Der ewige Streit um die Rechte...
Linus Torvalds ist sauer auf OpenSuse, weil man da root-Rechte benötigt, um alltägliche Aktionen durchzuführen. Mal abgesehen davon, dass diese Aktionen gar nicht unbedingt so alltäglich sind, ist Linux von Haus aus ein Mehrbenutzersystem, das von einem Benutzer, eben root, administriert und von allen anderen nur benutzt wird. Wenn der Benutzer es nun auch administrieren soll, muss er eben root-Rechte haben.
Alltägliche Aktionen?
Kommen wir erst mal zu den "alltäglichen Aktionen", die Linus Torvalds aufführt: Das Einstellen der Zeitzone, das Verbinden mit einem neuen WLAN und das Einrichten eines neuen Druckers. Also für mich sind das keine "alltäglichen" Aktionen. Lebt Linus Torvalds in einem Flugzeug und düst damit ständig um den Erdball, oder warum muss er ständig die Zeitzone ändern? Mit einen neuen WLAN verbindet man sich auch nur dann öfter, wenn man 1. ein Notebook hat und 2. damit unterwegs ist. OK, in seinem Fall handelt es sich um ein Macbook Air, da dürfte das zutreffen. Aber schon das Einrichten eines neuen Druckers ist doch eher keine alltägliche Aktion. Auch wenn die Druckerhersteller sicher nichts dagegen hätten. Hoffentlich kommen die jetzt nicht auf dumme Ideen - Tintenstrahler mit fest eingebauten Mini-Patronen ohne Möglichkeit zum Wechseln oder Auffüllen hätten uns gerade noch gefehlt. Aber genug gelästert.
Ich jedenfalls verstehe unter "alltäglichen Aktionen" sowas wie das Anlegen eines neuen Verzeichnisses, das Speichern einer neuen Daten etc., also Sachen, die man (meist sogar mehrmals) täglich macht. Und dafür braucht man wohl auch bei OpenSuse keine root-Rechte.
Strenge Regeln oder zu strenge Regeln? Alles ist relativ!
Erst mal muss ich zugeben, das Linus Torvalds Recht hat, was die unnötig strengen Restriktionen für Änderungen am System betrifft. Zumindest dann, wenn man von einem Rechner ausgeht, den nur genau eine Person benutzt. Schon wenn zwei einen Rechner gemeinsam nutzen, wird es zumindest ärgerlich, wenn der eine die Einstellungen des anderen zerstört, weil er sie nach seinen Vorstellungen ändert. Nun ist Linux aber gerade ein Mehrbenutzersystem, und da ist aus guten Grund vorgesehen, dass Änderungen, die mehr als einen Benutzer betreffen, nur vom Administrator durchgeführt werden können. Ein Mehrbenutzersystem, bei dem ein Benutzer die anderen irgend wie beeinträchtigen kann, wäre schlicht und ergreifend unbenutzbar. Oder hätten Sie Lust, nach dem Einloggen erst mal alle Einstellungen zu prüfen, ob die noch Ihren Vorstellungen entsprechen? Wenn wir über die nötigen Rechte sprechen, müssen wir immer auch über den Kontext sprechen: Geht es um ein Mehrbenutzersystem, oder gibt es nur einen einzelnen Benutzer? Und wenn es nur einen einzelnen Benutzer gibt: Warum kennt der nicht einfach das root-Passwort? Vielleicht, weil er dann Schaden anrichten kann?
OpenSuse - Ein System für alle Fälle
Womit wir zu OpenSuse kommen. Das ist laut Website ein "Betriebssystem für Ihren PC, Laptop oder Server." Die von Linus Torvalds bemängelten Schutzmaßnahmen sind für einen Server auf jeden Fall nötig, bei einem PC kommt es auf die Benutzerzahl an, und auch ein Laptop wird u.U. von mehr als einer Person bedient. Das kann man alles sicherlich komfortabler (aber dann eben u.U. auch unsicherer) lösen, und anderen Distributionen tun es ja auch, vor allem, wenn sie sich als Desktop-Betriebssystem sehen. Bei OpenSuse hat man sich aber nun mal anders entschieden. Und wenn man davon ausgeht, dass bei einem als Ein-Benutzer-System genutzten OpenSuse-System dieser Benutzer ja problemlos das root-Passwort kennen kann, ist das auch kein Problem. Wem das nicht passt, der kann
- einfach eine andere Distribution wählen,
- versuchen, OpenSuse für seine Bedürfnisse anzupassen oder
- die OpenSuse-Entwickler bitten, es zu ändern (was Linus Torvalds bei den Zeitzonen erfolglos und bei der WLAN-Wahl erfolgreich getan hat)
Also kein Grund, sich aufzuregen.
Wie gefährlich sind die Aktionen?
Kommen wir zur Frage, ob diese "alltäglichen Aufgaben" wirklich so gefährlich sind, dass sie nur der root-Benutzer durchführen darf. Dass sie ggf. andere Benutzer stören können, steht wohl außer Frage, aber kann über sie auch Schaden angerichtet werden?
Ob man durch Manipulation der Zeitzonen Schaden anrichten kann, kann ich jetzt auf Anhieb nicht sagen. Wenn ich lange genug nachdenke, fällt mir sicher ein möglicher Angriff ein. Vielleicht, indem man die Zeitzone immer wieder ändert, so dass cron-Jobs nicht starten? Das müsste ich mal genauer durchspielen, dazu habe ich aber zur Zeit weder Zeit noch Lust.
Das Verbinden mit einem neuen WLAN ist eindeutig sicherheitsrelevant. Ein Rogue Access Point ist eine eindeutige Gefahr. Ob der nun gezielt ausgewählt (und vielleicht vorher sogar aufgestellt wurde) oder aus Unwissenheit gewählt wurde, spielt dabei keine Rolle. Es gibt also einen guten Grund, das WLAN nicht von jedem Benutzer wechseln zu lassen.
Kommen wir zum Drucker. Da geht es bei Linus Torvalds wohl um einen Netzwerkdrucker. Auch den sollte nicht jeder Benutzer ändern dürfen, jedenfalls nicht dann, wenn diese Einstellung für alle anderen Benutzer auf dem System auch gilt. Denn sonst könnte ein bösartiger Benutzer z.B. einen neuen "Drucker" einrichten, der die Druckjobs über einen anderen Rechner leitet, wo eine Kopie abgelegt wird, bevor sie auf dem ursprünglichen Drucker ausgegeben werden.
Bösartige Benutzer können auch aus Bits und Bytes sein
Was oft übersehen wird: Eine bösartige Änderung muss nicht zwingend ein Benutzer durchführen - es könnte auch eingeschleuster Schadcode sein, der ja auch die Rechte des infizierten Benutzerkontos verwendet. Da ist die zusätzliche Passwortabfrage vor potentiell gefährlichen Aktionen sicher kein zu großes Übel. Zu diskutieren wäre dann eher, welche Aktionen "potentiell gefährlich" sind, bzw. bei welcher Gefahrenstufe man die Grenze zwischen "darf jeder Benutzer" und "darf nur root" ziehen will.
Viel interessanter finde ich eine andere Frage:
Muss es denn immer root sein?
Warum muss man denn gleich root-Rechte haben, um diese "alltäglichen Aktionen" durchzuführen? Warum gibt es dafür nicht feiner abgestufte Rechte? Was spricht gegen einen "Netzwerk-Admin", der alle Aktionen im Zusammenhang mit dem Netzwerk durchführen darf, wie z.B. einen neuen Netzwerkdrucker anlegen oder das WLAN ändern? Das ganze mit einer komfortablen GUI versehen dürfte Komfort- und Sicherheitsbedürfnisse wieder unter einen Hut bringen. Da gibt es sicher viele Gestaltungsmöglichkeiten.
Kein Linux-Problem
Mit Rechten hat nicht nur Linux zu kämpfen. Mit Windows Vista hat Microsoft ein ausgefeiltes Berechtigungssystem eingefügt. Diese sichere Benutzerkontensteuerung war bei den Benutzern (zum Teil zu recht) so unbeliebt, dass man bei Windows 7 auf eine unsicherere Defaulteinstellung zurückging. Und auch bei Mac OS X ist nicht alles Gold was glänzt. Von den ganzen Webanwendungen ganz zu schweigen.
Egal was man bei den Benutzerrechten macht - irgend jemand wird immer etwas zu meckern haben.
Trackbacks