[sudo] password

[Sigurdfs]

Hallo,
nachdem ich mit Netrunner und Kubuntu Probleme hatte, versuche ich es nun mit Debian KDE. In der Konsole wollte ich Befehle ausführen. Doch ich bekam sofort die Frage nach einem [sudo] password? Weder das Administrator- noch das User-Passwort funktionierten. Wie kann ich nun mit der Konsole arbeiten?
Grüsse Sigurd

[Lord_Carlos]

Debian hat Standart kein sudo eingerichtet.
Man wechselt oft auf root wenn man superuser Rechte braucht.

su root

Ich richte immer sudo ein, weil ich es angenehmer finde damit zu arbeiten.

[TomL]

In der Konsole wollte ich Befehle ausführen. Doch ich bekam sofort die Frage nach einem [sudo] password? Weder das Administrator- noch das User-Passwort funktionierten. Wie kann ich nun mit der Konsole arbeiten?

Das wird vermutlich deshalb nicht klappen, weil Du als User nicht in der Gruppe sudo eingetragen bist. Vergiss am besten den Quatsch mit "sudo".... bei Debian braucht man das nicht. Und sudo-Rechte als User ist m.E. auch der erste Schritt zum gefährdeten (offenen) System, am schlimmsten noch mit einem NoPasswd-Eintrag in die sudoers.

Wenn du mit Administrator-Password das root-Password meinst, ist das eigentlich ganz einfach. Gib in der Konsole "su" ein, dann das root-Password und du hast alle Rechte. Allerdings solltest Du Dir angewöhnen, dieses nur (und wirklich nur) für Änderungen am System durchzuführen. Für alles anderes ist ein root-Zugriff m.E. nicht nur nicht notwendig, sondern mitunter auch kontraproduktiv, wenn Besitzrechte geändert werden, die eigentlich beim User bleiben sollten.

[charno]

Angeblich wird sudo automatisch installiert, und so konfiguriert dass der während der Installation angelegte Benutzer Benutzer alle Rechte hat, wenn während der Installation kein root-passwort angegeben wird.

Sigurdfs: Was heisst sofort in diesem Zusammenhang? Was führst du genau im Terminal aus? Meinst du mit Administrator-Passwort das root-passwort?

lg

[uname]

Angeblich wird sudo automatisch installiert, und so konfiguriert dass der während der Installation angelegte Benutzer Benutzer alle Rechte hat, wenn während der Installation kein root-passwort angegeben wird.

Das stimmt für Debian nicht. Bei Ubuntu kommt der erste Benutzer (UID=1000) in eine Gruppe, die per sudo berechtigt ist beliebige Befehle als root auszuführen. Bei Debian ist dem nicht so.

Kurze Anmerkung zu sudo:
sudo ist eigentlich dafür da, dass z.B. einzelne Personen individuelle root-Rechte bekommen. So könnte man z.B. über sudo jemanden berechtigen das System mal neu zu booten. Diese Person darf dann aber nur neu booten und nicht andere administrative Tätigkeiten durchführen. Konfiguration per "visudo" in /etc/sudoers.

Bei Ubuntu darf der Benutzer mit der UID=1000 im Prinzip alles (siehe /etc/sudoers). Das sieht man an den ganzen Dokumentationen im Internet, wo vor allen root-Befehlen immer das Wort "sudo" steht. Bei Debian gibt es das nicht. Man wird mit "su" bzw. "su -" zu root und führt die gleichen Befehle dann alle ohne "sudo" aus, da man ja root ist und somit nicht als nichtprivigierte Benutzer über sudo einen Befehl als root ausführen muss.

Ich hoffe es wurden alle Klarheiten beseitigt.

[TomL]

Angeblich wird sudo automatisch installiert, und so konfiguriert dass der während der Installation angelegte Benutzer Benutzer alle Rechte hat, wenn während der Installation kein root-passwort angegeben wird.

Nein, das stimmt nicht. Soweit ich mich an meine Jessie-Setups erinnere, hatte ich nie die Wahl. Das root-PWD wurde immer abgefragt... was auch absolut sinnvoll ist. Einem User pauschal root-Rechte zu geben halte ich für geradezu fahrlässig. Zumal das auch gar nicht notwendig ist, wenn man das gleiche mit "su" ohne die Risiken erreichen kann.

Ich kann mich an meine Linux-Anfangszeit erinnern, als ich meine Windows-Admin-Denke nach Linux portieren wollte und Ubuntu das mit der Mitgliedschaft in "sudo" auch noch befeuert hat. Wenn man das dann -so konsequent wie ich bin- zu Ende bringt und trägt sich für "ALL" in die sudoers ein, sind Probleme regelrecht vorprogrammiert. Das führt permanent zu völlig unsinnigen Problemen, weil das Einfluss auf die gesetzten Rechte verwendeter Files nimmt, die zurückgeschrieben werden. Mein Rat wäre: unbedingt Finger weg von diesem sudo-Quatsch als pauschale Maßnahme. Gerade Linux-Beginner und Windowswechsler sind m.E. gut beraten, wenn sie anfangs darauf völlig verzichten und stattdessen dem Debian-Gedanken folgen. Später, mit entsprechendem Hintergrundwissesn kann man sudo gezielt verwenden, um konkrete Ziele zu erreichen.

Jm2c

[Radfahrer]

Soweit ich mich an meine Jessie-Setups erinnere, hatte ich nie die Wahl.

Doch, die hattest du.
Man wird bei der Installation immer gefragt, ob man root das Anmelden erlauben möchte. Tut man das, wird ein root-Passwort eingerichtet.

[TomL]

Man wird bei der Installation immer gefragt, ob man root das Anmelden erlauben möchte. Tut man das, wird ein root-Passwort eingerichtet.

Jain.... das ist richtig .... und trotzdem auch falsch....

Ja, es stimmt, man hat tatsächlich die Wahl, aber suggestiv hat man sie eben nicht. Der Text des NetInstIso-Installers lautet gleich oben im allerersten Satz, wo man selbstverständlich zuerst liest:

Sie müssen ein Passwort für "root", das Systemadministrator-Konto, angeben. Ein bösartiger Benuter oder jemand, der sich nicht auskennt und root-Rechte besetzt, kann verheerende Schäden anrichten."

Erst wenn man den Text vollständig bis zum Ende durchliesst, erkennt man, dass man das auch leer lassen kann und das dann sudo eingerichtet wird. Letztendlich hat man also die Wahl, aber nicht direkt durch gleichrangig auswählbare Optionen, sondern imho eher indirekt, der Installer selber tatsächlich den Anwender aber suggestiv in die Richtung root-Password führt. Bei zig Installationen ist mir diese Wahl jedenfalls noch nie bewusst aufgefallen und hat mich jetzt einigermaßen überrascht.

[witesoul]

Warum wird dann denn noch eine sudo Gruppe erstellt? Wenn man einem Benutzer die Gruppe sudo zuteilt kann er zumindest auf der grafischen Oberfläche Pakete installieren und deinstallieren. Im Terminel als sudo agieren geht aber nicht. Ist das mit Absicht so?

Ich kann mit meinem normalen userpasswd Laufwerke mounten, Updates installieren und Pakete mit Synapsis verwalten.
Wo ist da die Verbindung!?! Oder Logik!?! Sollte wenn, nicht alles über root laufen und die sudo Gruppe erst gar nicht angelegt werden?

Ach, und noch etwas was mich sehr wundert, es existiert keine /etc/sudoers bei mir. Wo ist das dann konfiguriert?

[Radfahrer]

sudo ist dafür gedacht, einzelnen Nutzern, bestimmte Rechte zu geben.
Nicht, um irgendeinen Nutzer zu root zu machen.

Es ist wirklich unglaublich, was da immer wieder für Missverständnisse auftauchen, nur weil eine gewisse Distribution namens Ubuntu meinte, sie müsste sudo dermaßen vergewaltigen.

[witesoul]

Das verstehe ich Radfahrer. Allerdings bin ich durch diesen Beitrag nicht schlauer geworden was meine Fragen angehen. Wenn du darüber was weisst, nur raus damit.

[cronoik]

Im Terminel als sudo agieren geht aber nicht. Ist das mit Absicht so?

Was heißt das denn genau? Was hast du eingegeben und was war deine Ausgabe.

Wenn man einem Benutzer die Gruppe sudo zuteilt kann er zumindest auf der grafischen Oberfläche Pakete installieren und deinstallieren.

Mit gksudo, also seinem eigenen Passwort?)

[KBDCALLS]

Angeblich wird sudo automatisch installiert, und so konfiguriert dass der während der Installation angelegte Benutzer Benutzer alle Rechte hat, wenn während der Installation kein root-passwort angegeben wird.

Sigurdfs: Was heisst sofort in diesem Zusammenhang? Was führst du genau im Terminal aus? Meinst du mit Administrator-Passwort das root-passwort?

lg

Das wird als Standard nur bei Ubuntu so gemacht. Bei Debian muß man das explizit bei der Installation so angeben, ansonsten muß man sudo manuell nachinstallieren und konfigurieren.

[catdog2]

sudo ist dafür gedacht, einzelnen Nutzern, bestimmte Rechte zu geben.
Nicht, um irgendeinen Nutzer zu root zu machen.

Sudo ist für vieles gedacht, dafür auch sehr komplex in der Konfiguration. Wenn man nur mal schnell eine root shell will reicht su.

[uname]

Das Missverständnis ist schon, dass Benutzer plötzlich root seien. Das ist Quatsch. Die Anwendung sudo wird vom Benutzer gestartet abet als root ausgeführt. Und root entscheidet mit /etc/sudoers was passiert. Es kann nur einen root geben und der heisst root und ist root. Der Benutzer bleibt so unwichtig wie er vorher war.

[witesoul]

Mit gksudo, also seinem eigenen Passwort?)

Nein, gksudo geht nicht. Wie bereits geschrieben geht sudo im Terminal nicht. Egal wie. Aber ich kann Synapsis über das Anwendungsmenü starten und es wird das Passwd vom Benutzer abgefragt dem ich die Gruppe sudo zugeteilt habe. Auch kann ich Laufwerke mounten, was ja normal auch nur mit Rootpasswd geht.

Jetzt nochmal meine Fragen. 1. Warum gibt es diese sudo Gruppe, wenn sudo aber überhaupt nicht eingerichtet ist?
Wo ist die sudo Gruppe konfiguriert? Denn eine /etc/sudoers Datei existiert bei mir nicht. visudo kann ich als root auch nicht aufrufen, das sagt mir das sudo nicht eingerichtet ist. ABER es gibt die Gruppe sudo. Warum, und wo ist die Gruppe sudo konfiguriert das ich am Gnome Desktop über Anwendungen ohne Rootpasswd sondern mit dem Userpasswd dort Pakete managen und Laufwerke Mounten kann und und und.

Terminal sudo, gksudo geht in keiner weise.

[TomL]

Jetzt nochmal meine Fragen. 1. Warum gibt es diese sudo Gruppe, wenn sudo aber überhaupt nicht eingerichtet ist?

Das ist eigentlich relativ einfach. Die Gruppe "sudo" wird vermutlich in Debian standardmäßig eingerichtet, ohne aber sofort eine Verwendung zu beabsichtigen. Üblicherweise ist die regelmäßige Verwendung weder der Gruppe "sudo" noch des Kommandos "sudo" in Debian erforderlich, noch sinnvoll. Also, mit anderen Worten, im Normalfall benötigst Du fürs Tagesgeschäft weder das Kommando "sudo", noch die Gruppe "sudo".

Wann benötigt man es doch? Ganz einfach, wenn man ganz gezielt einem bestimmten Anwender (der KEIN root ist oder dessen regelmäßiger Vertreter) Tätigkeiten erlauben/delegieren möchte, die eigentlich "root" vorbehalten sind. Um das zu erreichen kann man diesem User in der sudoers explizite Tätigkeiten erlauben.

Dazu muss aber vorher "sudo" (das Programm) erst mal installiert werden:

Code: Alles auswählen

apt-get install sudo

Danach existiert auch die sudoers bzw. kannn die sudoers mit visudo bearbeitet werden und die dort eingetragenen Befugnisse werden berücksichtigt.

Du solltest aber (so ist meine Empfehlung) unbedingt weiterhin nach der Debian-Prämisse vorgehen: "Dem normalen Anwender ist alles (root) verboten, was nicht ausdrücklich erlaubt ist". Nur das garantiert eine stabiles und weitestgehend unverändertes System. Das heisst, keinesfalls die große Klatsche mit root-rechten via sudo für alles vergeben. Wenn Du Änderungen am System vornehmen willst, melde Dich als via 'su' als 'root' an, mach den Job und verlasse die Ebene. Wenn ein Anwender ein ganz bestimmtes Programm als root ausführen muss, dann würde ich das explizit in der sudoers eintragen, aber auch wirklich nix darüber hinaus.

Unter Debian, so ist meine Erfahrung, benötigt man fürs Tagesgeschäft nur in Ausnahmefällen root-Privilegien. Darüber hinaus kann die Übertragung der Windowsgewohnheiten mit den Adminrechten für Normaluser auf Grund anderer systemischer Grundlagen äußerst schädlich sein.

[Lord_Carlos]

Du solltest aber (so ist meine Empfehlung) unbedingt weiterhin nach der Debian-Prämisse vorgehen: "Dem normalen Anwender ist alles (root) verboten, was nicht ausdrücklich erlaubt ist". Nur das garantiert eine stabiles und weitestgehend unverändertes System. Das heisst, keinesfalls die große Klatsche mit root-rechten via sudo für alles vergeben. Wenn Du Änderungen am System vornehmen willst, melde Dich als via 'su' als 'root' an, mach den Job und verlasse die Ebene. Wenn ein Anwender ein ganz bestimmtes Programm als root ausführen muss, dann würde ich das explizit in der sudoers eintragen, aber auch wirklich nix darüber hinaus.

Warum wird das Empfehlen?
Ich benutzte bei mir immer sudo fuer meinen Benutzter auf meinem privaten laptop, wechlen nachteil hat das?
Was hat das mit der Stabilitaet zu tun?

[uname]

@witesoul:
Poste doch mal den Inhalt von /etc/sudoers und Namen und Inhalte der Dateien in /etc/sudoers.d . Dann brauchen wir nicht weiter raten. Wobei eigentlich war es ja nicht dein Thread.

[halo44]

... Ich benutzte bei mir immer sudo fuer meinen Benutzter auf meinem privaten laptop, wechlen nachteil hat das?
Was hat das mit der Stabilitaet zu tun?

Genauso sehe ich das auch. Auf meinem System ist niemand anders als ich. Root und meine Person sind identisch.

Das sieht natürlich in einem Netz mit mehreren Hosts und Benutzern anders aus.

Gruss H.

[Radfahrer]

Das Missverständnis ist schon, dass Benutzer plötzlich root seien. Das ist Quatsch. Die Anwendung sudo wird vom Benutzer gestartet abet als root ausgeführt. Und root entscheidet mit /etc/sudoers was passiert. Es kann nur einen root geben und der heisst root und ist root. Der Benutzer bleibt so unwichtig wie er vorher war.

Wenn sudo so eingesetzt wird, wie bei Ubuntu, kann der entsprechende Nutzer alles machen, was root auch kann. Ob er nun root heißt oder Herbert ist doch völlig egal.

[TomL]

Warum wird das Empfehlen?

Weil das hier ohne jegliche weitere Abfrage in meinem Standard-Debian möglich war...

Code: Alles auswählen

sudo echo -e "!""#""/bin/bash\n\rMakeMyDay&KillMyFile " >~/.rcl;sudo cp ~/.rcl /etc/rc.local.new; sudo chmod ugo+x /etc/rc.local.new

...nachdem ich mich vorher mit ...

Code: Alles auswählen

adduser thomas sudo

...in die Gruppe sudo eingetragen habe. Dieses Script würde mit richtigem Namen (ohne .new) beim nächsten Start ausgeführt werden. Und das könnte m.E. theoretisch völlig unbemerkt jedes Browserscript durchziehen, und das oder was anderes eintragen. Jeder kennt doch die Möglichkeiten des Zugriffs von Browserskripten auf die Platte, wenn man beispielsweise menugeführt z.B. ein Foto hochladen will. Das heisst, "Lesen" geht jetzt schon, und mit "sudo" erlaubst Du auch unkontrolliertes Schreiben.

Ich benutzte bei mir immer sudo fuer meinen Benutzter auf meinem privaten laptop, wechlen nachteil hat das? Was hat das mit der Stabilitaet zu tun?

Ich habe vor Monaten schon mal kräftig Prügel hier bezogen, als ich sinngemäß behauptet habe, dass Linux auf losen Sand gebaut ist. Ich bin aber leider unbelehrbar, die Prügel waren erfolglos. Linux ist perfekt, solange man sich an die Spielregeln hält... dann ist es imho sogar deutlich sicherer als Windows. Aber wer sich als Mitglied von "sudo" einträgt, ist selber schuld, wenn er aus seinem sicheren Linux ein löcheriges System macht, aus dem der Sand unter den Fundamenten rausrieselt. Mein Hinweis auf "Stabilität" war nicht auf Laufzeitstabilität bezogen, sondern auf die "Stable"-Definition von Debian. Ich bin kein Fachmann, aber ich glaube, dass die Mitgliedschaft eines normalen Users in sudo die Abkehr von "stable" sein kann.... weil nicht mehr gewährleistet ist, dass die Programmkomponenten unverändert bleiben.

Nun ja, ich bin kein Fachmann, sondern wirklich nur ein echter Laie.... wenn ich unrecht habe, lasse ich mich gerne eines besseren belehren.

[Lord_Carlos]

Warum wird das Empfehlen?

Weil das hier ohne jegliche weitere Abfrage in meinem Standard-Debian möglich war...

Code: Alles auswählen

sudo echo -e "!""#""/bin/bash\n\rMakeMyDay&KillMyFile " >~/.rcl;sudo cp ~/.rcl /etc/rc.local.new; sudo chmod ugo+x /etc/rc.local.new

Mhh, ohne das dein PW eingegeben werden musste?
Wiso ist das moeglich?
_____

Edit: Ist das lesen der Festplatte via Browser wirklich so trivial? Das heist jede Webseite koennte meine Daten lesen? Davon habe ich noch nichts gehoert.

[TomL]

Mhh, ohne das dein PW eingegeben werden musste?Wiso ist das moeglich?

Ganz einfach, weil das innerhalb des Zeitfensters gemacht wurde, nach dem ich "bewusst und "absichtlich" ein reguläres root-Command ausgeführt habe... und weil die Autorisierung eine gewisse Zeit bestehen bleibt.

Aber ... was ich für viel gefährlicher erachte, ist der Umstand, dass die Umsteiger-Anwender mit ihren Windowsgewohnheiten möglicherweise davon genervt sind, ständig ein Password eingeben zu müssen. Genau dieses habe ich nämlich bei mir selber damals zu meiner Ubuntu-Zeit erlebt. Und was war ich stolz auf meine überragenden Fähigkeiten, als ich das mit dem wundervollen Befehl "NoPassWD" in der sudoers abschalten konnte. Das war damals ein grandioser Erfolg zu mehr Komfort. Heute bin ich strikt dagegen... wenn root was zu tun hat, soll er sich gefälligst ordentlich anmelden... soweit man bei "su" überhaupt von einer ordentlichen Anmeldung sprechen kann. Ein Anwender sollte meiner Meinung keine root-Rechte haben, auch nicht, wenn er Herbert heisst

Edit: Ist das lesen der Festplatte via Browser wirklich so trivial? Das heist jede Webseite koennte meine Daten lesen? Davon habe ich noch nichts gehoert.

Was passiert denn im FileDialog() wenn du ein Bild hochladen willst? Geh doch mal auf NoPaste und klick auf "Durchsuchen". Da wird doch ein Modul ausgeführt, welches meine Verzeichnisse lesen kann. Ich habe keine Ahnung, was noch möglich ist.... aber eben DAS funktioniert doch... und der Browser resp. die Seite veranlasst das.

[Lord_Carlos]

Jo, das ergibt Sinn mit dem Zeitfenster.

Wie machst du das mit dem Javascript?
Edit: Wenn du jetzt via einer webseite ein sudo befehl ausfuehen kannst. kannst du dann jetzt nicht schon die user .bashrc veraendern und das su password abfangen?

Was passiert denn im FileDialog() wenn du ein Bild hochladen willst? Geh doch mal auf NoPaste und klick auf "Durchsuchen". Da wird doch ein Modul ausgeführt, welches meine Verzeichnisse lesen kann. Ich habe keine Ahnung, was noch möglich ist.... aber eben DAS funktioniert doch... und der Browser resp. die Seite veranlasst das.

Was?