Um es Ihnen so einfach wie möglich zu machen, enthält KDE su eine Funktion „Passwort beibehalten“. Falls Sie sich für die Sicherheit dieser Funktion interessieren, sollten Sie diesen Absatz lesen.

Indem Sie KDE su erlauben, die Passwörter zu speichern, entsteht eine (kleine) Sicherheitslücke in Ihrem System. KDE su erlaubt offensichtlich nur Ihrer User-ID die Verwendung der Passwörter. Wenn Sie allerdings nicht aufpassen, kann hierdurch die Sicherheitsstufe des Systemverwalters (root) auf die eines normalen Benutzers (Ihre Benutzer-ID) herabgesetzt werden. Ein Hacker, der versucht, in Ihren Zugang einzubrechen, würde dann Zugang zu den Funktionen von root erhalten. KDE su versucht dies zu verhindern. Das Sicherheitskonzept, das benutzt wird, ist angemessen sicher, zumindest nach bestem Wissen des Autors. Das Konzept wird hier weiter erklärt.

KDE su benutzt den Dämon kdesud. Der Dämon nimmt auf einem UNIX®-Socket in /tmp Befehle entgegen. Die Zugriffsrechte des Sockets sind auf 0600 eingestellt, sodass nur Ihre Benutzer-ID Verbindungen zu dem Socket aufbauen kann. Wurde „Passwort beibehalten“ aktiviert, führt KDE su Befehle durch diesen Dämon aus. KDE su schreibt dann den Befehl und das Passwort des Systemverwalters auf den Socket. Der Dämon führt daraufhin, wie oben beschrieben, mit Hilfe von su den Befehl aus. Danach werden Befehl und Passwort nicht gelöscht, sondern für eine bestimmte Zeit zwischengespeichert. Diese Zeit wird dem Kontrollmodul entnommen. Erfolgt innerhalb dieser Zeitspanne eine andere Anfrage für den Befehl, muss der Benutzer das Passwort nicht erneut eingeben. Um zu verhindern, dass Hacker, die in Ihren Zugang eingedrungen sind, Passwörter stehlen, wird der Dämon mit den Parametern „set-group-id nogroup“ eingerichtet. Dies sollte alle normalen Benutzer (Sie eingeschlossen) daran hindern, Passwörter von dem Prozess kdesud zu bekommen. Der Dämon setzt außerdem die Umgebungsvariable DISPLAY auf den Wert, den der Dämon hatte, als er gestartet wurde. Das Einzige, was ein Hacker demnach tun könnte, wäre Anwendungen auf Ihrer Anzeige auszuführen.

Ein Schwachpunkt in diesem Sicherheitskonzept ist die Tatsache, dass die auszuführenden Programme wahrscheinlich nicht nach Sicherheitsgesichtpunkten geschrieben wurden (z. B. setuid root Programme). Dies bedeutet, dass in diesen Programme Puffer-Überläufe oder andere Probleme auftreten könnten, die ein Hacker ausnutzen könnte.

Die Benutzung der Funktion zum Speichern der Passwörter ist ein Kompromiss zwischen Sicherheitsansprüchen und Komfort. Überdenken Sie dies bitte und entscheiden Sie selbst ob Sie diese Funktion benutzen wollen oder nicht.