Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge


lpi1:sudo

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Nächste Überarbeitung
Vorherige Überarbeitung
lpi1:sudo [2008/04/23 10:47]
127.0.0.1 Externe Bearbeitung
lpi1:sudo [2023/09/13 15:59] (aktuell)
Zeile 1: Zeile 1:
-====== ​root-Rechte mit sudo ====== +====== ​Voraussetzungen ​====== 
-Sudo aktivieren (SuSE) +  * [[admin_grundlagen:​benutzerverwaltung|Benutzer und Gruppen]] anlegen 
-  ​visudo +  ​* [[admin_grundlagen:​default-commands|Default Editor]] ändern
-<​file> ​   Unter # Defaults specification beide Zeilen auskommentieren +
-    Unter # Uncomment to allow people in group wheel to run all commands +
-      %admin ​ ALL=(ALL) ​      ​ALL</​file>​+
  
-Gruppe ''​admin''​ anlegen: +====== Bedienung von sudo als Nutzer ====== 
-  ​groupadd admin +Was darf ich mit sudo tun? 
-Benutzer ''​nutzer05''​ zu Gruppe ''​admin''​ hinzufügen (SuSE)+  ​sudo -l 
-  ​groupmod ​-A nutzer05 admin  + 
-Benutzer ''​nutzer05''​ zu Gruppe ''​admin''​ hinzufügen ​(Debian): +Einen Befehl als root ausführen
-  ​adduser nutzer05 admin +  ​sudo hostname neuer-name 
-''​sudo''​ konfigurieren+ 
-  visudo +Eine Datei als root bearbeiten: ​(( Achtung: update-alternatives ist Debian-spezifisch )
-<​file>​ +  ​sudo update-alternatives --config editor 
-%admin ​ALL=(ALLALL+  sudo -e /​etc/​hostname 
 + 
 +Eine root-Login-Shell starten
 +  ​sudo -i 
 + 
 +====== root-Rechte vergeben mit visudo ​====== 
 +=== Dem Nutzer nutzer05 erlauben den aktuellen Hostnamen zu ändern === 
 +  visudo -f /​etc/​sudoers.d/​hostname_admins 
 + 
 +<​file ​txt
 +nutzer05 ​ALL=(root/​usr/​bin/​hostname neuer-name
 </​file>​ </​file>​
  
 +=== Dem Nutzer nutzer05 erlauben die Datei /​etc/​hostname zu bearbeiten ===
 +  visudo -f /​etc/​sudoers.d/​hostname_admins
 +
 +<file txt>
 +nutzer05 ALL=(root) sudoedit /​etc/​hostname
 +</​file>​
 +
 +=== Der Gruppe admins erlauben den Hostnamen zu ändern ===
 +[[admin_grundlagen:​benutzerverwaltung|Gruppe]] admins anlegen, dann:
 +  visudo -f /​etc/​sudoers.d/​hostname_admins
 +
 +<file txt>
 +%admins ALL=(root) /​usr/​bin/​hostname *
 +%admins ALL=(root) sudoedit /​etc/​hostname
 +%admins ALL=(root) /​usr/​bin/​hostnamectl set-hostname *
 +</​file>​
 +
 +=== sudo ohne exec ===
 +So kann man verhindern, dass ein Prozess weitere Prozesse startet
 +  nutzer31 ALL=(ALL) NOEXEC: /​usr/​bin/​less /​var/​log/​messages
 +
 +=== sudo ohne Passwort ===
 +  visudo -f /​etc/​sudoers.d/​admins
 +<file txt>
 +%admins ALL=(ALL) NOPASSWD: ALL
 +</​file>​
 +
 +=== Übung: problematische Einstellungen in /​etc/​sudoers ===
 +Wo ist das Problem bei folgender Einstellung:​
 +  visudo -f /​etc/​sudoers.d/​dangerous_glob
 +
 +<file txt>
 +nutzer05 ALL=(root) /usr/bin/ip link set mtu * dev enp0s25
 +</​file>​
 +
 +Wo ist das Problem bei folgender Einstellung:​
 +  visudo -f /​etc/​sudoers.d/​dangerous_command
 +
 +<file txt>
 +nutzer05 ALL=(root) /​usr/​bin/​vim /​etc/​hostname
 +</​file>​
 +
 +
 +====== X11 mit sudo ======
 +[[X#​sudo_pam]]
 +
 +====== Bücher ======
 +
 +Michael W. Lucas: Sudo Mastery: User Access Control for Real People: [[https://​www.tiltedwindmillpress.com/?​product=sudo-mastery-user-access-control-for-everyone]]
lpi1/sudo.txt · Zuletzt geändert: 2023/09/13 15:59 (Externe Bearbeitung)