 |
Andere Sprachen Deutsch ; English ; Français |
| Einleitung: Wie man sudo für Mageia Linux einrichtet |
Contents
- 1 Einführung
- 2 Vorteile
- 3 Schritt 1: sudo installieren
- 4 Schritt 2: sudo einrichten
- 5 Schritt 3: Benutzer in die wheel Gruppe hinzufügen um ihnen root Privilegien zu geben
- 6 Schritt 4: Neu in die wheel Gruppe hinzugefügte Benutzer müssen sich womöglich nochmals abmelden und anmelden
- 7 Verwenden von sudo
- 8 Tipps
- 9 Anhang 1: Referenzen
Einführung
Dieses Dokument zeigt einen einfachen Weg auf, um den sudo Befehl unter Mageia zu konfigurieren.
Falls Sie erfahren möchten was sudo ist, schauen Sie sich bitte die man-Page "man sudo [6] " an. Es gibt auch eine Beschreibung in der Wikipedia [1] .
Vorteile
Die Vorteile, wenn man sudo einrichtet, wie auf dieser Seite beschrieben wird, sind:
- Es ist sehr einfach zu implementieren.
- Anwendern können sudo Berechtigungen gegeben werden, indem sie einfach in die wheel Gruppe hinzugefügt werden (oder umgekehrt, von der wheel Gruppe entfernt werden).
- Es muss nicht das root Passwort weitergegeben werden. Hierdurch kann das root-Passwort geändert werden, ohne das die Mitglieder der wheel Gruppe. beim erhalten der sudo Berechtigung, eingeschränkt werden.
- Anwender in der wheel Gruppe müssen ihr Passwort eingeben um um sudo Privilegien zu erhalten. Zugang ohne Passwort ist nicht erlaubt, wodurch die Sicherheit erhöht wird.
Schritt 1: sudo installieren
Falls sudo auf ihrem System noch nicht installiert sein sollte, installieren sie es mit folgendem Befehl:
Schritt 2: sudo einrichten
Es gibt viele verschiedene Möglichkeiten um sudo einzurichten. Sie können zum Beispiel spezifische Befehle für bestimmte Gruppen oder Nutzer aktivieren.
In diesem Beispiel werden wir sudo so konfigurieren, damit jeder Nutzer in der Gruppe wheel die Möglichkeit hat sudo zu verwenden, um root Berechtigungen zu erhalten. Wenn ein Nutzer, welcher in der wheel Gruppe eingetragen ist, einen sudo Befehl ausführt, z.B. /bin/sudo -i, wird dieser Nutzer aufgefordert sein Benutzerpasswort einzugeben.
Die Eingabe des Benutzerkennworts erhöht die Sicherheit, damit nicht jemand anderes als der Nutzer selbst die root Berechtigung erhalten kann.
Dies bedeutet auch, dass die Anwender, welche Mitglied der wheel Gruppe sind, kein root Passwort kennen müssen. Das root-Passwort kann durch die Systemadministratoren geändert werden und es beeinträchtigt die Mitglieder der wheel Gruppe, um über sudo root Privilegien zu erhalten.
Die sudo Konfigurationsdatei kann mit dem Befehl visudo bearbeitet werden.
Schritt 3: Benutzer in die wheel Gruppe hinzufügen um ihnen root Privilegien zu geben
Es ist viel einfacher eine Liste an Benutzer, welche root Zugriff erhalten, zu pflegen indem man diese in die Gruppe hinzufügt oder aus dieser löscht.
Das verwenden der wheel Gruppe hat hierfür auf Unix und Unix-ähnlichen Systemen historische Hintergründe.
Sie können die Benutzer zu dieser Gruppe über (mindestens) drei Möglichkeiten hinzufügen:
Methode 1: Das Mageia Kontrollzentrum verwenden
System -> Benutzerverwaltung -> Wähle den Benutzer aus -> Bearbeiten -> für die jeweiligen Benutzer: wähle "Gruppen" und aktiviere den "wheel" Gruppeneintrag
Methode 2: Verwenden der Befehlszeile
Bearbeiten Sie als root die Datei /etc/group und aktualisiere den Eintrag für wheel durch das hinzufügen der Benutzernamen, welche mit einem Komma unter dem Eintrag wheel abgegrenzt werden.
Im folgenden Beispiel werden wir die Benutzer: [4] und dennis [5] in die wheel Gruppe mit aufnehmen.
Ändere:
| wheel:x:10: |
Nach:
| wheel:x:10:ken,dennis |
Methode 3: Einen neuen Benutzer der wheel-Gruppe während der Installation von Mageia hinzufügen
Wenn ein neues Mageia System installiert wird, gibt es einen Schritt während des Installationsvorgang, in welchem das root-Passwort gesetzt werden kann und neue Benutzer dem System hinzugefügt werden können.
Beim Schritt zum hinzufügen neuer Benutzer, klicken Sie auf den Abschnitt Fortgeschritten, bei dem Sie die Möglichkeit erhalten, die Benutzer der wheel-Gruppe hinzuzufügen (oder andere Gruppen, falls benötigt).
Dies erspart Zeit, da, sobald das System neu gestartet wird, der neue Benutzerzugang sudo bereits beim ersten Anmelden verwenden kann.
Schritt 4: Neu in die wheel Gruppe hinzugefügte Benutzer müssen sich womöglich nochmals abmelden und anmelden
Falls ein Benutzer, welcher gerade neu in die wheel Gruppe hinzugefügt wurde währenddessen an seinem System angemeldet ist, muss dieser Benutzer sich vom System abmelden und erneut anmelden, damit dieser Zugriff auf die sudo Funktionen bekommen kann. Falls sudo weiterhin nicht funktioniert überprüfen Sie, ob Fehlermeldungen angezeigt werden und schauen Sie im Systemprotokoll nach um herauszufinden, was schief läuft und wie es behoben werden kann.
Verwenden von sudo
Nachdem sudo installiert und konfiguriert ist, wie (oben) beschrieben, können die Benutzer der wheel Gruppe sudo verwenden, um root Befehle auszuführen.
In den folgenden Beispielen werden zwei Anwender gezeigt, welchen der Zugriff auf den sudo Befehl gegeben wird: ken und dennis.
| Bitte beachten! Wir verwenden /bin/sudo anstelle des einfachen sudo, um die Sicherheit zu erhöhen (siehe Tipp 3 unten). |
Beispiel 1 - um alle vorhandenen Aktualisierungen zu installieren
In diesem Beispiel sind wir als Anwender ken angemeldet.
Beispiel 2 - Wechseln auf eine root Shell
In diesem Beispiel sind wir als dennis angemeldet.
Beachte, dadurch, dass der Zusatz -i verwendet wird, wird das home-Verzeichnis von root aufgerufen, da, sobald man sich als root anmeldet, $PATH und die Shell-Umgebung für den root Anwender konfiguriert ist.
Um die root Shell abzuschließen (und wieder als Anwender, anstatt als root zu arbeiten), geben Sie einfach exit ein:
Tipps
Tipp 1: Das Nutzen von root vermeiden
Vermeiden Sie die Verwendung des Root Zugangs so oft wie möglich.
Falls Sie wirklich den Zugriff als root benötigen dann nutzen Sie diesen, jedoch ist es sicherer den Zugriff als root, bei Aktionen welche kein root erfordern, nicht zu verwenden.
Insbesondere: Vermeiden Sie das Ausführen von Desktop-Anwendungen (wie KDE, GNOME, XFCE, LXDE, MATE, ...) als root.
Es ist nicht erforderlich, Desktop-Umgebungsaufgaben als root auszuführen. Jede Desktop-Umgebung erstellt viele Dateien und Unterverzeichnisse unter ${HOME}.
Es ist sicherer und besser, ${HOME} von root auf das erforderliche Minimum zu beschränken.
Wenn Sie Mageia Kontrollzentrum (Drakconf) ausführen: Wenn Root-Zugriff erforderlich ist, werden Sie dazu aufgefordert.
Tipp 2: Bei Terminalzugängen mit Tabs, nutze einen Tab für root
Falls Sie ein Terminal verwenden, welches die Nutzung von Tabs ermöglicht (z.B. wie das mate-terminal) ist es praktisch einen Tab mit der root Shell zu öffnen und einen weiteren Tab ohne root Rechte.
Dies erspart den Wechsel und somit das an- und abmelden von root, da man einfach den Tab des Terminals auswählen kann in welchem man arbeiten möchte.
Tipp 3: Nutze immer den vollständigen Pfadnamen für Befehle die nach dem Passwort fragen
Anstatt den Befehl sudo zu verwenden, nutze den Befehl /bin/sudo. (Dies trifft auch auf /bin/su zu, anstatt einfach su zu nutzen.)
Weshalb? Für jeden Befehl, welcher Sie nach dem Passwort fragt, ist es sicherer den kompletten Pfad zu verwenden (statt nur den Befehlsnamen).
Eine Technik welche von Hacker verwendet wird ist es, auf Ihr Vertrauen zu setzen, dass wenn Sie sudo eingeben, Sie glauben, dass Sie wirklich sudo verwenden.
Falls ein Hacker Zugriff auf Ihren Zugang erhält, kann dieser $PATH (den Pfad) ändern und ein manipuliertes sudo aufrufen, welches nach Ihrem Passwort fragt, eine Fehlermeldung anzeigt und anschließend das echte sudo ausführt.
Der Benutzer denkt "Oh, ich habe mich beim Passwort vertippt. Gebe ich es nochmals ein!".
Tipp 4: Die sudo Nutzung beobachten
Die Protokolldatei für sudo befindet sich unter /var/log/sudo.log..
Schauen Sie sich die Protokolldatei von Zeit zu Zeit an um zu verstehen was eine "normale" sudo Aktivität auf Ihrem System ist. Beachte den Datum/Zeit und TTY Wert in dem Protokoll. Schenke seltsamen oder unüblichen Protokolleinträge Beachtung. Zum Beispiel wenn sudo zu einer Zeit ausgeführt wird, in der niemand das System verwendet oder über TTY nicht wie üblich verwendet wird.
Anhang 1: Referenzen
| ref# | title | link |
|---|---|---|
| [1] | Wikipedia sudo page | http://en.wikipedia.org/wiki/Sudo |
| [2] | sudo in a nutshell | http://www.sudo.ws/sudo/intro.html |
| [3] | sudo sandwich | http://xkcd.com/149/ |
| [4] | Ken Thomson | http://en.wikipedia.org/wiki/Ken_Thompson |
| [5] | Dennis Ritchie | http://en.wikipedia.org/wiki/Dennis_Ritchie |
| [6] | sudo man page | https://man.archlinux.org/man/sudo.8 |
| [7] | /etc/sudoers file | https://man.archlinux.org/man/sudoers.5 |
