Sudo

Aus DebianforumWiki
Wechseln zu: Navigation, Suche
WikiSicherheit ‹ Sudo


Baustelle.png Baustelle: Dieser Artikel ist eine Baustelle. Das heißt, jemand hat sich dieses Artikels angenommen und überarbeitet ihn gerade.


Getestet.png Getestet: Dieser Hinweis soll dir dabei helfen, zu entscheiden, ob dieser Artikel auf deinem System funktionieren wird oder nicht. Solltest du feststellen, dass dieser Artikel bei einer ungetestet Version funktioniert, kannst du das gerne hier korrigieren oder im Forum anmerken.



Sudo kann nützlich sein, wenn man sich nicht ständig direkt als Root anmelden möchte, denn es besteht immer die Gefahr, dass der Root-Login (#) vergessen wird und böse Menschen hätten somit vollen Zugriff, auf das System. Mit sudo wird ein Befehl mit erhöhten Berechtigungen ausgeführt und danach sind die ursprünglichen (User) Berechtigungen wieder vorhanden.

Konfiguration

Ein Problem der Debian-Sudo-Konfiguration ist, dass ein normaler Benutzer mit seinem Benutzerkennwort Rootberechtigungen erlangen kann und dass diese Anmeldung per Standardeinstellungen, 15 Minuten aktiv ist.

Dieses Problem kann behoben werden, in dem man in der Konfigurationsdatei

root@debian:~# visudo /etc/sudoers

die Zeile:

Defaults env_reset

durch

Defaults env_reset, targetpw, timestamp_timeout = 0

ergänzt.

Befehlserläuterung

  • targetpw - Es wird immer das Rootkennwort gefordert
  • timestamp_timeout - Zeitbeschränkung des Befehls
  • 0 - Zeit in Minuten, die der ausgeführte Befehl gültig ist, bei 0 Minuten muss jeder Befehl mit einer wiederholten Kennworteingabe bestätigt werden.

erweiterte Optionen

  • User_Alias FU_USER = user1, user2, user3 - nur bestimmten Usern, Sudo-Berechtigungen vergeben
  • User_Alias FU_ADMIN = user4 - bestimmten Nutzern das Anmelden als root erlauben

User-Befehls-Beschränkungen

  • FU_USER ALL = /usr/bin/dpkg, /usr/bin/apt-get, /usr/bin/aptitute
  • FU_USER ALL = NOPASSWD: /sbin/halt, /sbin/shutdown
  • FU_ADMIN ALL = (ALL:ALL) ALL NOPASSWD: ALL

Systemweite Übernahme

  • ALL ALL=(ALL:ALL) ALL - allen Benutzern, das Benutzen von Sudo erlauben