Das wäre doch mal eine gute Maschine für Donald T. Mit sudo (schütteln unten, dellen oben).
braucht man "sudo" ?
Re: braucht man "sudo" ?
Re: braucht man "sudo" ?
Oh Scheisse - was hab ich da nur angerichtet.......
Dennoch sind die Posts hier sehr amüsant/interessant/für mich teilweise Böhmische Dörfer......
Dennoch sind die Posts hier sehr amüsant/interessant/für mich teilweise Böhmische Dörfer......
Re: braucht man "sudo" ?
Ein Fazit ist einfach. Du hast mit dem deinstall keinesfalls etwas falsches gemacht. Debian ist so ausgestaltet, dass es vorrangig auch ohne sudo funktioniert. Wer es will oder sich der Risiken nicht bewusst ist oder die Risiken aus Überzeugung ignoriert, kann es nutzen....er muss nicht, aber er kann. Und um auf die Eingangsfrage zu kommen, nein, man braucht es nicht um Debian zu benutzen. Hier besteht ein kleiner konzeptioneller Unterschied zwischen Debian, Ubuntu und Mint
Re: braucht man "sudo" ?
... und auch ein Unterschied zum anderen Lieblingsthema: Systemd. Denn da hat man diese Wahlfreiheit nicht in gleicher Weise.TomL hat geschrieben:30.11.2017 10:06:27Und um auf die Eingangsfrage zu kommen, nein, man braucht es nicht um Debian zu benutzen. Hier besteht ein kleiner konzeptioneller Unterschied zwischen Debian, Ubuntu und Mint
(Ich weiss, ich weiss, aber der Thread war schon am Einschlafen. )
Use ed once in a while!
- TRex
- Moderator
- Beiträge: 8074
- Registriert: 23.11.2006 12:23:54
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: KA
Re: braucht man "sudo" ?
Sachliche/informative Beiträge werden übrigens von der Moderation gelöscht, damits hier schön warm bleibt.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: braucht man "sudo" ?
Ich bin mir sicher, dass ich vor längerer Zeit auch Mint ohne Sudo benutzt habe. Ich will damit sagen, man braucht es auch bei Mint nicht. Ich denke bei Ubuntu ist es genauso, möchte da aber nicht zu sachlich werden.TomL hat geschrieben:30.11.2017 10:06:27Und um auf die Eingangsfrage zu kommen, nein, man braucht es nicht um Debian zu benutzen. Hier besteht ein kleiner konzeptioneller Unterschied zwischen Debian, Ubuntu und Mint
Re: braucht man "sudo" ?
Das ist richtig, Ubuntu braucht das auch nicht. Ich habe ne VM, in der das auch entfernt ist. Mir ging's eigentlich eher um den vom Installer gewählten Default-Weg, und da hatte bei U und M root imho zuerst kein Pwd, aber der Installer-User ist in der Gruppe sudo eingetragen. Allerdings ist mir nicht bekannt, ob das in den aktuellen Versionen immer noch so ist.thoerb hat geschrieben:30.11.2017 12:11:05Ich bin mir sicher, dass ich vor längerer Zeit auch Mint ohne Sudo benutzt habe. Ich will damit sagen, man braucht es auch bei Mint nicht. Ich denke bei Ubuntu ist es genauso, möchte da aber nicht zu sachlich werden.
Aber was m.M.n. noch wichtiger ist, ist die Haltung der Community. Mir wurde ganz klar vom root-Pwd abgeraten und dann festgestellt, dass sudo der gewählte Ubuntu-Pfad ist, dem man besser folgen soll... aus Sicherheitsaspekten. Tja....
- novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: braucht man "sudo" ?
Welche Risiken sind denn dem Programm sudo inhärent?TomL hat geschrieben:30.11.2017 10:06:27Wer es will oder sich der Risiken nicht bewusst ist oder die Risiken aus Überzeugung ignoriert, kann es nutzen....er muss nicht, aber er kann.
Natürlich kann die Rechtedelegation über sudo scheiße konfiguriert sein, das kriegt man aber auch mit anderen Methoden hin. Man kann z.B. auch "root:root" als credentials vergeben. Wie "risikolos" ist in diesem Fall su?
Wenn Du auf Debian sudo installierst ändert sich an der effektiven Rechtedelegation zunächst einmal gar nichts. In der sudoers ist lediglich konfiguriert, dass root alles darf und Mitglieder der Gruppe "sudo"[*]. Wenn der Admin da keinen user explizit rein schreibt, ist also erst mal noch gar nichts geschehen.
Richtig ist allerdings, dass mit dieser Holzhammermethode, über die Gruppenmitgliedschaft einem user sämtliche Rechte zu gewähren, nicht gerade ein Sicherheitszugewinn zu erreichen ist, vor allen Dingen nicht, wenn man eh schon einen root-Account hat und mit su arbeiten kann.
Meine Faustregel:
Willst Du eine einfache Brot-und-Butter-Rechtedelegation, ist sudo nicht das Mittel der Wahl.
Hast Du in diesem Bereich feingranulierte Anforderungen:
Code: Alles auswählen
man sudoers
[*] Wobei ich mir relativ sicher bin, dass es diesen Eintrag früher so nicht in der Standard-Konfig gab. In meinen Augen ist solch eine Vorlage tendenziell fahrlässig.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.
Re: braucht man "sudo" ?
Also für mich ist sudo lebensnotwendig.
Von wegen man braucht das nicht:Linux-User zu seiner Frau: «Mach mir ein Sandwich!»
Sie: «Warum? Ich bin nicht dein Sklave.»
Linux-User:Code: Alles auswählen
SUDO mach mir ein Sandwich
Re: braucht man "sudo" ?
Hmm,
Code: Alles auswählen
sudo make me a sandwisch
make: *** No rule to make target `me'. Stop.
Re: braucht man "sudo" ?
Die xkcd-Comics stehen unter CC by-nc! Ich fix das mal für dich:geier22 hat geschrieben:30.11.2017 16:17:32Linux-User zu seiner Frau: «Mach mir ein Sandwich!»
Sie: «Warum? Ich bin nicht dein Sklave.»
Linux-User:Code: Alles auswählen
SUDO mach mir ein Sandwich
https://xkcd.com/149/
Re: braucht man "sudo" ?
Da hatte ich es aber nicht her. Hatte mir das irgendwann mal in meiner Sprüchesammlung gespeichert.hikaru hat geschrieben:30.11.2017 16:39:39Die xkcd-Comics stehen unter CC by-nc! Ich fix das mal für dich:
https://xkcd.com/149/
Aber Ok- gleich ne neue Seite kennengelernt.
- Cruarccred
- Beiträge: 20
- Registriert: 28.07.2017 07:43:44
Re: braucht man "sudo" ?
Achja, ist wohl eins der berühmtesten Comics, die auch Windowsuser kennen, aber nicht so Recht verstehen.
- DynaBlaster
- Beiträge: 958
- Registriert: 25.03.2004 18:18:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: DF0://dynablaster.adf
Re: braucht man "sudo" ?
Jetzt mal ein sinnvoller Einsatz für sudo - zugegebenermassen aus dem Serverbetrieb. Auf dem Desktop sehe ich den Sinn auch nicht.
Ich habe eine ganze Zeit lang ein grosses Nagios/Icinga-Setup mit mehr als 1000 Hosts administriert und da wurden auf den Linux-Servern mit Nagios/Icinga-Clients bspw. alle hardware-nahen Checks des Systemstatus mit sudo für den Benutzer nagios geregelt. Klar hätte ich die Nagios-Prozesse auch im Root-Kontext laufen lassen können, aber irgendwie war ich wohl zu feige
Sachen, die der User nagios bspw. nicht durfte, die ich aber durchaus im Nagios geprüft haben wollte, waren Festplattenausfälle in Hardware-RAID-Controllern oder ob bestimmte Systemprozesse gestartet waren, usw.. Da das automatisiert ablaufen musste, gab es halt ein paar Kommandos, die der nagios-Prozess mittels sudo ausführen durfte.
Ich habe eine ganze Zeit lang ein grosses Nagios/Icinga-Setup mit mehr als 1000 Hosts administriert und da wurden auf den Linux-Servern mit Nagios/Icinga-Clients bspw. alle hardware-nahen Checks des Systemstatus mit sudo für den Benutzer nagios geregelt. Klar hätte ich die Nagios-Prozesse auch im Root-Kontext laufen lassen können, aber irgendwie war ich wohl zu feige
Sachen, die der User nagios bspw. nicht durfte, die ich aber durchaus im Nagios geprüft haben wollte, waren Festplattenausfälle in Hardware-RAID-Controllern oder ob bestimmte Systemprozesse gestartet waren, usw.. Da das automatisiert ablaufen musste, gab es halt ein paar Kommandos, die der nagios-Prozess mittels sudo ausführen durfte.
-
- Beiträge: 3792
- Registriert: 26.02.2009 14:35:56
Re: braucht man "sudo" ?
... und genau dafür ist das gedacht. Ich benutze es z. B in einer automatischen Jobverwaltung für backups - aber mit genau definierten Befehlen inklusive komplettem Pfad. Will wegen sowas die Jobverwaltung (Eigenes in Cobol geschriebenes Tool) nicht als Root laufen lassen.
- Animefreak79
- Beiträge: 299
- Registriert: 25.11.2017 12:29:51
- Lizenz eigener Beiträge: GNU General Public License
Re: braucht man "sudo" ?
Als stinknormaler Desktop-User wohl eher nicht. Ich habe einen normalen Benutzeraccount gänzlich ohne sudo, und (natürlich) einen Account, der auf den Namen root hört. XD Als root würde ich mich nur anmelden, wenn ich neue Software zu installieren habe, oder eben mein System aktualisieren möchte, wobei ich mich regelmäßig auf debian.org informiere, ob es neue Sicherheitsupdates gibt, um mich so selten wie möglich als root anmelden zu müssen, nur um zu überprüfen, ob neue Updates vefügbar sind. Klar, wenn ich meine Logfiles überprüfen will (was ich einmal in der Woche tue), melde ich mich ebenfalls als root an... Oder eben, wenn Kofigurationsdateien im Ordner /etc verändert werden müssen, aber so etwas sollte ja eigentlich auch nicht die Regel sein, wenn das System erst einmal fertig eingerichtet ist. Ich lege einfach Wert auf ein funktionierendes Desktopsystem, das einfach laufen soll. Das man mit einem root-Konto nicht im Internet surft, was zockt oder mit einem Officeprogramm arbeitet, sollte wohl selbstverständlich sein, oder? Und wenn ich mal Superuserrechte benötige... Warum mich dann nicht einfach als root anmelden, die entsprechende Konfiguartionsaufgabe ausführen, mich wieder abmelden, mit meinem normalen Benutzerkonto wieder anmelden und normal weiterarbeiten?
~ Never change a flying system ~
Re: braucht man "sudo" ?
Was ich mir für die Zukunft wünschen würde:
Es sollte bei Linux eine bessere Abgrenzung von Netzwerk (Server) Systemen zu einem einfachen
Desktop- System geben.
Auf Desktop- Systemen (wie die Meisten es hier wohl nutzen) wird m.E. viel zu oft das root- PW angefordert.
Beispiel: Die Netzwerkverbindung via eth0 ist sozusagen obligatorisch und funktioniert automatisch.
Will ich mich hingegen über einen USB- Stick mit der Außenwelt verbinden, kommt ein Feuerwerk von PW- Abfragen,
was in einer Desktop- Umgebung absolut unnötig und mehr als nervig ist.
Das leidige PW- Abfrage- Fenster bei ksystemlog existiert glaube ich immer noch mit dem großen Geheimnis, das man das root- PW nicht eingeben braucht
Ich denke, dass da in letzter Zeit einiges verwässert und durcheinander gekommen ist.
Sudo auf einem Desktop - System ist absolut unnötig und verwirrend. Root oder nicht- Root wäre richtig.
In Firmen- Netzwerken macht Sudo aber unter Umständen Sinn.
Der Installer sollte also fragen, wofür das System benutzt wird, und dementsprechend sudo vorschlagen oder es lassen.
Es sollte bei Linux eine bessere Abgrenzung von Netzwerk (Server) Systemen zu einem einfachen
Desktop- System geben.
Auf Desktop- Systemen (wie die Meisten es hier wohl nutzen) wird m.E. viel zu oft das root- PW angefordert.
Beispiel: Die Netzwerkverbindung via eth0 ist sozusagen obligatorisch und funktioniert automatisch.
Will ich mich hingegen über einen USB- Stick mit der Außenwelt verbinden, kommt ein Feuerwerk von PW- Abfragen,
was in einer Desktop- Umgebung absolut unnötig und mehr als nervig ist.
Das leidige PW- Abfrage- Fenster bei ksystemlog existiert glaube ich immer noch mit dem großen Geheimnis, das man das root- PW nicht eingeben braucht
Ich denke, dass da in letzter Zeit einiges verwässert und durcheinander gekommen ist.
Sudo auf einem Desktop - System ist absolut unnötig und verwirrend. Root oder nicht- Root wäre richtig.
In Firmen- Netzwerken macht Sudo aber unter Umständen Sinn.
Der Installer sollte also fragen, wofür das System benutzt wird, und dementsprechend sudo vorschlagen oder es lassen.
Re: braucht man "sudo" ?
OT:
Ich wüsste zwar nicht, warum man sich so selten wie möglich als Root anmelden möchte, aber du könntest auch die Mailingliste abonnieren, oder dein System so konfigurieren, dass es selbsttätig nach Updates schaut und dich informiert. Und wenn du’s so konfigurierst, dass es die Updates auch gleich installiert, sparst du dir das Einloggen als Root für diese Aufgabe.Animefreak79 hat geschrieben:02.12.2017 10:59:46[…] wobei ich mich regelmäßig auf debian.org informiere, ob es neue Sicherheitsupdates gibt, um mich so selten wie möglich als root anmelden zu müssen, nur um zu überprüfen, ob neue Updates vefügbar sind.
Du könntest deinen User der entsprechenden Gruppe hinzufügen, dann sparst du dir auch das Einloggen als Root für diese Aufgabe.Animefreak79 hat geschrieben:02.12.2017 10:59:46Klar, wenn ich meine Logfiles überprüfen will (was ich einmal in der Woche tue), melde ich mich ebenfalls als root an.
Re: braucht man "sudo" ?
Das finde ich z.B. unnötig. Ich bekomme über die Benutzer- Oberfläche die Nachricht, das Updates zur Verfügung stehen. Warum muss man als Desktop- Benutzer das Root- PW eingeben um nötige Updates machen zu lassen ?niemand hat geschrieben:02.12.2017 11:23:48Und wenn du’s so konfigurierst, dass es die Updates auch gleich installiert, sparst du dir das Einloggen als Root für diese Aufgabe.
Dann braucht mich das System auch nicht zu benachrichtigen.
Warum soll ich mir als normaler Benutzer keine Logs anzeigen lassen dürfen? Macht auch keinen Sinn.
Ich habe doch in den meisten Verzeichnissen eh Lese- Rechte. Oder kann mir auf den Konsole mit cat fast alles anzeigen lassen.
Ich finde, dass (zumindest bei Desktop Anwendern) das Rechte-System überdacht werden sollte.
Letztendlich ist das eine Frage der Benutzerfreundlichkeit. Dann würde es auch nicht solche Diskussionen wie hier geben.
Re: braucht man "sudo" ?
Die Möglichkeit erwähnte ich implizit im Satz vor dem Gequoteten.geier22 hat geschrieben:02.12.2017 11:55:08Ich bekomme über die Benutzer- Oberfläche die Nachricht, das Updates zur Verfügung stehen.
Weil idealerweise nur Root am System rumpfuschen können sollte. Und Updates gehören zweifelsfrei dazu, wird dabei doch in Systemverzeichnissen geschrieben.geier22 hat geschrieben:02.12.2017 11:55:08Warum muss man als Desktop- Benutzer das Root- PW eingeben um nötige Updates machen zu lassen?
„Wenn ich nix von anstehenden Updates weiß, muss ich sie auch nicht installieren“?geier22 hat geschrieben:02.12.2017 11:55:08Dann braucht mich das System auch nicht zu benachrichtigen.
In manchen Logs stehen sicherheitsrelevante Informationen.geier22 hat geschrieben:02.12.2017 11:55:08Warum soll ich mir als normaler Benutzer keine Logs anzeigen lassen dürfen?
Es steht dir vollkommen frei, dein System komplett als Root zu benutzen. Dann hast du nie wieder „permission denied“, brauchst allenfalls beim Einloggen ein Passwort einzugeben (und selbst das ließe sich abstellen), su oder sudo oder was auch immer wären kein Thema mehr und überhaupt … benutzerfreundlicher würd’s doch bald gar nicht gehen?geier22 hat geschrieben:02.12.2017 11:55:08Ich finde, dass (zumindest bei Desktop Anwendern) das Rechte-System überdacht werden sollte.
Letztendlich ist das eine Frage der Benutzerfreundlichkeit. Dann würde es auch nicht solche Diskussionen wie hier geben.
Letztlich ist’s immer ein Kompromiss zwischen den Einschränkungen und der Sicherheit. Und ich finde den Status quo akzeptabel – für administrative Aufgaben benötige ich den Adminstratoraccount, in meinem ~ kann ich als User machen, was ich will. Soll mein User auf bestimmte Sachen direkt zugreifen können, füge ich ihn der entsprechenden Gruppe hinzu. Auf Desktops kann man mit dem policy-kit noch ein wenig Sicherheit deaktivieren, wenn man mag.
- Animefreak79
- Beiträge: 299
- Registriert: 25.11.2017 12:29:51
- Lizenz eigener Beiträge: GNU General Public License
Re: braucht man "sudo" ?
Kommt halt auch auf die Logfiles an, die man sich anschauen möchte. Beispielsweise var/log/messages oder var/log/auth.log kann man sich standarmäßig eben nur als root anschauen, und ich sehe auch ehrlich gesagt keinen Grund dafür, die Berechtigung in der Hinsicht anders einzustellen. (Finde diese Einstellung sogar äußerst sinnvoll^^) So umständlich ist es nun auch wieder nicht, sich kurzzeitig als root anmelden zu müssen, wieder abzumelden und wieder als normaler User anzumelden, oder? Und dann: Wenn es um Sicherheit geht, sind ein paar eventuell kleine und verkraftbare Umstände doch nichts Schlechtes.Original von geier22
Ich habe doch in den meisten Verzeichnissen eh Lese- Rechte. Oder kann mir auf den Konsole mit cat fast alles anzeigen lassen.
Ich finde, dass (zumindest bei Desktop Anwendern) das Rechte-System überdacht werden sollte.
Original von geier22
Warum muss man als Desktop- Benutzer das Root- PW eingeben um nötige Updates machen zu lassen?[/i]
Richtig. Und gerade deshalb ist es auch aus sicherheitstechnischen Gründen sinnvoller, in solchen Fällen als root zu arbeiten, aber eben auch nur dann, wenn es wirklich sein muss... Auch wenn dabei eine Wenigkeit an Komfort flöten geht, sollte Sicherheit nicht eine höhere Priorität besitzen, als eine komfortable Bedienung?Antwort von niemand
Weil idealerweise nur Root am System rumpfuschen können sollte. Und Updates gehören zweifelsfrei dazu, wird dabei doch in Systemverzeichnissen geschrieben.[/i]
~ Never change a flying system ~
Re: braucht man "sudo" ?
Was passiert, wenn es andersherum ist, konnte man jahrzehntelang bei einem bekannten Betriebssystem aus Redmond sehen.Animefreak79 hat geschrieben:02.12.2017 12:39:24...sollte Sicherheit nicht eine höhere Priorität besitzen, als eine komfortable Bedienung?
Warum nicht? Mir wäre das viel zu aufwändig. Einmal am Tag ein...wobei ich mich regelmäßig auf debian.org informiere, ob es neue Sicherheitsupdates gibt, um mich so selten wie möglich als root anmelden zu müssen, nur um zu überprüfen, ob neue Updates vefügbar sind.
Code: Alles auswählen
# apt update && apt full-upgrade
Re: braucht man "sudo" ?
Ich bin mal so frech zu behaupten, dass auch root nicht weiß, was die Folgen eines Updates sind oder sein könnten.niemand hat geschrieben:02.12.2017 12:24:30Weil idealerweise nur Root am System rumpfuschen können sollte. Und Updates gehören zweifelsfrei dazu, wird dabei doch in Systemverzeichnissen geschrieben.geier22 hat geschrieben: ↑ zum Beitrag ↑
Sa 2. Dez 2017, 11:55
Warum muss man als Desktop- Benutzer das Root- PW eingeben um nötige Updates machen zu lassen?
Dazu müsste root in der Lage sein, den Code zu studieren und ihn auch noch zu verstehen.
Oder zumindest bei den 45 Libs die da gerade anstehen erst mal bei https://tracker.debian.org/ nachschauen, was sich z.B. bei libpopt0 nun geändert hat oder ob da eventuell noch Bugs drin sind, die über Abhängigkeiten eventuell sein System beeinflussen könnten. Wenn er dass dann alles "rootmässig" geprüft hat, stehen aber schon die nächsten Updates an. Das arme Schwein kommt nie zum "rootmässigen Update"
Das Austesten haben uns zum Glück die "Ober- Roots"(=Paketbetreuer) abgenommen, die ja auch entscheiden, was da als Update zur Verfügung gestellt wird. Das Update ist also weitgehend von der Entscheidung des Roots freigestellt.
Windows macht das besser (nun bitte nicht: Dann nimm doch Windows): Ich kann die Beschreibung eines jeden Pakets lesen und entscheiden ob ich das will oder nicht. Wenn da Müll drin ist, kann ich das - genauso wenig wie bei Linux im Vornherein beurteilen.
Animefreak79 hat geschrieben:02.12.2017 12:39:24Kommt halt auch auf die Logfiles an, die man sich anschauen möchte. Beispielsweise var/log/messages oder var/log/auth.log kann man sich standarmäßig eben nur als root anschauen
Code: Alles auswählen
$ ls -al /var/log/auth.log
-rw-r--r-- 1 root root 146966 Dez 2 13:17 /var/log/auth.log
Code: Alles auswählen
hans@sparkyxfce:~$ cat /var/log/auth.log |grep "Dec 2 09:54:09"
Dec 2 09:54:09 sparkyxfce lightdm: pam_unix(lightdm-autologin:session): session opened for user hans by (uid=0)
Dec 2 09:54:09 sparkyxfce systemd-logind[709]: New session 1 of user hans.
Dec 2 09:54:09 sparkyxfce systemd: pam_unix(systemd-user:session): session opened for user hans by (uid=0)
Dec 2 09:54:09 sparkyxfce lightdm: pam_ck_connector(lightdm-autologin:session): nox11 mode, ignoring PAM_TTY :0
Re: braucht man "sudo" ?
So komfortabel war (ist) das gar nicht, da man jedes Programm einzeln updaten muss. Jetzt muss man sogar noch für jedes einzelne Update das Admin-Passwort eingeben. Dann lieber einmal am Tag als root anmelden und das ganze System in einem Rutsch updaten.Radfahrer hat geschrieben:02.12.2017 13:01:55Was passiert, wenn es andersherum ist, konnte man jahrzehntelang bei einem bekannten Betriebssystem aus Redmond sehen.Animefreak79 hat geschrieben:02.12.2017 12:39:24...sollte Sicherheit nicht eine höhere Priorität besitzen, als eine komfortable Bedienung?