Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge


lpi1:sudo

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
lpi1:sudo [2013/12/13 14:31]
ingo_wichmann
lpi1:sudo [2023/09/13 15:59] (aktuell)
Zeile 1: Zeile 1:
-====== ​root-Rechte mit sudo ====== +====== ​Voraussetzungen ​====== 
-root-Rechte für Mitglieder der Gruppe ''​admin''​ einrichten:+  * [[admin_grundlagen:benutzerverwaltung|Benutzer und Gruppen]] anlegen 
 +  * [[admin_grundlagen:​default-commands|Default Editor]] ändern
  
-==== Gruppe ''​admin''​ anlegen ​==== +====== ​Bedienung von sudo als Nutzer ​====== 
-  groupadd admin +Was darf ich mit sudo tun? 
-==== Benutzer ''​nutzer05''​ zu Gruppe ''​admin''​ hinzufügen ​==== +  sudo -l 
-=== SuSE === + 
-  groupmod ​-A nutzer05 admin  +Einen Befehl als root ausführen:​ 
-=== Debian ​=== +  sudo hostname neuer-name 
-  adduser nutzer05 admin + 
-==== ''​sudo''​ konfigurieren ==== +Eine Datei als root bearbeiten: (( Achtung: update-alternatives ist Debian-spezifisch )) 
-  visudo +  sudo update-alternatives --config editor 
-<​file>​ +  sudo -e /​etc/​hostname 
-%admin ​ALL=(ALLALL+ 
 +Eine root-Login-Shell starten: 
 +  sudo -i 
 + 
 +====== ​root-Rechte vergeben mit visudo ​====== 
 +=== Dem Nutzer nutzer05 erlauben den aktuellen Hostnamen zu ändern ​=== 
 +  visudo ​-f /​etc/​sudoers.d/​hostname_admins 
 + 
 +<​file ​txt
 +nutzer05 ​ALL=(root/​usr/​bin/​hostname neuer-name
 </​file>​ </​file>​
 +
 +=== Dem Nutzer nutzer05 erlauben die Datei /​etc/​hostname zu bearbeiten ===
 +  visudo -f /​etc/​sudoers.d/​hostname_admins
 +
 +<file txt>
 +nutzer05 ALL=(root) sudoedit /​etc/​hostname
 +</​file>​
 +
 +=== Der Gruppe admins erlauben den Hostnamen zu ändern ===
 +[[admin_grundlagen:​benutzerverwaltung|Gruppe]] admins anlegen, dann:
 +  visudo -f /​etc/​sudoers.d/​hostname_admins
 +
 +<file txt>
 +%admins ALL=(root) /​usr/​bin/​hostname *
 +%admins ALL=(root) sudoedit /​etc/​hostname
 +%admins ALL=(root) /​usr/​bin/​hostnamectl set-hostname *
 +</​file>​
 +
 +=== sudo ohne exec ===
 +So kann man verhindern, dass ein Prozess weitere Prozesse startet
 +  nutzer31 ALL=(ALL) NOEXEC: /​usr/​bin/​less /​var/​log/​messages
 +
 +=== sudo ohne Passwort ===
 +  visudo -f /​etc/​sudoers.d/​admins
 +<file txt>
 +%admins ALL=(ALL) NOPASSWD: ALL
 +</​file>​
 +
 +=== Übung: problematische Einstellungen in /​etc/​sudoers ===
 +Wo ist das Problem bei folgender Einstellung:​
 +  visudo -f /​etc/​sudoers.d/​dangerous_glob
 +
 +<file txt>
 +nutzer05 ALL=(root) /usr/bin/ip link set mtu * dev enp0s25
 +</​file>​
 +
 +Wo ist das Problem bei folgender Einstellung:​
 +  visudo -f /​etc/​sudoers.d/​dangerous_command
 +
 +<file txt>
 +nutzer05 ALL=(root) /​usr/​bin/​vim /​etc/​hostname
 +</​file>​
 +
 +
 ====== X11 mit sudo ====== ====== X11 mit sudo ======
 [[X#​sudo_pam]] [[X#​sudo_pam]]
 +
 +====== Bücher ======
 +
 +Michael W. Lucas: Sudo Mastery: User Access Control for Real People: [[https://​www.tiltedwindmillpress.com/?​product=sudo-mastery-user-access-control-for-everyone]]
lpi1/sudo.1386945107.txt.gz · Zuletzt geändert: 2013/12/13 14:31 von ingo_wichmann