Das Wiki ist umgezogen und befindet sich nun unter https://wiki.mageia.org/en/Hauptseite-de . Bitte nutzen Sie das neue Wiki.
Diese Seite befindet sich im neuen Wiki hier: https://wiki.mageia.org/en/Sudo_einrichten-de
Inhaltsverzeichnis
- 1 Einführung
- 2 Schritt 1: Vergewissern Sie sich, dass sudo installiert ist (und falls nicht, wie man es installiert)
- 3 Schritt 2: sudo einrichten
- 4 Schritt 3: Benutzer in die wheel Gruppe hinzufügen um ihnen root Privilegien zu geben
- 5 Schritt 4: Neu in die wheel Gruppe hinzugefügte Benutzer müssen sich womöglich nochmals abmelden und anmelden
- 6 Verwenden von sudo
- 7 Tipps
- 8 Links
Einführung
Dieses Dokument zeigt einen einfachen Weg um sudo unter Mageia zu konfigurieren.
Die Vorteile von sudo sind:
- Zugangsbeschränkung und zurückverfolgen, wer sudo verwendet hat und welcher Befehl ausgeführt wurde: der sudo Zugriff wird protokolliert.
- Vereinfachung der Verwaltung für den root Zugriff.
- Sie müssen nicht das root Passwort an alle Adminnutzer weitergeben, können aber trotzdem den bevollmächtigten Nutzern root Zugriff gestatten, wenn dieser benötigt wird.
Schritt 1: Vergewissern Sie sich, dass sudo installiert ist (und falls nicht, wie man es installiert)
Überprüfe ob die sudo RPM bereits installiert ist:
$ rpm -q sudo > /dev/null && echo sudo is installed || echo sudo ist NICHT installiert sudo ist installiert.
Falls die Nachricht erscheint "sudo ist NICHT installiert" dann müssen Sie dieses noch (als root) installieren, zum Beispiel:
# /usr/sbin/urpmi sudo
Schritt 2: sudo einrichten
Es gibt viele verschiedene Möglichkeiten um sudo einzurichten. Sie können zum Beispiel spezifische Befehle für bestimmte Gruppen oder Nutzer aktivieren.
In diesem Beispiel werden wir sudo so konfigurieren, damit jeder Nutzer in der Gruppe wheel die Möglichkeit hat sudo zu verwenden, um root Berechtigungen zu erhalten.
Wenn ein Nutzer, welcher in der wheel Gruppe eingetragen ist, einen sudo Befehl ausführt, z.B. /bin/sudo -i, wird dieser Nutzer aufgefordert sein Benutzerpasswort einzugeben.
Die Eingabe des Nutzerpassworts erhöht die Sicherheit, damit nicht jemand anderes als der Nutzer selbst die root Berechtigung erhalten kann.
Die sudo Konfigurationsdatei kann mit dem Befehl visudo bearbeitet werden.
Wir können das bearbeiten der großen und komplexen sudo Konfigurationsdatei, um die wheel Gruppe zu berechtigen, vermeiden, indem wir einfach (als root) die folgenden Schritte durchführen:
# Erstelle die Datei /etc/sudoers.d/01wheel um den Mitglieder der wheel Gruppe root-Zugriff über sudo zu geben # (kopiere & füge in die Datei folgendes ein, führe dies als root aus) echo "%wheel ALL=(ALL) ALL" > /etc/sudoers.d/01wheel chmod 440 /etc/sudoers.d/01wheel # Ende des zu kopierenden Abschnitts
Eine ausführliche Beschreibung weshalb Dateien in dem Verzeichnis /etc/sudoers.d/ auf diese Art benannt werden kann aus der Anleitung bzw. Beschreibung der sudoer Datei entnommen werden:
$ man sudoers
Um die Beschreibung hierzu zu finden, während "man sudoers" ausgeführt wird, suche nach "etc/sudoers.d" durch Eingabe von: /etc/sudoers.d
Schritt 3: Benutzer in die wheel Gruppe hinzufügen um ihnen root Privilegien zu geben
Es ist viel einfacher eine Liste an Benutzer, welche root Zugriff erhalten, zu pflegen indem man diese in die Gruppe hinzufügt oder aus dieser löscht.
Das verwenden der wheel Gruppe hat hierfür auf Unix und Unix-ähnlichen Systemen historische Hintergründe.
Sie können die Benutzer zu dieser Gruppe über (mindestens) zwei Möglichkeiten hinzufügen:
- Verwenden des Mageia Kontrollzentrums:
System -> Benutzerverwaltung -> Wähle den Benutzer aus -> Bearbeiten -> für die jeweiligen Benutzer: wähle "Gruppen" und aktiviere den "wheel" Gruppeneintrag
- Verwenden der Befehlszeilen Oberfläche:
Bearbeite /etc/group und aktualisiere den Eintrag für wheel durch das hinzufügen der Benutzernamen, welche mit einem Komma unter dem Eintrag wheel abgegrenzt werden.
Im folgenden Beispiel werden wir die Benutzer: ken und dennis in die wheel Gruppe mit aufnehmen.
Ändere:
wheel:x:10:
Nach:
wheel:x:10:ken,dennis
Schritt 4: Neu in die wheel Gruppe hinzugefügte Benutzer müssen sich womöglich nochmals abmelden und anmelden
Falls ein Benutzer, welcher gerade neu in die wheel Gruppe hinzugefügt wurde währenddessen an seinem System angemeldet ist, muss dieser sich vom System abmelden und erneut anmelden, damit dieser Zugriff auf die sudo Funktionen bekommen kann.
Verwenden von sudo
Nachdem sudo installiert und konfiguriert ist, wie weiter oben beschrieben, können die Benutzer der wheel Gruppe sudo verwenden, um root Befehle auszuführen.
Beispiel 1 - um alle vorhandenen Aktualisierungen zu installieren:
[ken@google.com ~] $ /bin/sudo /usr/sbin/urpmi --auto-update [sudo] password for ken:
Beispiel 2 - Aufrufen einer root Shell
[dennis@att.com ~] $ /bin/sudo -i [sudo] password for dennis: [root@att.com ~] #
Here, sudo's "-i" option causes the shell to start as if root had logged in (and has root's environment set).
Hence, the prompt is now a root prompt and if run in a Gnome Terminal, the tab will have "root@att.com".
Tipps
Tipp 1: Das nutzen von root verhindern
Verhindere das verwenden des Root Zugangs so oft wie möglich.
Falls Sie wirklich den Zugriff als root benötigen dann nutzen Sie diesen, jedoch ist es sicherer den Zugriff als root, bei Aktionen welche kein root erfordern, nicht zu verwenden.
Tipp 2: Bei Terminalzugängen mit Tabs, nutze einen Tab für root
Falls Sie ein Terminal welches die Nutzung von Tabs ermöglicht verwenden (z.B. wie das Gnome Terminal) ist es praktisch einen Tab mit der root Shell zu öffnen und einen weiteren Tab ohne root Rechte.
Dies erspart den Wechsel und somit das an- und abmelden von root, da man einfach den Tab des Terminals auswählen kann in welchem man arbeiten möchte.
Tipp 3: Nutze immer den vollständigen Pfadnamen für Befehle die nach dem Passwort fragen
Anstatt den Befehl sudo zu verwenden, nutze den Befehl /bin/sudo. (Dies trifft auch auf /bin/su zu, anstatt einfach su zu nutzen.)
Weshalb? Für jeden Befehl, welcher Sie nach dem Passwort fragt, ist es sicherer den kompletten Pfad zu verwenden (statt nur den Befehlsnamen).
Eine Technik welche von Hacker verwendet wird ist es, auf Ihr Vertrauen zu setzen, dass wenn Sie sudo eingeben, Sie glauben, dass Sie wirklich sudo verwenden.
Falls ein Hacker Zugriff auf Ihren Zugang erhält, kann dieser $PATH (den Pfad) ändern und ein manipuliertes sudo aufrufen, welches nach Ihrem Passwort fragt, eine Fehlermeldung anzeigt und anschließend das echte sudo ausführt.
Der Benutzer denkt "Oh, ich habe mich beim Passwort vertippt. Gebe ich es nochmals ein".
Tipp 4: Die sudo Nutzung beobachten
Die Protokolldatei für sudo befindet sich unter /var/log/sudo.log.
Schauen Sie sich die Protokolldatei von Zeit zu Zeit an um zu verstehen was eine "normale" sudo Aktivität auf Ihrem System ist. Beachte den Datum/Zeit und TTY Wert in dem Protokoll. Schenke seltsamen oder unüblichen Protokolleinträge Beachtung. Zum Beispiel wenn sudo zu einer Zeit ausgeführt wird, in der niemand das System verwendet oder über TTY nicht wie üblich verwendet wird.
Links
Wikipedia | https://de.wikipedia.org/wiki/Sudo |
sudo in a nutshell (englisch) | http://www.sudo.ws/sudo/intro.html |
sudo sandwich | http://xkcd.com/149/ |
Ken Thomson | https://de.wikipedia.org/wiki/Ken_Thompson |
Dennis Ritchie | https://de.wikipedia.org/wiki/Dennis_Ritchie |