sudo vs pkexec vs Gruppe wheel?

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Antworten
Benutzeravatar
detix
Beiträge: 1699
Registriert: 07.02.2007 18:51:28
Wohnort: MK

sudo vs pkexec vs Gruppe wheel?

Beitrag von detix » 17.11.2018 20:10:12

Da grad hier [1] so eine kleine Diskussion um sudo und pkexec enstanden ist, möchte ich mal die Gruppe wheel ([2] schon etwas älter) mit ins Spiel bringen.
Die Gruppe wheel kannte ich bisher nur von anderen Distributionen um als user root Rechte zu erlangen, aber auch debian ist dafür (siehe in /etc/pam.d/su) vorbereitet.
Um also alternativ su oder "su -" einschließlich grafischer Prgs als root benutzen zu können muss man nur die Datei /etc/pam.d/su etwas abändern mit:

Code: Alles auswählen

# zuerst den Zugriff für alle user auf su sperren,
# damit darf keiner der nicht der Gruppe wheel angehört su ausführen (# entfernen):
auth       required   pam_wheel.so
# root ohne Passwort, falls user und root dieselbe Person oder absolut vertrauenswürdig sind (# entfernen):
auth       sufficient pam_wheel.so trust
# root Zugriff auf X ermöglichen, ohne .Xauthority/$DISPLAY des users, siehe: man pam_xauth, hinzufügen von:
session  optional  pam_xauth.so
dann die Gruppe wheel erstellen und den user (hier peter) der root Rechte bekommen darf dieser Gruppe hinzufügen::

Code: Alles auswählen

groupadd wheel
usermod -aG wheel peter
das funktioniert so mit stretch, buster und sid..., zB:

Code: Alles auswählen

su - -c xterm
su - -c gparted
su - -c krusader
Hier, mit KDE brauchts für einige Prgs dann uU noch diese Einträge in /root/.profile:
export XDG_CURRENT_DESKTOP="KDE" # keine Icons bei zB systemsettings5
export QT_X11_NO_MITSHM=1 # leeres Fenster bei zB kuser
Was hält man denn davon?

[1] viewtopic.php?f=34&t=171346
[2] https://wiki.debian.org/WHEEL/PAM
Gruß an alle Debianer, und immer daran denken:
Macht ohne Haftung funktioniert nicht!

michaa7
Beiträge: 4611
Registriert: 12.12.2004 00:46:49
Lizenz eigener Beiträge: MIT Lizenz

Re: sudo vs pkexec vs Gruppe wheel?

Beitrag von michaa7 » 18.11.2018 00:06:53

das ergebnis der wheel konfiguration
From now user_name can execute su.
Ist dann die eingabe des rootpasswortes noch notwendig oder wird die dadurch obsolet?

Trifft ersteres zu, fände ich das gut. Der aufruf grafischer programme wie gparted mit rootrechten wäre über wheel bereits verlässlich konfiguriert, die hürde wäre klein aber vorhanden.

Ist jedoch keine eingabe der rootpasswortes mehr notwendig - und ich befürchte dass das so funktioniert - dann würde mir das absolut nicht gefallen. Die klare und deutliche trennung von administration und usernutzung hat mir schon immer gefallen und ich möchte diese nicht verwässern.

Danke für die anregung.
gruß

michaa7

-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)

Apfelmann
Beiträge: 669
Registriert: 15.01.2010 20:48:45
Kontaktdaten:

Re: sudo vs pkexec vs Gruppe wheel?

Beitrag von Apfelmann » 18.11.2018 01:48:37

Ich kenne diese Gruppe aus FreeBSD,
dort dürfen Mittglieder der Gruppe wheel administratve Aufgaben übernehmen / erledigen,
auf meinem Desktop-System funktioniert nur über diese Gruppe
su >> root

LG

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: sudo vs pkexec vs Gruppe wheel?

Beitrag von Meillo » 18.11.2018 07:00:53

michaa7 hat geschrieben: ↑ zum Beitrag ↑
18.11.2018 00:06:53
das ergebnis der wheel konfiguration
From now user_name can execute su.
Ist dann die eingabe des rootpasswortes noch notwendig [...]
Ja.
Use ed once in a while!

Benutzeravatar
detix
Beiträge: 1699
Registriert: 07.02.2007 18:51:28
Wohnort: MK

Re: sudo vs pkexec vs Gruppe wheel?

Beitrag von detix » 18.11.2018 10:30:33

So wie ich es oben beschrieben habe wird man ohne Eingabe des Passwortes root.
Wenn die Eingabe des Passwortes gewünscht wird, dann das Doppelkreuz hier nicht entfernen:

Code: Alles auswählen

# auth       sufficient pam_wheel.so trust
Ich bin aber auch der Meinung das hier nichts verwässert wird, denn nur der user der in der Gruppe wheel ist darf su überhaupt ausführen.
Bei einem neuangelegten user (zB tester) sieht das dann so aus:

Code: Alles auswählen

tester@debian:~$ su
Passwort:
su: Berechtigung verweigert
tester@debian:~$ su -
Passwort:
su: Berechtigung verweigert
Selbst mit dem richtigen root Passwort kann und darf der user „tester” su nicht ausführen!
Gruß an alle Debianer, und immer daran denken:
Macht ohne Haftung funktioniert nicht!

KP97
Beiträge: 3407
Registriert: 01.02.2013 15:07:36

Re: sudo vs pkexec vs Gruppe wheel?

Beitrag von KP97 » 18.11.2018 13:35:15

@detix
Das ist so, wie Du schreibst.
Ich nutze wheel schon sehr lange, aber das ist nur was für Leute, die sich
a) mit dem System und den Rechten auskennen
und
b) immer wissen, was sie gerade machen

Wer flüchtig Befehle eingibt, nicht noch ein zweites Mal die Eingabe prüft, oder nicht fit in der Administration ist, sollte davon die Finger lassen.
Bei einem Mehrplatzbenutzersystem würde ich es auch noch überlegen, obwohl man es ja eingrenzen kann.
Wer den PC allein nutzt und gute Kenntnisse hat, kann das durchaus so machen. Erspart das ständige Tippen des rootPW.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: sudo vs pkexec vs Gruppe wheel?

Beitrag von Meillo » 18.11.2018 16:08:38

detix hat geschrieben: ↑ zum Beitrag ↑
18.11.2018 10:30:33
So wie ich es oben beschrieben habe wird man ohne Eingabe des Passwortes root.
Entschuldigt meine Fehlinformation. :oops:
Use ed once in a while!

mcb

Re: sudo vs pkexec vs Gruppe wheel?

Beitrag von mcb » 17.05.2021 22:04:09

Oh Danke!

Das gefällt mir :THX:

Werde erstmal den Zugriff auf su limitieren.

Antworten