sudoer problem bei Debian 12 [Gelöst]

[jmar83]

Hallo zusammen

Da scheint neu was anders zu laufen:

1.) usermod -aG sudo user1

2.) visudo

3.) Einfügen von: user1 ALL=(ALL) NOPASSWD:ALL

4.) Neustart

5.) Einloggen mit user1

6.) nano /etc/sysctl.conf


RESULTAT: Schreibgeschützt (vs. root)

Weiss evtl. jemand, warum? Vorher was das mE nie so...

Besten Dank für eure Feedbacks

[thunder11]

6.) nano /etc/sysctl.conf
RESULTAT: Schreibgeschützt (vs. root)

Vielleicht mal das Wörtchen "sudo" gebrauchen, oder gar im Terminal root werden

[jmar83]

die schritte welche ich vorgenommen habe sollte ja eben genau bezwecken, dass "sudo" für den user1 dann nicht mehr notwendig ist.

[mampfi]

Du willst user1 mit root-Rechten ausstatten, hab ichs richtig verstanden?

[niemand]

die schritte welche ich vorgenommen habe sollte ja eben genau bezwecken, dass "sudo" für den user1 dann nicht mehr notwendig ist.

Das ist nicht, wie sudo funktioniert. Hat’s auch noch nie.

[mampfi]

Wie war das jetzt gleich wieder?

Schreibst Du sudo <befehl>

wird der <befehl> mit root-Rechten ausgeführt

In Ubuntu recht üblich.

(Einen anderen User als root mit root-Rechten auszustatten, sollte mn "eigentlich nicht tun, vergisst Du das, kannst Du Dir leicht was zerschießen)

[Livingston]

die schritte welche ich vorgenommen habe sollte ja eben genau bezwecken, dass "sudo" für den user1 dann nicht mehr notwendig ist.

Damit kannst Du nur die Passwort-Abfrage unterbinden. sudo gehört immer vor den Befehl, sonst wird der sudo-Mechanismus nicht angewendet.
Mit der Zeile

Code: Alles auswählen

user1 ALL=(ALL) NOPASSWD:ALL

muss user1 auch nicht in die Gruppe sudo.

NACHTRAG:
Für Mitglieder der Gruppe sudo hieße der Eintrag in sudoers:

Code: Alles auswählen

%sudo ALL=(ALL) NOPASSWD:ALL

Geht natürlich auch mit der Gruppe dudeldidadel:

Code: Alles auswählen

# usermod -aG dudeldidadel user1
%dudeldidadel ALL=(ALL) NOPASSWD:ALL

[jmar83]

Besten Dank!!

[Livingston]

Ich würde auch noch über diese Einschränkung nachdenken:

Code: Alles auswählen

user1 ALL=(root) NOPASSWD:/usr/bin/nano /etc/sysctl.conf

Damit erlaubst Du genau diesen einen Befehl für diese eine Datei - und nicht mehr.
Zum Aufruf solltest Du immer auch den vollständigen Pfad angeben:

Code: Alles auswählen

sudo /usr/bin/nano /etc/sysctl.conf

So war die Nutzung von sudo durch die Erfinder eigentlich gedacht.

[jmar83]

[tobo]

Ich würde auch noch über diese Einschränkung nachdenken:

Code: Alles auswählen

user1 ALL=(root) NOPASSWD:/usr/bin/nano /etc/sysctl.conf

Damit erlaubst Du genau diesen einen Befehl für diese eine Datei - und nicht mehr.

Doch, damit erlaubst du mehr. Der Editor ist mit Root-Rechten gestartet und kann mit diesen initialen Rechten weitere Befehle ausführen. Mit Editoren, Pagern etc. ist Vorsicht geboten...

EDIT: Mit nano durch ^T und mit z.B. less durch ! können Kommandos ausgeführt werden.

[Livingston]

Auch das lässt sich verhindern:

Code: Alles auswählen

user1 ALL=(root) NOPASSWD: NOEXEC:/usr/bin/nano /etc/sysctl.conf

Damit wird dem aufrufenden Programm verboten, weitere externe Kommandos auszuführen.

[JTH]

Auch das lässt sich verhindern:

Code: Alles auswählen

user1 ALL=(root) NOPASSWD: NOEXEC:/usr/bin/nano /etc/sysctl.conf

Damit wird dem aufrufenden Programm verboten, weitere externe Kommandos auszuführen.

Selbst damit könnte man aus dem einmal laufenden Editor heraus weiterhin alle beliebigen Dateien auf dem System editieren. Dafür braucht der Editor kein exec.

Man muss den Editor zwar anfangs genau dazu Öffnen, die /etc/sysctl.conf zu bearbeiten, kann aber anschließend mit Rootrechten bearbeiten, was man möchte.

[JTH]

Nachtrag:
Ah, kannte ich noch nicht (hab auch wenig Kontakt mit sudo): Um dieses „Ausbrechen“ und Bearbeiten beliebiger Dateien zu verhindern, sollte man anscheinend sudoedit erlauben und benutzen* – nicht einen beliebigen Editor eintragen:

Code: Alles auswählen

user1 ALL=(root) NOPASSWD: sudoedit /etc/sysctl.conf

Damit kann genau nur die erlaubte Datei bearbeitet werden. Aufzurufen dann als

Code: Alles auswählen

sudoedit /etc/sysctl.conf

Vielleicht war sudoedit nicht nur mir bisher unbekannt

* sudoedit öffnet dann den Editor, der über die geläufigen Umgebungsvariablen SUDO_EDITOR, VISUAL oder EDITOR festgelegt ist – es dürfte häufig also trotzdem nano zur Anwendung kommen.

[Livingston]

Ein Editor als Beispiel ist wahrlich nicht geeignet, der ist einfach zu mächtig.
Man sollte sich auf jeden Fall angewöhnen, sparsam mit sudo umzugehen und alle Szenarien zu durchdenken.

[Huo]

Man könnte statt nano auch das im gleichen Paket enthaltene rnano benutzen – ein eingeschränktes nano, das ausschließlich die Bearbeitung der angegebenen Datei erlaubt.

[mampfi]

Nachtrag:
Ah, kannte ich noch nicht (hab auch wenig Kontakt mit sudo): Um dieses „Ausbrechen“ und Bearbeiten beliebiger Dateien zu verhindern, sollte man anscheinend sudoedit erlauben und benutzen* – nicht einen beliebigen Editor eintragen:

Code: Alles auswählen

user1 ALL=(root) NOPASSWD: sudoedit /etc/sysctl.conf

Damit kann genau nur die erlaubte Datei bearbeitet werden. Aufzurufen dann als

Code: Alles auswählen

sudoedit /etc/sysctl.conf

Vielleicht war das nicht nur mir bisher unbekannt

* sudoedit öffnet dann den Editor, der über die geläufigen Umgebungsvariablen SUDO_EDITOR, VISUAL oder EDITOR festgelegt ist – es dürfte häufig also trotzdem nano zur Anwendung kommen.

Mir ehrlich gesagt auch.

Kenne /etc/passwd und/etc/root