Inhaltsverzeichnis

Voraussetzungen

Bedienung von sudo als Nutzer

Was darf ich mit sudo tun? 

sudo -l

Einen Befehl als root ausführen: 

sudo hostname neuer-name

Eine Datei als root bearbeiten: 1) 

sudo update-alternatives --config editor
sudo -e /etc/hostname

Eine root-Login-Shell starten: 

sudo -i

root-Rechte vergeben mit visudo

Dem Nutzer nutzer05 erlauben den aktuellen Hostnamen zu ändern

visudo -f /etc/sudoers.d/hostname_admins
nutzer05 ALL=(root) /usr/bin/hostname neuer-name

Dem Nutzer nutzer05 erlauben die Datei /etc/hostname zu bearbeiten

visudo -f /etc/sudoers.d/hostname_admins
nutzer05 ALL=(root) sudoedit /etc/hostname

Der Gruppe admins erlauben den Hostnamen zu ändern

Gruppe admins anlegen, dann: 

visudo -f /etc/sudoers.d/hostname_admins
%admins ALL=(root) /usr/bin/hostname *
%admins ALL=(root) sudoedit /etc/hostname
%admins ALL=(root) /usr/bin/hostnamectl set-hostname *

sudo ohne exec

So kann man verhindern, dass ein Prozess weitere Prozesse startet 

nutzer31 ALL=(ALL) NOEXEC: /usr/bin/less /var/log/messages

sudo ohne Passwort

visudo -f /etc/sudoers.d/admins
%admins ALL=(ALL) NOPASSWD: ALL

Übung: problematische Einstellungen in /etc/sudoers

Wo ist das Problem bei folgender Einstellung: 

visudo -f /etc/sudoers.d/dangerous_glob
nutzer05 ALL=(root) /usr/bin/ip link set mtu * dev enp0s25

Wo ist das Problem bei folgender Einstellung: 

visudo -f /etc/sudoers.d/dangerous_command
nutzer05 ALL=(root) /usr/bin/vim /etc/hostname

X11 mit sudo

sudo_pam

Bücher

Michael W. Lucas: Sudo Mastery: User Access Control for Real People: https://www.tiltedwindmillpress.com/?product=sudo-mastery-user-access-control-for-everyone

1)
Achtung: update-alternatives ist Debian-spezifisch