Buster: sudo-Gruppenzugehörigkeit unter GNOME wiederherstellen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
koebi
Beiträge: 2
Registriert: 21.01.2018 13:58:38

Buster: sudo-Gruppenzugehörigkeit unter GNOME wiederherstellen

Beitrag von koebi » 07.07.2019 11:18:27

Hallo zusammen,

ich habe seit meinem Umstieg auf Buster das Problem, dass mein Admin-User bob nur in den TTYs oder über eine externe SSH-Verbindung seine Admin-Aufgaben erledigen kann. Nach der Anmeldung in GNOME ist bob nicht mehr Mitglied der sudo-Gruppe und demzufolge kann er im gnome-terminal keine sudo-Befehle ausführen.

Wie könnte ich das Problem lösen?

Vielen Grüße

Koebi

Benutzeravatar
DEBIANUNDANDREAS
Beiträge: 1304
Registriert: 01.06.2013 10:37:46

Re: Buster: sudo-Gruppenzugehörigkeit unter GNOME wiederherstellen

Beitrag von DEBIANUNDANDREAS » 07.07.2019 11:33:52

Indem du im Terminal eingibst und auf sudo verzichtest.

koebi
Beiträge: 2
Registriert: 21.01.2018 13:58:38

Re: Buster: sudo-Gruppenzugehörigkeit unter GNOME wiederherstellen

Beitrag von koebi » 07.07.2019 12:51:11

Die su-Lösung kann ich hier leider nicht umsetzen. Aus Sicherheitsgründen darf nur alice den Befehl su ausführen.
Davon abgesehen würde bob mit su zum allmächtigen root werden, dessen Befehle (im Gegensatz zu sudo) nicht mitprotokolliert werden.
Ich tippe, dass das Problem mit irgendeinem PolicyKit zusammenhängt, aber da kenne ich mich (noch) nicht aus ...

TomL

Re: Buster: sudo-Gruppenzugehörigkeit unter GNOME wiederherstellen

Beitrag von TomL » 07.07.2019 14:50:58

koebi hat geschrieben: ↑ zum Beitrag ↑
07.07.2019 12:51:11
Die su-Lösung kann ich hier leider nicht umsetzen. Aus Sicherheitsgründen darf nur alice den Befehl su ausführen.
Davon abgesehen würde bob mit su zum allmächtigen root werden, dessen Befehle (im Gegensatz zu sudo) nicht mitprotokolliert werden.
Ich tippe, dass das Problem mit irgendeinem PolicyKit zusammenhängt, aber da kenne ich mich (noch) nicht aus ...
Dir ist aber schon klar, dass "Sicherheit" in der vermutlich vorhandenen Konfiguration nur Wunschdenken ist? Wenn der User 'bob' in der Gruppe 'sudo' eingetragen ist und es gibt keine ausdrückliche sudoers-Konfiguration für explizite Befehlsaufrufe, dann ist 'bob' bereits jetzt schon allmächtiger root. Was sollte 'bob' davon abhalten, im Terminal einfach

Code: Alles auswählen

sudo su -
einzugeben...?... dann ist er root... und zwar mit seinem eigenen Password.... unsicherer gehts ja nun wirklich nicht mehr.

Wenn Dir an sicherer und restriktiver Systemverwaltung gelegen ist, dann solltest Du 'sudo' besser ganz deinstallieren und für besondere Programme, die von 'bob' gestartet werden müssen und die unter root-Rechten laufen sollen, explizite Polkit-Policies einrichten. Es hat einen guten Grund, warum unter Debian beim Installer darauf hingewiesen wird, unbedingt ein root-Password zu vergeben und das in Folgedessen 'sudo' gar nicht erst konfiguriert wird und dadurch ein imho sehr hohes Sicherheitrisiko eliminiert wird.

Antworten