Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinzufügen [Gelöst]

[jmar83]

Hallo zusammen

Direkt nach der Installation:

1.) usermod -aG sudo user1

2.) visudo -> Das hier eingetragen: user1 ALL=(ALL) NOPASSWD:ALL

3.) Neustart, damit das Ganze greift


...anschliessend haben wir gemerkt, dass damit doch nicht alles geht. Also wollten wir den "user1" auch noch zur root-Gruppe hinzufügen. Dazu wurde dieser Befehl hier verwendet: usermod -a -G root user1 - anschliessend Neustart!!

Nach dem Neustart habe ich zum Testen "apt update" eingegeben.

Resultat:




Scheint also irgendwie nicht ganz zu klappen mit: usermod -a -G root user1

Vielen Dank für eure Feedbacks!

[TRex]

ähm, sudo vergessen? Nimm dem user mal die root-Gruppe weg, das war eher weniger schlau.

[jmar83]

Nein, die Frage war eine andere... ein zweiter root-user...

Grund: "root" hat ein Kennwort welches nur ICH kenne und mit welchem ich mich jederzeit (KEnnwort im Kopf) und überall einloggen kann - ohne dass ich irgendwelche Kennwort-Liste durchackern muss...

ABER: Es geht dabei nicht drum, den Mitarbeitern das root-Recht zu verweigern... sondern nur um das was ich oben antöne.

UND: Die Mitarbeiter haben sich beklagt, dass bei "user1" mit sudo nicht alles klappe... und ich habe jetzt weder die Zeit noch die Lust, dem weiter nachzugehen.

Deshalb: Einfach "user1" zur root-Gruppe hinzufügen... wir arbeiten generell eh alle als root und auch Port 22 ist öffentlich mit der Einstellung "PermitRootLogin yes" - von daher.

[Tintom]

Deshalb: Einfach "user1" zur root-Gruppe hinzufügen... wir arbeiten generell eh alle als root und auch Port 22 ist öffentlich mit der Einstellung "PermitRootLogin yes" - von daher.

Nein, die Frage war eine andere... ein zweiter root-user...

Das geht nicht. Wenn du z.B. die Dateien von apt ansiehst, wirst du feststellen, dass der User root diese Dateien schreiben/löschen kann, der User, der nur in der Gruppe root ist, jedoch nicht. Entweder teilst du das root-Passwort mit oder du arbeitest mit Lösungen wie sudo, runas oder ähnlichen Konstrukten. Wobei du bei apt auch das gänzlich weglassen könntest und stattdessen mit unattended-upgrades arbeiten kannst.

UND: Die Mitarbeiter haben sich beklagt, dass bei "user1" mit sudo nicht alles klappe... und ich habe jetzt weder die Zeit noch die Lust, dem weiter nachzugehen.

Überdenke diesen Ansatz bitte noch einmal. Es gibt schon genug Zombiemaschinen auf dieser Welt...

[jmar83]

Danke fürs Feedback.

Wenn die Mitarbeiter halt nicht in der Lage sind, herauszufinden dass z.B. WinSCP speziell konfiguriert werden muss wenn es sich um einen sudoer handelt mit dem man sich einloggt und mit diesem halt irgendwelche Verzeichnisse mit root-Berechtigungen ändern will... *** NERV!!! ***

[tobo]

UND: Die Mitarbeiter haben sich beklagt, dass bei "user1" mit sudo nicht alles klappe... und ich habe jetzt weder die Zeit noch die Lust, dem weiter nachzugehen.

Grundsätzlich ist das natürlich eine ziemlich schräge Ansage, dass du weder Zeit noch Lust hast dich darum zu kümmern. Deshalb nur die Frage, ob möglicherweise in /etc/sudoers env_reset gesetzt oder secure_path angepasst wurde?

Und was das Grundsätzliche angeht, da kann man Tintoms Bedenken gar nicht fett genug schreiben!

[jmar83]

Da scheint etwas nicht ganz zu stimmen: Nach einem usermod -a -G root user1 kann ich nicht mal cd /root ausführen.

Also hat's wohl gar nix geklappt mit usermod -a -G root user1

[jmar83]

"Deshalb nur die Frage, ob möglicherweise in /etc/sudoers env_reset gesetzt oder secure_path angepasst wurde?"

Kannte ich bis anhin nicht...

[mludwig]

Das home-Verzeichnis von root darf nur der Nutzer root lesen und schreiben ...

Code: Alles auswählen

 ls -la /
 ...
drwx------   1 root root 1078  2. Dez 00:09 root
...

Dein Vorhaben geht so nicht. Für einige Vorgänge sind root-Rechte erforderlich, die Mitgliedschaft in der Gruppe root reicht da nicht. Also entweder sudo oder su - ...

[JTH]

Also hat's wohl gar nix geklappt mit usermod -a -G root user1

Doch, das hat sicherlich geklappt.

Nach einem usermod -a -G root user1 kann ich nicht mal cd /root ausführen.

Wenn du nicht in der Lage bist, herauszufinden warum das trotz der obigen Gruppenzugehörigkeit nicht möglich ist, solltest du vielleicht auch deine ursprüngliche Absicht hier nicht weiter verfolgen …

Nach dem Neustart habe ich zum Testen "apt update" eingegeben.

Resultat:
[…]
Scheint also irgendwie nicht ganz zu klappen mit: usermod -a -G root user1

apt guckt vermutlich auf die Benutzer-ID, nicht auf die Gruppe. Einen vollwertigen, zweiten root-Benutzer anzulegen wird sicher nicht gehen.

1.) usermod -aG sudo user1

2.) visudo -> Das hier eingetragen: user1 ALL=(ALL) NOPASSWD:ALL

Die beiden Schritte sind mehr oder weniger redundant.

Wenn die Mitarbeiter halt nicht in der Lage sind, herauszufinden dass z.B. WinSCP speziell konfiguriert werden muss […]

Wenn die nicht einmal dazu nicht in der Lage sind, sollten sie vielleicht auch nicht in der Position sein, einen Server mit root-Rechten bearbeiten zu müssen.

UND: Die Mitarbeiter haben sich beklagt, dass bei "user1" mit sudo nicht alles klappe... und ich habe jetzt weder die Zeit noch die Lust, dem weiter nachzugehen.

So wie oben geschrieben geht damit eigentlich alles.

[jmar83]

Also ist de facto UNMÖGLICH, einen 2. Benutzer anzulegen welcher ALLE Berechtigungen hat und deshalb auch z.B. auf /root zugreifen darf? (Bei Window$ kann man ja einfach nen 2. User "admin2" in der Administratoren-Gruppe anlegen und dieser kann dann auch auf C:\users\admin1 zugreifen...)

[jmar83]

"Die beiden Schritte sind mehr oder weniger redundant."

Nicht dass ich wüsste - mit dem visudo-Eintrag kann kann man verhindern, dass der sudoer jedes mal das Kennwort eingeben muss.

[jmar83]

Aber der Mitarbeiter war jedenfalls in der Lage, dass root-Kennwort über den sudoer "user1" abzuändern - als "user1" noch nicht in der root-Gruppe war...

Schon sehr komisch, dass man als "user1" - sudoer das root-Kennwort ändern darf, aber als "user1" in der root-Gruppe nicht in der Lage ist, auf /root zuzugreifen...?

[jmar83]

Pragmatische Lösung des Problems:

- Die Mitarbeiter haben nun den "root"-Account mit ihrem eigenen Kennwort

- Ich habe nun den "user1"-Account als sudoer mit dem Kennwort welches ich fest im Kopf habe (aber nicht verraten darf da es unser "grosses Passwort" ist) und deshalb jederzeit eingeben kann

[Tintom]

Pragmatische Lösung des Problems:

- Die Mitarbeiter haben nun den "root"-Account mit ihrem eigenen Kennwort

- Ich habe nun den "user1"-Account als sudoer mit dem Kennwort welches ich fest im Kopf habe (aber nicht verraten darf da es unser "grosses Passwort" ist) und deshalb jederzeit eingeben kann

Ich hoffe, du nimmst uns nur auf den Arm
Falls nicht, hast du damit de facto die Kontrolle über die Maschine (+ das „große Passwort“) verloren.

[jmar83]

Es geht nicht darum, dass ich den MA nicht vertraue, keinesfalls.

Ich will mich einfach jederzeit mit dem "grossen" Passwort einloggen können welches ich im Kopf habe. Habe dass schon entsprechend kommuniziert bei meinen Leuten. Der eine MA hat ja das root-Password geändert weil er als (eigentlich reiner C/C++-Entwickler) mit dem sudo-user1 nicht klar kam. Und nicht weil er mir die Kontrolle entziehen wollte.

Klar, nun könnte er natürlich weiterhin (gerade als "root", klar) mein "grosses" user1-sudoer-Passwort ändern. Tut er aber nicht (mehr).

[jmar83]

Und noch was: Das mit "PermitRootLogin yes" ist z.B. auch bei Plesk gängiger Standard. Na gut, vielleicht sollte man es besser z.B. auf Port 30022 als standardmässig auf 22 laufen lassen. Setzt schon mal ne Hürde für Angreifer.

Und soooo kritisch sind die Sachen aktuell auch wieder nicht...

[TRex]

bei Plesk gängiger Standard

*kicher* Plesk, das Hochsicherheitsprodukt. Also bei meinem VPS kann sich root ebenfalls einloggen (Port 22), allerdings nur mit SSH-Key.

Ich greife mal denen vorweg, die gerade zuckend auf dem Boden liegen und versuche zu erklären, warum die meisten dein Setup (und Mindset dazu) kritisieren:

1. die größte Gefahr (in Sachen "Datenreichtum" und sonstigen IT-Sicherheitsvorfällen) sind die Mitarbeiter. Das ist nicht gleichzusetzen mit "ich vertraue meinen Mitarbeiten nicht", sondern mit potentiellem Unwissen und einer Risikobewertung für menschliche Reaktionen.
a) dein MA hat die Macht über das System, er kann also auch unabsichtlich das System schrotten oder in irgendeiner Weise die Sicherheit gefährden, weil er seine Produktivität erhöhen oder ein Problem lösen will. Keine Rechte? chmod -R 777 / Keine Verbindung? listen 0.0.0.0:3306 (auf nem von außen erreichbaren System). Freitag nachmittag, mal diese tolle Admin-UI ausprobieren? dpkg -i Downloads/webmin-0.4.1-beta.deb
b) es läuft gerade nicht so gut, ihr hattet Streit über die Zukunft oder weiß der Geier was, Impulshandlung rm -rf /, um dir eins reinzuwürgen.
c) unwahrscheinlich(st)er Fall, deiner Beschreibung nach: dein MA tauscht diverse Dateien auf dem System aus und loggt sich dein Passwort irgendwo hin.
2.

soooo kritisch sind die Sachen aktuell auch wieder nicht

Hm, was bedeutet aktuell? Meinst, dass sich das ändern könnte? Oder was bedeutet "soooo" kritisch? Könnte man auch offen auf ein öffentliches dropbox legen? (Frage an dich für dich, ich brauch da keine inhaltliche Antwort - es geht um die Einschätzung, wie schützenswert die Daten sind und was man als Folge daraus dafür tun muss).
3. Es gibt da schon ein "gemeinsames Verständnis" für best practices auf geteilten Systemen. Das ist bei dir aber noch nicht angekommen (vermutlich, weils bisher keinen Anlass gab, sich Sorgen zu machen und auch keinen Vorfall) und die, die sich ausmalen können oder bereits Erfahrungen gemacht haben, was passieren kann, wenn man die nicht mal kennt, würden dich gerne vor dem Schicksal bewahren (oder sie glauben, dass du sie kennst und ignorierst, und sind entsprechend enttäuscht - vor allem in deiner aktuellen Rolle als Admin).
4. Nachdem ich als Admin die Grenzen festlege, was jemand tun soll/darf und was nicht, würde ich nicht wegen fehlender Doku oder Verständnis oder Ignoranz der existierenden Doku die Rechte erweitern. Ansonsten müsste ich mich fragen, ob die Grenzen denn sinnvoll gesteckt waren (und diese Entscheidung würde ich niemandem überlassen, der Entscheidungen nach "nerv mich nicht"-Lage trifft).

[jmar83]

Vielen Dank für dein sehr kompetentes, umfangreiches Feedback!!

(P.S.: Also mein Hoster privat (Alfahosting) wie auch der in der Firma (Strato) haben (zumindest wenn ich mich richtig einnere) ein reines Benutzername + Kennwort-Login (also KEIN Key) per default auf Plesk vorkonfiguriert...)

Klar, was du sagst ist nicht dementierbar - nüchterne, aber knallharte Fakten...

[KP97]

Hoffentlich finden die Chefs nicht heraus, welchen "Admin" sie da haben...

[jmar83]