Root-Passwort/sudo

[fischig]

Falls jemand ein ähnliches Interesse und Lust hat das umzusetzen: Mich interessierte mal ein Meinungsbild, wie oft Debian mit oder ohne Root-Passwort installiert wird und warum.

Hintergrund:
Es erstaunt mich immer wieder, mit welcher Selbstverständlichkeit in manchen Beiträgen bei x-beliebigen, Rootrechte benötigenden Aufgaben die Existenz von sudo, ergo kein Root-Passwort, als selbstverständlich gegeben angenommen wird.

[TRex]

Ich hab ein Passwort für root auf allen Systemen und abgesehen vom VPS überall zusätzlich sudo... Fackeln und Mistgabeln bitte in den Ständer im Eingangsbereich, danke!

[thunder11]

Sudo hab ich gepurged.
Brauch ich nicht.
Das einzige Programm, was mich da "geärgert" hat, ist FreeFileSync. Die brauchen zwingend für die Installation sudo Das ist der Grund, warum ich auf flatpak zugreifen musste.
Für Anwendungen, die ich als Root im Terminal ausführen muss, hab ich mir eine Policy kreiert
(wg. Klicki-Bunti), aber mit PW- Eingabe

Edit:
In Thunar gibt es dann diverse "custom-actions" mit denen ich dann per KLick Dinge ausführen kann:
z.B. Datei öffnen als Root mit Nano / Mousepad Ordner als Root mit Thunar / Nemo öffnen usw.

[chrbr]

Ich habe bisher immer root mit Passwort eingerichtet. Für wenige Dinge nutze ich sudo.

Hintergrund:
Es erstaunt mich immer wieder, mit welcher Selbstverständlichkeit in manchen Beiträgen bei x-beliebigen, Rootrechte benötigenden Aufgaben die Existenz von sudo, ergo kein Root-Passwort, als selbstverständlich gegeben angenommen wird.

Mir wäre schon die Notwendigkeit, vor jedes Kommando sudo eintippen zu müssen zu umständlich.

Fackeln und Mistgabeln bitte in den Ständer im Eingangsbereich, danke!

Das ist aber praktisch, für die "Ausrüstung" ist also gesorgt.

[TRex]

sudo ist des Teufels! Aber wenn ich irgendwo in nem bestimmten Verzeichnis, mit bestimmten für den Kontext relevanten Befehlen in der nahen history, in nem virtualenv vielleicht noch bin... und dann soll ich da raus mit su, mein Ding in ner anderen Shell tun, dann wieder die beenden und in meiner eigentlichen Umgebung weitermachen? Ja, das ist so viel einfacher

[thunder11]

Aber wenn ich irgendwo in nem bestimmten Verzeichnis, mit bestimmten für den Kontext relevanten Befehlen in der nahen history, in nem virtualenv vielleicht noch bin... und dann soll ich da raus mit su, mein Ding in ner anderen Shell tun, dann wieder die beenden und in meiner eigentlichen Umgebung weitermachen? Ja, das ist so viel einfacher

Verstehe ich nicht .. bitte mal übersetzen, oder erklären

[tijuca]

Naja, wer die genauen Feinheiten su/sudo kennt auch den Sarkasmus in den Zeilen lesen.

Oder mal anders, schon Mal probiert einen Befehl für einen Benutzer auf dem System auszuführen der gar keine Login Shell hat? Wird dann so langsam klar warum es dieses so pöse sudo gibt?

[thunder11]

Oder mal anders, schon Mal probiert einen Befehl für einen Benutzer auf dem System auszuführen der gar keine Login Shell hat? Wird dann so langsam klar warum es dieses so pöse sudo gibt?

Nöö wird nicht klar. Ich sitze allein vor meinem Rechner. Gibt es da noch andere als mich und Root, die ich
animieren wollte einen Befehl auszuführen ?

[fischig]

Es ging mir nicht gegen sudo, siehe „Hintergrund“. Ich benutze sudo selbst selbst (meinem bescheidenen Kenntnissen geschuldet, nur in Scripten).

Nöö ,wird nicht klar.

Mir auch nicht, es ist vermutlich eine sehr spezielle Anwendung von sudo. Wie gesagt, ich denke schon, dass das auch in Debian seine Berechtigung hat. „B/Pöse“ Software gibt's nicht

Ich dachte auch mehr an eine Umfrage. Aber so wichtig, um mich einzuarbeiten, wie man das hier macht (Umfrage erstellen) ist es mir auch wieder nicht.

[thunder11]

Will das hier nicht ausweiten. Trotzdem zitiere ich mal Ubuntu:https://wiki.ubuntuusers.de/PolicyKit/

.....
Die allgemeine Syntax lautet[2]:

Code: Alles auswählen

pkexec [OPTIONEN] PROGRAMMNAME 

wird keine Option angegeben, wird PROGRAMMNAME mit Root-Rechten ausgeführt. Dazu muss man Root-Rechte auf dem System haben und das Passwort wird - genau so wie bei sudo - abgefragt.

Mittels pkexec kann man PROGRAMMNAME aber auch mit den Rechten eines anderen (unprivilegierten) Nutzer ausführen. So würde z.B.

Code: Alles auswählen

pkexec -u otto PROGRAMMNAME 

PROGRAMMNAME als Nutzer otto ausführen. Vor der Ausführung wird nach dem Password von otto gefragt.

Wer eine Root-Shell benötigt führt folgenden Befehl aus:

Code: Alles auswählen

pkexec bash -l 

Weitere Wege zum Arbeiten mit Root-Rechten sind im Wikiartikel mit Root-Rechten arbeiten aufgeführt.
Programme mit grafischer Oberfläche ausführen

pkexec kann standardmäßig keine Programme mit Root-Rechten ausführen, welche eine grafische Oberfläche haben. So würde z.B. der Aufruf

Code: Alles auswählen

pkexec gedit 

zu einer Fehlermeldung --->

policy anlegen

Für die meisten Standard-Programme gibt es bereits eine Policy.
siehe: /usr/share/polkit-1/actions/

[tobo]

Gibt es da noch andere als mich und Root, die ich animieren wollte einen Befehl auszuführen ?

Die beiden reichen doch schon - entgegen dem bisher Gesagten mal ein konkretes Beispiel: Du bist in vim, editierst ewig lange rum an einer bestehenden Datei und beim Speichern erkennst du dann, dass die Datei Root gehört. Falls du jetzt nicht alle Änderungen in eine neue Instanz rüberkopieren willst, dann geht alternativ auch ein

Code: Alles auswählen

:w !sudo tee %

, falls sudo tee ansprechen kann. Sudo richtig eingesetzt, kann ziemlich nützlich sein.

[thunder11]

Falls du jetzt nicht alle Änderungen in eine neue Instanz rüberkopieren willst, dann geht alternativ auch ein

Code: Alles auswählen

:w !sudo tee %

, falls sudo tee ansprechen kann. Sudo richtig eingesetzt, kann ziemlich nützlich sein.

Ok - Das wäre eine nachvollziehbare Möglichkeit. Nur Nutze ich Vim nicht. Einmal aufgemacht und ganz schnell wieder geschlossen. Müsste also kopieren.
Mein Vorgehen wäre:
Die Datei (natürlich ) über den Dateimanager mit Root-Rechten öffnen (nano/Mousepad) und dann kopieren.

[fischig]

Du bist in vim, editierst ewig lange rum an einer bestehenden Datei und beim Speichern erkennst du dann, dass die Datei Root gehört.

Ich hätte das schlicht mit der Maus kopiert (vorausgesetzt vim kann das, ich benutze den auch nicht ) und erstmal in eine neue Datei gesteckt. Die Rechte kann man ja nachträglich korrigieren - falls nötig. TRex Beispiel dürfte sinniger sein, vermute ich mal - ich versteh's ja nicht.

Aber wie sieht's mit sowas aus:

Code: Alles auswählen

sudo apt-get install xyz

? Ohne Root-PW ist da sudo ein MUSS - denke ich. Und ich find's abartig.

[TRex]

TRex Beispiel dürfte sinniger sein, vermute ich mal - ich versteh's ja nicht.

Und deswegen ärgert es mich so, wenn immer wieder gegen sudo gewettert wird.

https://i.imgflip.com/7rq8bz.jpg

Aber wie sieht's mit sowas aus:

Code: Alles auswählen

sudo apt-get install xyz

? Ohne Root-PW ist da sudo ein MUSS - denke ich. Und ich find's abartig.

Was jetzt? Ohne root-PW brauchst du was anderes, was dir root-Rechte gibt. Wenn irgendjemand sudo apt-get... schreibt in seiner Doku, dann lässt man das sudo als mündiger sudo-Verweigerer eben weg und machst das in einer root-shell, und heult nicht den Thread voll, der in der Regel überhaupt nichts damit zu tun hat und dann nur unter der Diskussion leidet, die du dankenswerterweise separat führst.

Mein Beispiel kommt übrigens aus regelmäßigen Situationen, wo ich als User unterwegs bin und eben Dinge tue, für die ich keine root-Rechte brauche. Die shell zu wechseln, um einmalig Dinge als root zu tun (beispielsweise ein neu erstelltes unit-File nach /etc zu schieben, oder kurz ins dmesg zu schauen) unterbricht meinen Arbeitsfluss.

[mludwig]

Ich habe sudo auf einigen Servern eingerichtet (root hat aber trotzdem ein Kennwort).

Dort darf dann zum Bsp. der user Nagios einen Befehl ausführen, der den Zustand des Raidcontrollers abfragt - sowas wie tw_cli usw. die manchmal root-Rechte brauchen. Damit kann dann der nrpe-daemon diese Werte ermitteln und ans Monitoring weitergeben. In /etc/sudoers steht dann allerdings ziemlich genau drin, was ausgeführt werden darf - das genaue Kommando mit Parametern, aber ohne Passwortabfrage, dass soll ja automatisch, regelmäßig im Hintergrund laufen.

Auf dem Desktop nutze ich sudo nicht, wenn dann nehme ich "su -"

[tobo]

Die shell zu wechseln, um einmalig Dinge als root zu tun ([...] oder kurz ins dmesg zu schauen) unterbricht meinen Arbeitsfluss.

Logs als Benutzer, dmesg als Benutzer:

Code: Alles auswählen

//Log-Dateien als User anschauen:
# adduser <USER> adm

//dmesg als User ausführbar:
# printf "kernel.dmesg_restrict=0\n" >> /etc/sysctl.d/local.conf

[thoerb]

Wenn irgendjemand sudo apt-get... schreibt in seiner Doku, dann lässt man das sudo als mündiger sudo-Verweigerer eben weg und machst das in einer root-shell...

Das ist das Praktische daran in einer Doku, anhand dem vorgesetzten "sudo" erkennt man sofort, dieser Befehl benötigt Root-Rechte. Ob man sudo nutzt oder nicht.

[mat6937]

Das ist das Praktische daran in einer Doku, anhand dem vorgesetzten "sudo" erkennt man sofort, dieser Befehl benötigt Root-Rechte. Ob man sudo nutzt oder nicht.

Wenn Du das im DF machst, dauert es nicht lange, bis der erste fragt warum sudo benutzt wird.

[JTH]

Logs als Benutzer, dmesg als Benutzer:

Code: Alles auswählen

//Log-Dateien als User anschauen:
# adduser <USER> adm

//dmesg als User ausführbar:
# printf "kernel.dmesg_restrict=0\n" >> /etc/sysctl.d/local.conf

Ein

Code: Alles auswählen

addgroup USER systemd-journal

bietet alternativ (fast) beides – abgesehen von den Logdateien, deren Inhalt (noch) nicht (zusätzlich) im Journal landet und die der adm-Gruppe gehören, was aber auch nicht alle sind.

journalctl kennt -k/--dmesg.

[TRex]

tobo, JTH - danke für die Alternative, aber wollt ihr das jetzt für alles machen, was ich anführe, für was ich root-Rechte benötige?

[JTH]

Klar, bist du vom Bösen von sudo „geheilt“ bist

Ne, wollte damit nur auf journalctl -k hinweisen. Ich weise ja gern mal auf neue(re) Funktionalitäten hin, ähnlich wie mit apt list/den apt-Pattern

Aus der sudo-Diskussion halt ich mich lieber raus. Jeder, wie er mag – oder wie es die Arbeits-/Server-/Kunden-/Test-/Build-/Kollegen-/…umgebung vorgibt. Dass ich die Notwendigkeit für

Code: Alles auswählen

:w !sudo tee %

und ähnliches nur aus Umgebungen mit sudo kenne – in denen ohne arbeitet man an der Stelle sowieso meist schon als root und hat die notwendigen Schreibrechte – erwähne ich lieber nicht

[tobo]

Das ist das Praktische daran in einer Doku, anhand dem vorgesetzten "sudo" erkennt man sofort, dieser Befehl benötigt Root-Rechte. Ob man sudo nutzt oder nicht.

Historisch benutzte die Bourne-Shell # als den Root-Prompt und $ als den User-Prompt, was praktischerweise dann im globalen Linux-Umfeld für Befehlsbeschreibungen verwendet wurde. Wenn da heutzutage sudo vorsteht, dann ist das keine Linux-Beschreibung, sondern eine Ubuntu-Kopierhilfe.

@JTH: Auf einem Systemd-System mag das so sein. [Edit: bezogen auf viewtopic.php?p=1331449#p1331449]

[fischig]

anhand dem vorgesetzten "sudo" erkennt man sofort, dieser Befehl benötigt Root-Rechte.

Zwingend ist das Arument nicht, finde ich. Das hat man („früher“?) auch mit „vorangesetztem“ Doppelkreuz gekennzeichnet (siehe tobo). Ich könnt' jetzt auch behaupten, das „vorangestellte“ sudo zwingt zur Installation von sudo. Wohl gemerkt, ich könnt', tu's aber nicht.

Anhand meines trivialen Beispiels und anhand der Verfolgung der nach in meiner Wahrnehmung ziemlich tiefschürfenden DF-Diskussionen um Sinn und Zweck der Vergabe eines Root-PWs , den diversen eher nicht so tiefgründigen Diskussionen um „su/su -“ wollte ich einfach mal eruieren, inwiefern sich gängiges Installationsverhalten - womöglich unter dem Einfluss der Existenz von ubuntu - dahingehend geändert hat, dass „heutzutage“ auch Debian häufiger ohne Root-PW installiert wird:

Was jetzt? Ohne root-PW brauchst du was anderes, was dir root-Rechte gibt.

Nach meiner Wahrnehmung kommen OS-Systemwechsler heutzutage in ihrer deutlichen Mehrheit nicht mehr von suse/Windows, sondern von Ubuntu.

[tobo]

Dass ich die Notwendigkeit für

Code: Alles auswählen

:w !sudo tee %

und ähnliches nur aus Umgebungen mit sudo kenne – in denen ohne arbeitet man an der Stelle sowieso meist schon als root und hat die notwendigen Schreibrechte – erwähne ich lieber nicht

Klar, wenn man alles als root öffnet, dann besteht für so etwas natürlich keine "Notwendigkeit".

[rjh]

Seit meiner ersten Linuxinstallation Mitte der 1990er Jahre verwende ich selbstverständlich ein root Passwort. Wenn ich etwas als root zu erledigen habe, dann werde ich mittels

Code: Alles auswählen

su -

zum Administrator und wenn das erledigt ist, dann wird selbstverständlich root wieder beendet. sudo verwende ich normalerweise nicht.