root-Passwort bei Installation vergeben oder nicht? (su / sudo)

[thoerb]

Ne das stimmt nur halb <->

Code: Alles auswählen

sudo su

im Terminal ~= su - (ich kann es nicht testen).

Danke für den Hinweis. Und wie kann man das dann beenden, sodass man wieder seine Rechte als User bekommt?

PS: Ich habe den Horror immer mit su ohne - ...........................

Das klappt bei mir inzwischen.

[mcb]

Ne das stimmt nur halb <->

Code: Alles auswählen

sudo su

im Terminal ~= su - (ich kann es nicht testen).

Danke für den Hinweis. Und wie kann man das dann beenden, sodass man wieder seine Rechte als User bekommt?

PS: Ich habe den Horror immer mit su ohne - ...........................

Das klappt bei mir inzwischen.

Ctrl + d oder exit / logout je nach shell ...

Ja ich nehme oft su (ohne -) / komme ich prima mit klar (muß halt ab und an ein sudo davor ... ).

Wenn ich vorher weiß ich brauche viel aus /sbin nehme ich su -(kommt selten vor).

Doas ist auch ganz nett ab und an. (Das merkt sich das Passwd aber noch gar nicht). https://manpages.debian.org/testing/doas/doas.1.en.html

[dasebastian]

Und soweit ich das verstanden habe, muss man ja dann auch das sudo immer wieder erneut vor jedes Kommando setzen, das Root-Rechte benötigt. Was für ein Horror, ich würde das garantiert ständig vergessen und müsste dann jede Zeile zweimal eingeben. Dann lieber einmal als root anmelden, seinen Kram machen, abmelden und fertig.

Von Ubuntu kommend wirkte "su -" anfangs umständlich für mich, aber das dauerte keine Woche, da konnte ich mir nicht mehr vorstellen sudo apt update && sudo apt full-upgrade && sudo apt && sudo && sudo sudo && sudo Oidaaaaaa!

Ist aber - wie alles - auch einfach Gewohnheitssache.

[mcb]

Und soweit ich das verstanden habe, muss man ja dann auch das sudo immer wieder erneut vor jedes Kommando setzen, das Root-Rechte benötigt. Was für ein Horror, ich würde das garantiert ständig vergessen und müsste dann jede Zeile zweimal eingeben. Dann lieber einmal als root anmelden, seinen Kram machen, abmelden und fertig.

Von Ubuntu kommend wirkte "su -" anfangs umständlich für mich, aber das dauerte keine Woche, da konnte ich mir nicht mehr vorstellen sudo apt update && sudo apt full-upgrade && sudo apt && sudo && sudo sudo && sudo Oidaaaaaa!

Ist aber - wie alles - auch einfach Gewohnheitssache.

Das ist es wirklich und es gibt ja noch die history der shell.

[JTH]

[…] dass es dann sinnvoll ist, wenn der Benutzer ein Skript starten soll, das Root Rechte erfordert, aber der Benutzer das Root Passwort nicht […] kennen soll.

Und exakt das ist der ursprüngliche Einsatzzweck von sudo. Einem Benutzer bestimmte, auch beschränkte Extrarechte geben, ohne das er das root-Passwort kennen muss. Er kann sich die Extrarechte mit seinem eigenen Passwort nehmen.

Dass es heute meist benutzt wird, um Benutzern einfach alle Rechte zu geben, ist eine simple, fast die langweiliste Anwendung von sudo.

[KP97]

Mein Beitrag zum Path wurde gelesen?

[mcb]

[…] dass es dann sinnvoll ist, wenn der Benutzer ein Skript starten soll, das Root Rechte erfordert, aber der Benutzer das Root Passwort nicht […] kennen soll.

Und exakt das ist der ursprüngliche Einsatzzweck von sudo. Einem Benutzer bestimmte, auch beschränkte Extrarechte geben, ohne das er das root-Passwort kennen muss. Er kann sich die Extrarechte mit seinem eigenen Passwort nehmen.

Dass es heute meist benutzt wird, um Benutzern einfach alle Rechte zu geben, ist eine simple, fast die langweiliste Anwendung von sudo.

Ja - für sowas nehme ich (Mangels Ahnung) doas - da ist die Konfiguration "passend" -> man darf per default gar nichts.

[eggy]

Mein Beitrag zum Path wurde gelesen?

eher nicht
genau wie die x-tausend anderen Threads zu dem Thema
also mach Dir nix draus

[KP97]

...na gut, ich sag nix mehr...;-))

[dasebastian]

Mein Beitrag zum Path wurde gelesen?

Schon. Aber wenn man sich gut arrangiert hat

(...) und es gibt ja noch die history der shell.

Das stimmt. Da fange ich gerade erst an damit herumzutun. Ich finde die aber praktischer für uralte Befehle, welches Paket war das nochmal, wo lag die Datei...?

[mcb]

OK - da mit dem Path verwirt mich grade - siehe auch hier:

https://bugs.debian.org/cgi-bin/bugrepo ... =918754#84

Sollte man ev. einfach immer su - nehmen statt su ?!?

[dasebastian]

Sollte man ev. einfach immer su - nehmen statt su ?!?

So habe ich es zumindest gleich mal gelernt bekommen, als ich hier aufschlug. Das wurde aber erst bei 10 Buster geändert, glaube ich.

EDIT: vorher reichte wohl wirklich "su"

[KP97]

EDIT: vorher reichte wohl wirklich "su"

So ist es, und genau dieses Verhalten kann man durch meine Beschreibung wieder herstellen.

[uname]

Ich wollte noch mal eben anmerken, dass

a.) das sudo-Konzept so wie es eigentlich gedacht war, sinnvoll ist
b.) dass Ubuntu das sudo-Konzept kaputt gemacht hat

a.)
Es gibt z. B. nicht priviligierte Benutzer, die für Services genutzt werden (z. B. www-data)
Diese haben nicht mal ein Passwort. Durch sudo kann "root" oder über /etc/sudoers auch andere Personen Befehle als www-data ausführen.

b.)
Die /etc/sudoers-Konfiguration ermöglicht es normalen Benutzern mit deren eigenen Passwortern Befehle als root auszuführen.
Vorteil ist, dass root kein Passwort braucht. Dass der Benutzer jedoch praktisch root ist, wird gerne verschwiegen.
Dieses Konzept hat Ubuntu wohl von Windows geklaut. Das war wohl keine gute Idee

Leider bietet wohl auch Debian das Ubuntu-Konzept an.
Vielleicht kann man mal einen Bugreport oder ein Security-Issue erstellen.
Ich kann davon nur abraten.

[dasebastian]

(...) dass Ubuntu das sudo-Konzept kaputt gemacht hat

Ich sehe das nicht so, Ubuntu geht da einfach einen anderen Weg, von kaputt kann keine Rede sein, sudo funktioniert und macht genau das, was es können soll. ABER durch das strengere "Debiankonzept" schützt man wohl viele unbedarfte User praktisch vor sich selbst.

EDIT: Das ist doch gerade das Tolle an GNU/Linux, dass sich jeder sein System so verbasteln und kaputtmachen darf, wie er will - und nicht, wie eine große Firma dahinter das will...

[MSfree]

(...) dass Ubuntu das sudo-Konzept kaputt gemacht hat

Ich sehe das nicht so, Ubuntu geht da einfach einen anderen Weg, von kaputt kann keine Rede sein, sudo funktioniert und macht genau das, was es können soll. ABER durch das strengere "Debiankonzept" schützt man wohl viele unbedarfte User praktisch vor sich selbst.

Bevor hier solche Behauptungen aufgestellt werden, sollte man sich mal der Gechichte bewußt werden

Wer hat's erfunden? Ubuntu wurde von Debian abgeleitet. Anfangs waren die Ubuntupakete sogar direkt aus dem Debianrepository kopiert worden, inklusive des kaputten Debian-sudo.

Es bezweifelt auch keiner, daß man sudo sicher(er) machen kann, in dem man es richtig konfiguriert. Tatsache ist aber, daß es per Default unischer konfiguriert ist, und der Normaluser ändert diese Defaults nicht, der ist schon froh, wenn seine frische Installation überhaupt bootet. Der leist auch keine Readmes, wo dann vielleicht in einer Randnotiz vermerkt ist, daß man sudo lieber eine wenig anpassen sollte.

[kalle123]

Wer hat's erfunden? Ubuntu wurde von Debian abgeleitet. Anfangs waren die Ubuntupakete sogar direkt aus dem Debianrepository kopiert worden, inklusive des kaputten Debian-sudo.

Es bezweifelt auch keiner, daß man sudo sicher(er) machen kann, in dem man es richtig konfiguriert. Tatsache ist aber, daß es per Default unischer konfiguriert ist, und der Normaluser ändert diese Defaults nicht, der ist schon froh, wenn seine frische Installation überhaupt bootet. Der leist auch keine Readmes, wo dann vielleicht in einer Randnotiz vermerkt ist, daß man sudo lieber eine wenig anpassen sollte.

Wovon bist du denn jetzt dran?

vom Ubuntu 'sudo' oder das Debian 'sudo'??

cu KH

[dasebastian]

Bevor hier solche Behauptungen aufgestellt werden, sollte man sich mal der Gechichte bewußt werden

Wer hat's erfunden? Ubuntu wurde von Debian abgeleitet. Anfangs waren die Ubuntupakete sogar direkt aus dem Debianrepository kopiert worden,

Ja, die Geschichte ist klar, aber ohne jetzt irgendwem irgendeinen Zacken von der Krone brechen zu wollen, kann man mittlerweile schon sagen, dass Ubuntu was Eigenes ist und eigene Wege geht/gegangen ist. Das Konzept kann man gut oder schlecht oder wie auch immer finden. Insofern meinte ich, dass ja das gesamte Systemsicherheitskonzeptdingens dort einfach mittlerweile ein anderes ist, vielleicht/wahrscheinlich anders als ursprünglich geplant, ja, aber es deshalb als kaputt zu bezeichnen finde ich nicht richtig.

Peace!

[MSfree]

Wovon bist du denn jetzt dran?

vom Ubuntu 'sudo' oder das Debian 'sudo'?

Ubuntu hat sudo von Debian nur kopiert, inklusive der unsicheren Defaultkonfiguration. Debian hat schuld an der unsicheren Konfiguration., und das hat sich bis heute nicht geändert, sudo ist bei Debian immer noch genauso behämmert konfiguriert wie vor 15 jahren, nämlich eine scheunentorgroße Sicherheitslücke.

Es ist einfach Unsinn, hier immer mit dem Finger auf Ubuntu zu zeigen, wenn man es selbst verbrochen hat und andere das nur als Vorlage verwendet haben.

[dasebastian]

Ubuntu hat sudo von Debian nur kopiert, inklusive der unsicheren Defaultkonfiguration. (...) Es ist einfach Unsinn, hier immer mit dem Finger auf Ubuntu zu zeigen, wenn man es selbst verbrochen hat und andere das nur als Vorlage verwendet haben.

Ach, habe dein Post vorher missverstanden.

[uname]

Ubuntu hat sudo von Debian nur kopiert, inklusive der unsicheren Defaultkonfiguration.

Wo hat denn Ubuntu die "unsichere Defaultkonfiguration" von Debian kopiert?

Also in der /etc/sudoers bei Ubuntu steht drin, dass ich glaube die Gruppe "admin" per "sudo" und Eingabe des eigenen Passwortes alles als root darf. Das war bei Debian nie der Fall. Vielleicht wird dieses umgesetzt, wenn man bei der Installation von Debian gefragt wird mit oder ohne root-Benutzer.

Frage: Weiß jemand seit wann das bei Debian in der Installation enthalten ist? Oder war das schon immer bzw. vor allen vor Ubuntu so? Ubuntu gibt es seit Oktober 2004 (04.10). Ich denke die erste Ubuntu Version basierte auf Debian Testing/Unstable/Sid als Debian Sarge.

Ich bin erst seit Debian Sarge also etwa 2005 dabei. War damals bzw. vorher schon die Option mit sudo zu installieren enthalten? Ist mir nicht aufgefallen oder ich habe es mittlerweile nur vergessen. Was war mit den ersten Releases? Vielleicht mag mal jemand schauen oder sich erinnern.

[kalle123]

Wir reden hier irgendwie um den heissen Brei rum.

So sieht /etc/sudoers per default bei Buster aus.

Code: Alles auswählen

#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:
/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

[uname]

Ok. Es gibt die Gruppe "sudo" (%sudo) und die darf ähnlich wie bei Ubuntu per sudo alles.

Das gibt ein paar neue Fragen:
a.) War das früher auch immer so -> ich denke nun mal wirklich ja
b.) Wurde man schon immer über die Installation in "sudo" eingetragen bzw. ab wann gab es das?
c.) Ich glaube standardmäßig wird sudo gar nicht intsalliert. Oder war das mal früher so?

Wenn es die Abfrage bei Debian immer schon gab (habe ich nie genutzt bzw. immer ignoriert), dann hat wohl wirklich Ubuntu von Debian dieses Feature übernommen. Ich glaube aber die Gruppe ist dort "admin", der erste Benutzer "1000" ist immer in der Gruppe und es gibt ein paar weitere Parameter bzgl. Ablauf bzw. Nachfrage des Passwortes wenn ich mich dunkel erinnere. Meine Ubuntu-Ausflüge waren etwa 2007 !!!

[willy4711]

a.) War das früher auch immer so -> ich denke nun mal wirklich ja

Hab mir grad mal debian-31r8-i386-netinst.iso (Sarge ?)runter geladen und versucht, in einer VM zu installieren.
Nach ein Paar Problemen (SATA hat der Installer nicht erkannt) lief dann die Installation.
Im Standard- Installer war es mir nicht möglich, die Eingabe eines Root- PW zu umgehen, nur den User
hätte ich mir sparen können.

Eine /etc/sudoers konnte auch nicht gefunden werden.

Ich hoffe, alle sind zufrieden ??

[KP97]

@uname
Ich bin auch so lange dabei wie Du und kann mich nicht erinnern, daß früher, also so um 2004 bis 2006, bei einer Installation ein sudo angelegt wurde. Es gab immer die Abfrage nach dem Rootpaßwort und dem Userpaßwort. Wer ein sudo - im Sinne von speziellen Berechtigungen für einen einzelnen User - haben wollte, mußte sudo explizit installieren.
Als Abhängigkeit von gksu bzw. kdesu wurde sudo mitinstalliert, aber der User tauchte nicht in der sudoers oder in der Gruppe auf. Policykit gab es damals noch nicht.
Das war der Debianweg...alles lange her...
Bei Ubuntu wurde schon immer bei der Installation der erste User mit sudo angelegt - mit den bekannten Auswirkungen. Root war natürlich vorhanden, trat aber gar nicht in Erscheinung.
Diejenigen Leute, die von Windows wechselten, (an die sich Ubuntu ja explizit richtete), wußten nichts von einem Root und die Trennung zwischen diesem und einem normalen User in einem Unixsystem. Es wurde den Usern suggeriert, immer ein sudo vor einen Befehl zu stellen, daher dieser inflationäre Gebrauch. Was man damit anrichten konnte, war den wenigsten Usern bewußt, die kamen schließlich von Windows und da war das an der Tagesordnung, als Admin unterwegs zu sein.
Eine Installation mit Root Paßwortabfrage gab es nur bei der Serverinstallation. Das waren aber eigene Installationsmedien. Da wurde dann ähnlich wie bei Debian verfahren.
Wer allerdings einen Server aufsetzen wollte, hatte schon entsprechende Kenntnisse und konnte damit umgehen.
Leider haben dann andere Distros diese Unsitte von Ubuntu übernommen, und das tauchte auch später in Debian auf mit der Frage, ob man einen Rootaccount anlegen wolle.

Das meinte ich übrigens auch mit dem "Verbiegen durch Ubuntu". Nicht der Befehl an sich, sondern die Handhabung desselben wurde irreführend dargestellt.
@MSfree gefällt sich zwar in der Rolle des Gegenredners, aber ich denke, er hat das schon richtig verstanden wie es gemeint war.

Heute leben wir damit und führen hier wahrscheinlich die zweiunddrölfte Diskussion darüber...

Nachtrag:
Willy war etwas schneller, ich habe zu lange geschrieben und versucht mich zu erinnern