Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
admin_grundlagen:sudo [2016/08/09 13:07] stefan_miethke [''sudo'' konfigurieren] |
admin_grundlagen:sudo [2023/09/13 15:59] (aktuell) sh |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== root-Rechte mit sudo ====== | + | ====== Voraussetzungen ====== |
- | root-Rechte für Mitglieder der Gruppe ''admin'' einrichten: | + | * [[admin_grundlagen:benutzerverwaltung|Benutzer und Gruppen]] anlegen |
+ | * [[admin_grundlagen:default-commands|Default Editor]] ändern | ||
- | ==== Gruppe ''admin'' anlegen ==== | + | ====== Bedienung von sudo als Nutzer ====== |
- | groupadd admin | + | Was darf ich mit sudo tun? |
- | ==== Benutzer ''nutzer05'' zu Gruppe ''admin'' hinzufügen ==== | + | sudo -l |
- | === SuSE === | + | |
- | groupmod -A nutzer05 admin | + | |
- | === Debian === | + | |
- | adduser nutzer05 admin | + | |
- | ==== ''sudo'' konfigurieren ==== | + | |
- | visudo | + | |
- | <file> | + | |
- | %admin ALL=(ALL) ALL | + | |
- | nutzer06 ALL=(ALL) /usr/bin/cat /var/log/messages | + | Einen Befehl als root ausführen: |
- | nutzer06 ALL=(ALL) sudoedit /etc/hosts | + | sudo hostname neuer-name |
+ | |||
+ | Eine Datei als root bearbeiten: (( Achtung: update-alternatives ist Debian-spezifisch )) | ||
+ | sudo update-alternatives --config editor | ||
+ | sudo -e /etc/hostname | ||
+ | |||
+ | Eine root-Login-Shell starten: | ||
+ | sudo -i | ||
+ | |||
+ | ====== root-Rechte vergeben mit visudo ====== | ||
+ | === Dem Nutzer nutzer05 erlauben den aktuellen Hostnamen zu ändern === | ||
+ | visudo -f /etc/sudoers.d/hostname_admins | ||
+ | |||
+ | <file txt> | ||
+ | nutzer05 ALL=(root) /usr/bin/hostname neuer-name | ||
</file> | </file> | ||
+ | |||
+ | === Dem Nutzer nutzer05 erlauben die Datei /etc/hostname zu bearbeiten === | ||
+ | visudo -f /etc/sudoers.d/hostname_admins | ||
+ | |||
+ | <file txt> | ||
+ | nutzer05 ALL=(root) sudoedit /etc/hostname | ||
+ | </file> | ||
+ | |||
+ | === Der Gruppe admins erlauben den Hostnamen zu ändern === | ||
+ | [[admin_grundlagen:benutzerverwaltung|Gruppe]] admins anlegen, dann: | ||
+ | visudo -f /etc/sudoers.d/hostname_admins | ||
+ | |||
+ | <file txt> | ||
+ | %admins ALL=(root) /usr/bin/hostname * | ||
+ | %admins ALL=(root) sudoedit /etc/hostname | ||
+ | %admins ALL=(root) /usr/bin/hostnamectl set-hostname * | ||
+ | </file> | ||
+ | |||
+ | === sudo ohne exec === | ||
+ | So kann man verhindern, dass ein Prozess weitere Prozesse startet | ||
+ | nutzer31 ALL=(ALL) NOEXEC: /usr/bin/less /var/log/messages | ||
+ | |||
+ | === sudo ohne Passwort === | ||
+ | visudo -f /etc/sudoers.d/admins | ||
+ | <file txt> | ||
+ | %admins ALL=(ALL) NOPASSWD: ALL | ||
+ | </file> | ||
+ | |||
+ | === Übung: problematische Einstellungen in /etc/sudoers === | ||
+ | Wo ist das Problem bei folgender Einstellung: | ||
+ | visudo -f /etc/sudoers.d/dangerous_glob | ||
+ | |||
+ | <file txt> | ||
+ | nutzer05 ALL=(root) /usr/bin/ip link set mtu * dev enp0s25 | ||
+ | </file> | ||
+ | |||
+ | Wo ist das Problem bei folgender Einstellung: | ||
+ | visudo -f /etc/sudoers.d/dangerous_command | ||
+ | |||
+ | <file txt> | ||
+ | nutzer05 ALL=(root) /usr/bin/vim /etc/hostname | ||
+ | </file> | ||
+ | |||
+ | |||
====== X11 mit sudo ====== | ====== X11 mit sudo ====== | ||
[[X#sudo_pam]] | [[X#sudo_pam]] |