Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge


lpi1:sudo

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu der Vergleichsansicht

lpi1:sudo [2019/10/07 20:19]
lpi1:sudo [2023/09/13 15:59] (aktuell)
Zeile 1: Zeile 1:
 +====== Voraussetzungen ======
 +  * [[admin_grundlagen:​benutzerverwaltung|Benutzer und Gruppen]] anlegen
 +  * [[admin_grundlagen:​default-commands|Default Editor]] ändern
  
 +====== Bedienung von sudo als Nutzer ======
 +Was darf ich mit sudo tun?
 +  sudo -l
 +
 +Einen Befehl als root ausführen:
 +  sudo hostname neuer-name
 +
 +Eine Datei als root bearbeiten: (( Achtung: update-alternatives ist Debian-spezifisch ))
 +  sudo update-alternatives --config editor
 +  sudo -e /​etc/​hostname
 +
 +Eine root-Login-Shell starten:
 +  sudo -i
 +
 +====== root-Rechte vergeben mit visudo ======
 +=== Dem Nutzer nutzer05 erlauben den aktuellen Hostnamen zu ändern ===
 +  visudo -f /​etc/​sudoers.d/​hostname_admins
 +
 +<file txt>
 +nutzer05 ALL=(root) /​usr/​bin/​hostname neuer-name
 +</​file>​
 +
 +=== Dem Nutzer nutzer05 erlauben die Datei /​etc/​hostname zu bearbeiten ===
 +  visudo -f /​etc/​sudoers.d/​hostname_admins
 +
 +<file txt>
 +nutzer05 ALL=(root) sudoedit /​etc/​hostname
 +</​file>​
 +
 +=== Der Gruppe admins erlauben den Hostnamen zu ändern ===
 +[[admin_grundlagen:​benutzerverwaltung|Gruppe]] admins anlegen, dann:
 +  visudo -f /​etc/​sudoers.d/​hostname_admins
 +
 +<file txt>
 +%admins ALL=(root) /​usr/​bin/​hostname *
 +%admins ALL=(root) sudoedit /​etc/​hostname
 +%admins ALL=(root) /​usr/​bin/​hostnamectl set-hostname *
 +</​file>​
 +
 +=== sudo ohne exec ===
 +So kann man verhindern, dass ein Prozess weitere Prozesse startet
 +  nutzer31 ALL=(ALL) NOEXEC: /​usr/​bin/​less /​var/​log/​messages
 +
 +=== sudo ohne Passwort ===
 +  visudo -f /​etc/​sudoers.d/​admins
 +<file txt>
 +%admins ALL=(ALL) NOPASSWD: ALL
 +</​file>​
 +
 +=== Übung: problematische Einstellungen in /​etc/​sudoers ===
 +Wo ist das Problem bei folgender Einstellung:​
 +  visudo -f /​etc/​sudoers.d/​dangerous_glob
 +
 +<file txt>
 +nutzer05 ALL=(root) /usr/bin/ip link set mtu * dev enp0s25
 +</​file>​
 +
 +Wo ist das Problem bei folgender Einstellung:​
 +  visudo -f /​etc/​sudoers.d/​dangerous_command
 +
 +<file txt>
 +nutzer05 ALL=(root) /​usr/​bin/​vim /​etc/​hostname
 +</​file>​
 +
 +
 +====== X11 mit sudo ======
 +[[X#​sudo_pam]]
 +
 +====== Bücher ======
 +
 +Michael W. Lucas: Sudo Mastery: User Access Control for Real People: [[https://​www.tiltedwindmillpress.com/?​product=sudo-mastery-user-access-control-for-everyone]]