Wiki » Sudo einrichten

Warnung!

Das Wiki ist umgezogen und befindet sich nun unter https://wiki.mageia.org/en/Hauptseite-de . Bitte nutzen Sie das neue Wiki.

Die hier enthaltenen Informationen werden nicht aktualisiert und sind deshalb veraltet oder sogar falsch!
Diese Seite befindet sich im neuen Wiki hier: https://wiki.mageia.org/en/Sudo_einrichten-de

Weitere Sprachen

Deutsch ; English ; Français

Einführung

Dieses Dokument zeigt einen einfachen Weg um sudo unter Mageia zu konfigurieren.

Die Vorteile von sudo sind:

1. Zugangsbeschränkung und zurückverfolgen, wer sudo verwendet hat und welcher Befehl ausgeführt wurde: der sudo Zugriff wird protokolliert.
2. Vereinfachung der Verwaltung für den root Zugriff.
3. Sie müssen nicht das root Passwort an alle Adminnutzer weitergeben, können aber trotzdem den bevollmächtigten Nutzern root Zugriff gestatten, wenn dieser benötigt wird.

Schritt 1: Vergewissern Sie sich, dass sudo installiert ist (und falls nicht, wie man es installiert)

Überprüfe ob die sudo RPM bereits installiert ist:

$ rpm -q sudo > /dev/null && echo sudo is installed || echo sudo ist NICHT installiert
sudo ist installiert.

Falls die Nachricht erscheint "sudo ist NICHT installiert" dann müssen Sie dieses noch (als root) installieren, zum Beispiel:

# /usr/sbin/urpmi sudo

Schritt 2: sudo einrichten

Es gibt viele verschiedene Möglichkeiten um sudo einzurichten. Sie können zum Beispiel spezifische Befehle für bestimmte Gruppen oder Nutzer aktivieren.

In diesem Beispiel werden wir sudo so konfigurieren, damit jeder Nutzer in der Gruppe wheel die Möglichkeit hat sudo zu verwenden, um root Berechtigungen zu erhalten.
Wenn ein Nutzer, welcher in der wheel Gruppe eingetragen ist, einen sudo Befehl ausführt, z.B. /bin/sudo -i, wird dieser Nutzer aufgefordert sein Benutzerpasswort einzugeben.
Die Eingabe des Nutzerpassworts erhöht die Sicherheit, damit nicht jemand anderes als der Nutzer selbst die root Berechtigung erhalten kann.

Die sudo Konfigurationsdatei kann mit dem Befehl visudo bearbeitet werden.
Wir können das bearbeiten der großen und komplexen sudo Konfigurationsdatei, um die wheel Gruppe zu berechtigen, vermeiden, indem wir einfach (als root) die folgenden Schritte durchführen:

  # Erstelle die Datei /etc/sudoers.d/01wheel um den Mitglieder der wheel Gruppe root-Zugriff über sudo zu geben
  # (kopiere & füge in die Datei folgendes ein, führe dies als root aus)

  echo "%wheel ALL=(ALL)  ALL" > /etc/sudoers.d/01wheel
  chmod 440 /etc/sudoers.d/01wheel

  # Ende des zu kopierenden Abschnitts

Eine ausführliche Beschreibung weshalb Dateien in dem Verzeichnis /etc/sudoers.d/ auf diese Art benannt werden kann aus der Anleitung bzw. Beschreibung der sudoer Datei entnommen werden:

$ man sudoers   

Um die Beschreibung hierzu zu finden, während "man sudoers" ausgeführt wird, suche nach "etc/sudoers.d" durch Eingabe von: /etc/sudoers.d

Schritt 3: Benutzer in die wheel Gruppe hinzufügen um ihnen root Privilegien zu geben

Es ist viel einfacher eine Liste an Benutzer, welche root Zugriff erhalten, zu pflegen indem man diese in die Gruppe hinzufügt oder aus dieser löscht.
Das verwenden der wheel Gruppe hat hierfür auf Unix und Unix-ähnlichen Systemen historische Hintergründe.

Sie können die Benutzer zu dieser Gruppe über (mindestens) zwei Möglichkeiten hinzufügen:

• Verwenden des Mageia Kontrollzentrums:
  

System -> Benutzerverwaltung -> Wähle den Benutzer aus -> Bearbeiten -> für die jeweiligen Benutzer: wähle "Gruppen" und aktiviere den "wheel" Gruppeneintrag

• Verwenden der Befehlszeilen Oberfläche:
  

Bearbeite /etc/group und aktualisiere den Eintrag für wheel durch das hinzufügen der Benutzernamen, welche mit einem Komma unter dem Eintrag wheel abgegrenzt werden.
Im folgenden Beispiel werden wir die Benutzer: ken und dennis in die wheel Gruppe mit aufnehmen.

Ändere:

wheel:x:10:

Nach:

wheel:x:10:ken,dennis

Schritt 4: Neu in die wheel Gruppe hinzugefügte Benutzer müssen sich womöglich nochmals abmelden und anmelden

Falls ein Benutzer, welcher gerade neu in die wheel Gruppe hinzugefügt wurde währenddessen an seinem System angemeldet ist, muss dieser sich vom System abmelden und erneut anmelden, damit dieser Zugriff auf die sudo Funktionen bekommen kann.

Verwenden von sudo

Nachdem sudo installiert und konfiguriert ist, wie weiter oben beschrieben, können die Benutzer der wheel Gruppe sudo verwenden, um root Befehle auszuführen.

Beispiel 1 - um alle vorhandenen Aktualisierungen zu installieren:

[ken@google.com ~] $  /bin/sudo /usr/sbin/urpmi --auto-update
[sudo] password for ken:

Beispiel 2 - Aufrufen einer root Shell

[dennis@att.com ~] $ /bin/sudo -i
[sudo] password for dennis:
[root@att.com ~] # 

Here, sudo's "-i" option causes the shell to start as if root had logged in (and has root's environment set).
Hence, the prompt is now a root prompt and if run in a Gnome Terminal, the tab will have "root@att.com".

Tipps

Tipp 1: Das nutzen von root verhindern

Verhindere das verwenden des Root Zugangs so oft wie möglich.
Falls Sie wirklich den Zugriff als root benötigen dann nutzen Sie diesen, jedoch ist es sicherer den Zugriff als root, bei Aktionen welche kein root erfordern, nicht zu verwenden.

Tipp 2: Bei Terminalzugängen mit Tabs, nutze einen Tab für root

Falls Sie ein Terminal welches die Nutzung von Tabs ermöglicht verwenden (z.B. wie das Gnome Terminal) ist es praktisch einen Tab mit der root Shell zu öffnen und einen weiteren Tab ohne root Rechte.
Dies erspart den Wechsel und somit das an- und abmelden von root, da man einfach den Tab des Terminals auswählen kann in welchem man arbeiten möchte.

Tipp 3: Nutze immer den vollständigen Pfadnamen für Befehle die nach dem Passwort fragen

Anstatt den Befehl sudo zu verwenden, nutze den Befehl /bin/sudo. (Dies trifft auch auf /bin/su zu, anstatt einfach su zu nutzen.)

Weshalb? Für jeden Befehl, welcher Sie nach dem Passwort fragt, ist es sicherer den kompletten Pfad zu verwenden (statt nur den Befehlsnamen).

Eine Technik welche von Hacker verwendet wird ist es, auf Ihr Vertrauen zu setzen, dass wenn Sie sudo eingeben, Sie glauben, dass Sie wirklich sudo verwenden.
Falls ein Hacker Zugriff auf Ihren Zugang erhält, kann dieser $PATH (den Pfad) ändern und ein manipuliertes sudo aufrufen, welches nach Ihrem Passwort fragt, eine Fehlermeldung anzeigt und anschließend das echte sudo ausführt.

Der Benutzer denkt "Oh, ich habe mich beim Passwort vertippt. Gebe ich es nochmals ein".

Tipp 4: Die sudo Nutzung beobachten

Die Protokolldatei für sudo befindet sich unter /var/log/sudo.log.

Schauen Sie sich die Protokolldatei von Zeit zu Zeit an um zu verstehen was eine "normale" sudo Aktivität auf Ihrem System ist. Beachte den Datum/Zeit und TTY Wert in dem Protokoll. Schenke seltsamen oder unüblichen Protokolleinträge Beachtung. Zum Beispiel wenn sudo zu einer Zeit ausgeführt wird, in der niemand das System verwendet oder über TTY nicht wie üblich verwendet wird.

Links