====== Voraussetzungen ======
* [[admin_grundlagen:benutzerverwaltung|Benutzer und Gruppen]] anlegen
* [[admin_grundlagen:default-commands|Default Editor]] ändern
====== Bedienung von sudo als Nutzer ======
Was darf ich mit sudo tun?
sudo -l
Einen Befehl als root ausführen:
sudo hostname neuer-name
Eine Datei als root bearbeiten: (( Achtung: update-alternatives ist Debian-spezifisch ))
sudo update-alternatives --config editor
sudo -e /etc/hostname
Eine root-Login-Shell starten:
sudo -i
====== root-Rechte vergeben mit visudo ======
=== Dem Nutzer nutzer05 erlauben den aktuellen Hostnamen zu ändern ===
visudo -f /etc/sudoers.d/hostname_admins
nutzer05 ALL=(root) /usr/bin/hostname neuer-name
=== Dem Nutzer nutzer05 erlauben die Datei /etc/hostname zu bearbeiten ===
visudo -f /etc/sudoers.d/hostname_admins
nutzer05 ALL=(root) sudoedit /etc/hostname
=== Der Gruppe admins erlauben den Hostnamen zu ändern ===
[[admin_grundlagen:benutzerverwaltung|Gruppe]] admins anlegen, dann:
visudo -f /etc/sudoers.d/hostname_admins
%admins ALL=(root) /usr/bin/hostname *
%admins ALL=(root) sudoedit /etc/hostname
%admins ALL=(root) /usr/bin/hostnamectl set-hostname *
=== sudo ohne exec ===
So kann man verhindern, dass ein Prozess weitere Prozesse startet
nutzer31 ALL=(ALL) NOEXEC: /usr/bin/less /var/log/messages
=== sudo ohne Passwort ===
visudo -f /etc/sudoers.d/admins
%admins ALL=(ALL) NOPASSWD: ALL
=== Übung: problematische Einstellungen in /etc/sudoers ===
Wo ist das Problem bei folgender Einstellung:
visudo -f /etc/sudoers.d/dangerous_glob
nutzer05 ALL=(root) /usr/bin/ip link set mtu * dev enp0s25
Wo ist das Problem bei folgender Einstellung:
visudo -f /etc/sudoers.d/dangerous_command
nutzer05 ALL=(root) /usr/bin/vim /etc/hostname
====== X11 mit sudo ======
[[X#sudo_pam]]
====== Bücher ======
Michael W. Lucas: Sudo Mastery: User Access Control for Real People: [[https://www.tiltedwindmillpress.com/?product=sudo-mastery-user-access-control-for-everyone]]