From Mageia wiki
Revision as of 17:38, 29 November 2020 by Psyca (talk | contribs)
Jump to: navigation, search


Drakconf multiflag.png
Andere Sprachen
Deutsch ; English ; Français


Einführung

Dieses Dokument zeigt einen einfachen Weg um sudo unter Mageia zu konfigurieren.

Die Vorteile von sudo sind:

  1. Zugangsbeschränkung und zurückverfolgen, wer sudo verwendet hat und welcher Befehl ausgeführt wurde: der sudo Zugriff wird protokolliert.
  2. Vereinfachung der Verwaltung für den root Zugriff.
  3. Sie müssen nicht das root Passwort an alle Admin-Nutzer weitergeben, können aber trotzdem den bevollmächtigten Nutzern root Zugriff gestatten, wenn dieser benötigt wird.

Schritt 1: Vergewissern Sie sich, dass sudo installiert ist (und falls nicht, wie man es installiert)

Überprüfe ob die sudo RPM bereits installiert ist: {{console|rpm -q sudo > /dev/null && echo sudo is installed || echo sudo ist NICHT installiert sudo ist installiert.

Falls die Nachricht erscheint "sudo ist NICHT installiert" dann müssen Sie dieses noch (als root) installieren, zum Beispiel: Template:Root console

Schritt 2: sudo einrichten

Es gibt viele verschiedene Möglichkeiten um sudo einzurichten. Sie können zum Beispiel spezifische Befehle für bestimmte Gruppen oder Nutzer aktivieren.

In diesem Beispiel werden wir sudo so konfigurieren, damit jeder Nutzer in der Gruppe wheel die Möglichkeit hat sudo zu verwenden, um root Berechtigungen zu erhalten.
Wenn ein Nutzer, welcher in der wheel Gruppe eingetragen ist, einen sudo Befehl ausführt, z.B. /bin/sudo -i, wird dieser Nutzer aufgefordert sein Benutzerpasswort einzugeben.
Die Eingabe des Nutzerpassworts erhöht die Sicherheit, damit nicht jemand anderes als der Nutzer selbst die root Berechtigung erhalten kann.

Die sudo Konfigurationsdatei kann mit dem Befehl visudo bearbeitet werden.
Wir können das bearbeiten der großen und komplexen sudo Konfigurationsdatei, um die wheel Gruppe zu berechtigen, vermeiden, indem wir einfach (als root) die folgenden Schritte durchführen:

# Erstelle die Datei (die Namenswahl ist frei vergebbar und kann anhand des Inhalts vergeben werden z. B. 01wheel) um den Mitgliedern der wheel Gruppe root-Zugriff über sudo zu geben

Template:Root console

Eine ausführliche Beschreibung weshalb Dateien in dem Verzeichnis /etc/sudoers.d/ auf diese Art benannt werden kann aus der Anleitung bzw. Beschreibung der sudoer Datei entnommen werden:

Konsole.png
[user@computer ~]$ man sudoers


Um die Beschreibung hierzu zu finden, während "man sudoers" ausgeführt wird, suche nach "etc/sudoers.d", gefolgt durch ein "/" Zeichen und der Eingabe von: /etc/sudoers.d

Schritt 3: Benutzer in die wheel Gruppe hinzufügen um ihnen root Privilegien zu geben

Es ist viel einfacher eine Liste an Benutzer, welche root Zugriff erhalten, zu pflegen indem man diese in die Gruppe hinzufügt oder aus dieser löscht.
Das verwenden der wheel Gruppe hat hierfür auf Unix und Unix-ähnlichen Systemen historische Hintergründe.

Sie können die Benutzer zu dieser Gruppe über (mindestens) zwei Möglichkeiten hinzufügen:

  • Verwenden des Mageia Kontrollzentrums:

System -> Benutzerverwaltung -> Wähle den Benutzer aus -> Bearbeiten -> für die jeweiligen Benutzer: wähle "Gruppen" und aktiviere den "wheel" Gruppeneintrag

  • Verwenden der Befehlszeilen Oberfläche:

Bearbeite /etc/group und aktualisiere den Eintrag für wheel durch das hinzufügen der Benutzernamen, welche mit einem Komma unter dem Eintrag wheel abgegrenzt werden.
Im folgenden Beispiel werden wir die Benutzer: ken und dennis in die wheel Gruppe mit aufnehmen.

Ändere:

wheel:x:10:

Nach:

wheel:x:10:ken,dennis

Schritt 4: Neu in die wheel Gruppe hinzugefügte Benutzer müssen sich womöglich nochmals abmelden und anmelden

Falls ein Benutzer, welcher gerade neu in die wheel Gruppe hinzugefügt wurde währenddessen an seinem System angemeldet ist, muss dieser sich vom System abmelden und erneut anmelden, damit dieser Zugriff auf die sudo Funktionen bekommen kann.

Verwenden von sudo

Nachdem sudo installiert und konfiguriert ist, wie weiter oben beschrieben, können die Benutzer der wheel Gruppe sudo verwenden, um root Befehle auszuführen.

Beispiel 1 - um alle vorhandenen Aktualisierungen zu installieren: Template:Sudo

Beispiel 2 - Aufrufen einer root Shell Template:Sudo to root Hier bewirkt die sudo "-i" Option, dass beim start die Shell so eingestellt ist, als wäre man als root angemeldet (und hat die Umgebung wie unter root).
Der Prompt wird als root-Prompt angezeigt und sieht unter dem Gnome Terminal nun folgendermaßen aus : "root@att.com".

Tipps

Tipp 1: Das nutzen von root verhindern

Verhindere das verwenden des Root Zugangs so oft wie möglich.
Falls Sie wirklich den Zugriff als root benötigen dann nutzen Sie diesen, jedoch ist es sicherer den Zugriff als root, bei Aktionen welche kein root erfordern, nicht zu verwenden.

Tipp 2: Bei Terminalzugängen mit Tabs, nutze einen Tab für root

Falls Sie ein Terminal welches die Nutzung von Tabs ermöglicht verwenden (z.B. wie das Gnome Terminal) ist es praktisch einen Tab mit der root Shell zu öffnen und einen weiteren Tab ohne root Rechte.
Dies erspart den Wechsel und somit das an- und abmelden von root, da man einfach den Tab des Terminals auswählen kann in welchem man arbeiten möchte.

Tipp 3: Nutze immer den vollständigen Pfadnamen für Befehle die nach dem Passwort fragen

Anstatt den Befehl sudo zu verwenden, nutze den Befehl /bin/sudo. (Dies trifft auch auf /bin/su zu, anstatt einfach su zu nutzen.)

Weshalb? Für jeden Befehl, welcher Sie nach dem Passwort fragt, ist es sicherer den kompletten Pfad zu verwenden (statt nur den Befehlsnamen).

Eine Technik welche von Hacker verwendet wird ist es, auf Ihr Vertrauen zu setzen, dass wenn Sie sudo eingeben, Sie glauben, dass Sie wirklich sudo verwenden.
Falls ein Hacker Zugriff auf Ihren Zugang erhält, kann dieser $PATH (den Pfad) ändern und ein manipuliertes sudo aufrufen, welches nach Ihrem Passwort fragt, eine Fehlermeldung anzeigt und anschließend das echte sudo ausführt.


Der Benutzer denkt "Oh, ich habe mich beim Passwort vertippt. Gebe ich es nochmals ein".

Tipp 4: Die sudo Nutzung beobachten

Die Protokolldatei für sudo befindet sich unter var/log/sudo.log.

Schauen Sie sich die Protokolldatei von Zeit zu Zeit an um zu verstehen was eine "normale" sudo Aktivität auf Ihrem System ist. Beachte den Datum/Zeit und TTY Wert in dem Protokoll. Schenke seltsamen oder unüblichen Protokolleinträge Beachtung. Zum Beispiel wenn sudo zu einer Zeit ausgeführt wird, in der niemand das System verwendet oder über TTY nicht wie üblich verwendet wird.

Links

Wikipedia https://de.wikipedia.org/wiki/Sudo
sudo in a nutshell (englisch) http://www.sudo.ws/sudo/intro.html
sudo sandwich http://xkcd.com/149/
Ken Thomson https://de.wikipedia.org/wiki/Ken_Thompson
Dennis Ritchie https://de.wikipedia.org/wiki/Dennis_Ritchie