321LinuxIstMeins".

    (Man kann natürlich später weitere Benutzer anlegen, aber gehen jetzt mal von einem Einzelplatzsystem aus, da hier im Anfängerbereich sind.)

    Hatte Dietmar91 ja auch schon geschrieben, aber ich weiß nicht, ob das für egon so klar rüberkam.

  • Danke für die Klarstellung mit dem "Benutzerkontenpasswort". Es ist ein Einzelplatzsystem und wird es auch bleiben. Dann kann es also ein schwaches Passwort sein, welches sehr schnell eingetippt werden kann.

    Nun noch eine andere Zwischenfrage: Ich versuche momentan einen schnellen Spiegelserver zu finden (Linux Mint). Ich komme nirgendwo über 400kB/s. Viele Spiegelserver sind gar nicht erreichbar. Kann ich nur abwarten und es morgen versuchen oder habe ich noch andere Möglichkeiten.
    Mein Linux läuft in einer virtuellen Maschine.

  • Dann kann es also ein schwaches Passwort sein

    Das wollte ich damit nicht sagen!

    Sobald ein Rechner im lokalen Netzwerk hängt, könnte er theoretisch Ziel eines Angriffs sein. Gibst du auf dem Rechner z. B. für andere Computer im lokalen Netzwerk Ordner zur Mitbenutzung frei, benötigt dein Rechner auch offene (= freigeschaltete) Ports in seiner Firewallkonfiguration und ist damit aus dem lokalen Netzwerk heraus angreifbar.

    "Jemand" könnte nun wiederholt versuchen, sich über das Netzwerk an deinem Rechner anzumelden, bis er dein Benutzerpasswort herausgefunden hat. Dann kopiert er heimlich deine Dateien oder verändert sie nach und nach, bis es dir mal auffällt. Oder er nutzt eine Sicherheitslücke in der für die Dateifreigabe zuständigen Softwarekomponente aus, um sich mit deinem Rechner zu verbinden.

    Mir ist klar, dass das im privaten Umfeld alles eher theoretischer Natur ist, aber ich möchte nur, dass du informiert bist und eine fundierte Entscheidung fällen kannst.

    Das hat übrigens nichts speziell mit Linux zu tun, sondern betrifft jeden Rechner, sobald er an ein Netzwerk angeschlossen ist.

  • Wenn du den Standby nutzt ist es am Sichersten das Passwort nach dem Aufwachen abzufragen.

    Das habe ich auch nicht anders eingestellt 👍


    Wenn ein Live-System gestartet wird ist keine im installierten System laufende Session mehr aktiv.

    Also müsste das Verschlüsselungs passwort erneut eingegeben werden? Und ein Angreifer kann sich nicht einfach nur das User Passwort irgendwo raus ziehen und dann reinkommen?


    Das sudo-Passwort schützt ja nicht nur vor physischem Zugriff, sondern auch das System vor Zugriffen von außen her übers Internet. Und wie beim Router auch sollte so ein Passwort nicht nur aus einem kurzem Wort bestehen, sondern imho ein bischen was hermachen.

    Das wollte ich damit nicht sagen!

    Sobald ein Rechner im lokalen Netzwerk hängt, könnte er theoretisch Ziel eines Angriffs sein. Gibst du auf dem Rechner z. B. für andere Computer im lokalen Netzwerk Ordner zur Mitbenutzung frei, benötigt dein Rechner auch offene (= freigeschaltete) Ports in seiner Firewallkonfiguration und ist damit aus dem lokalen Netzwerk heraus angreifbar.

    "Jemand" könnte nun wiederholt versuchen, sich über das Netzwerk an deinem Rechner anzumelden, bis er dein Benutzerpasswort herausgefunden hat. Dann kopiert er heimlich deine Dateien oder verändert sie nach und nach, bis es dir mal auffällt. Oder er nutzt eine Sicherheitslücke in der für die Dateifreigabe zuständigen Softwarekomponente aus, um sich mit deinem Rechner zu verbinden.

    Mir ist klar, dass das im privaten Umfeld alles eher theoretischer Natur ist, aber ich möchte nur, dass du informiert bist und eine fundierte Entscheidung fällen kannst.

    Das hat übrigens nichts speziell mit Linux zu tun, sondern betrifft jeden Rechner, sobald er an ein Netzwerk angeschlossen ist.

    Gilt das auch wenn man keine besondereren Freigaben macht und fast alle Programme im System gesandboxed installiert?

  • Du weißt ja nie, wo die Sicherheitslücke lauert.

    ^^

    Doch, in jedem System und das seit Anbeginn der Computerzeit. Seit Jahrzehnten werden Sicherheitslöscher gestopft, nur sicherer ist es deswegen nie geworden. Immer ist irgendwo ein Schlupfloch, nur verrückt machen darf man sich deswegen nicht.:whistling:

    Bevor du mit dem Kopf durch die Wand willst, frage dich, was du im Nebenzimmer willst!

  • Betrachte alle vernetzten Geräte einfach per se als unsicher. Du weißt ja nie, wo die Sicherheitslücke lauert.

    Also auch einfach dasselbe WLAN Netzwerk oder Bluetooth könnte selbst ohne Freigaben einen Angriff ermöglichen?

  • Also auch einfach dasselbe WLAN Netzwerk oder Bluetooth könnte selbst ohne Freigaben einen Angriff ermöglichen?

    Ja.

    Wenn dein Rechner vernetzt ist, interagiert er immer mit der Außenwelt.

    Selbst ohne Freigaben, muss er ja etwas mit den Datenpaketen, die an ihn gesendet werden, machen. Und sei es nur sie zu verwerfen, also nicht darauf zu antworten. Schickt der Angreifer jetzt z. B. eine große Flut an Paketen, könnte es in deinem Rechner aus Performancegründen zu einem Pufferüberlauf kommen, der dann irgendwelche „Türen“ öffnet. Vereinfacht ausgedrückt.

    Eigentlich sollte so etwas nicht vorkommen, wenn alles sauber programmiert wurde. Aber Software wird immer noch von Menschen gemacht und Menschen machen Fehler.

  • Ja.

    Wenn dein Rechner vernetzt ist, interagiert er immer mit der Außenwelt.

    Selbst ohne Freigaben, muss er ja etwas mit den Datenpaketen, die an ihn gesendet werden, machen. Und sei es nur sie zu verwerfen, also nicht darauf zu antworten. Schickt der Angreifer jetzt z. B. eine große Flut an Paketen, könnte es in deinem Rechner aus Performancegründen zu einem Pufferüberlauf kommen, der dann irgendwelche „Türen“ öffnet. Vereinfacht ausgedrückt.

    Eigentlich sollte so etwas nicht vorkommen, wenn alles sauber programmiert wurde. Aber Software wird immer noch von Menschen gemacht und Menschen machen Fehler.

    Danke, gut zu wissen. Dann muss das User Passwort auch immer lang sein

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!