[sudo] password

[TomL]

Welches Suchwort müsste ich eingeben um Diskussionen über das Thema zu finden? Das ist echt ein starkes Stück was ich da jetzt gelesen habe. Mich würde interessieren was dazu die Fachleute zu sagen, wenn ich als leihe (ok, vielleicht nicht ganz) bereits solche Bedenken dazu habe.

Vermutlich wirst Du an anderer Stelle nicht mehr Klarheit erlangen. Wenn Du Pech hast, tritt eher das Gegenteil ein. Ich persönlich denke sogar, dass das ganze Thema eigentlich relativ simpel ist... wenn man sich auf den Anfang besinnt. Am Anfang war Linux, bevor es den Versuch unternommen hat, neben Windows ebenfalls zu einem Mainstream-Tauglichen OS zu werden, wohl eher ein Serverbetriebssystem. Und im Wesentlichen gab es damals eben Anwender mit eingeschränkten Rechten und eben (den einen) root mit unbeschränkten Rechten. Nen Rechner runterzufahren, oder Schnittstellen zu deaktivieren, oder Devices auszuhängen.... für normale User undenkbar.... ist doch ein Server... so etwas darf nur root... und der weiss, was er tut.
Auf Grund wachsender Komplexität der Systeme, der Anwedungen und Dienste und der Notwendigkeit zu durchgängiger Verfügbarkeit (7/24) wurde es notwendig, root zu entlasten... also den Mann, der root-Reche hat. Da gibts jetzt zwei Möglichkeiten, entweder das root-Password mit nem Edding auf den Bildschirm zu schreiben oder eben nur EINEN root zu belassen und dann gewissen Personen ganz gewisse Sonderrechte zu vergeben, um eben besondere Aufgaben zu delegieren.Und an diesem Punkt kommt die Gruppe "sudo" ins Spiel, und natürlich auch das dazu gehörende/korrespondierende Paket mit der Anwendungen "sudo" und "visudo" und der Datei "sudoers". Den Befehl "sudo" (substitute User & do) hatten wir oben schon, visudo dient dem Syntax-Check beim erstellen, pflegen verändern der Datei sudoers.

Und nun das, was wir heute haben.... eine grafische Oberfläche, ein Desktopenvironment, und der Versuch des OS, es dem Windows gleichzumachen und den Anwender vor der (allzuoft kryptischen) Konsole zu schützen. Das was früher undenkbar war, jederzeit ein- und ausschalten, USB-Devices wechseln, Platten ein- und aushängen, Netze (WISP) verbinden und entfernen ist heute die Regel.... was aber m.E. mit der simplen Betrachtung bzw. der damaligen Umsetzung "root" und normale User kaum möglich ist. Man sieht das ja ständig bis heute, der Chef über den Netzstecker oder den Ein/Ausschalter seines PC's ist nicht autorisiert, vom Desktop aus den Rechner runterzufahren. Er darf kein ifup/ifdown durchführen, seine eigenen USB-Platten nicht wechselnd ein- und aushängen..... das sind imho alles Relikte aus der Vergangenheit, die uns heute quälen. Um das Dilemma zu beheben, bedienen sich die Desktops eben eigener Mechanismen, über das hinausgehend, was ein rudimentäres Debian so nicht mitbringt. Und sie verwenden eben dafür die Gruppe "sudo", die m.E. aus dem ursprünglichen Paket/Intention (s.o.) einfach rausgelöst wurde,

Ob diese Betrachtung richtig ist....?... keine Ahnung.... aber ich mache so lange IT, dass ich mich schon noch an die Anfänge der Rechenzentren mit moderner EDV erinnern kann... und wie das dort logisch und logistisch und organisatorisch abgelaufen ist.

Ich habe schon öfter darüber nachgedacht.... und mittlerweile denke ich, auch hier müsste mal jemand den Mut aufbringen, den ganzen Kram über Board zu werfen und analog Systemd ein komplett neues und der heutigen Probleme angepasstes Rechtemanagement auf die Beine stellen. Aber das wird vermutlich ähnliche Massenschlägereien auslösen, wie systemd vs. sysvinit. *lol*

[witesoul]

Aber das wird vermutlich ähnliche Massenschlägereien auslösen, wie systemd vs. sysvinit. *lol*

Diese Satz verstehe ich noch nicht, aber komme ich früher oder später auch noch hin. Bestimmt. Ich danke dir auf jeden Fall und stimme dir zu. Ich habe lange gewartet um eine Oberfläche so wie sie jetzt ist vorzufinden. Sicher gibt es viele Dinge die auch bei Linux chaotisch laufen. Ich muss aber auch sagen, das sehr viel Arbeit und sicher auch liebe zum Detail drin steckt. Aber ich denke immer noch, das diese Programme anfällig sein könnten für diverse Schadsoftware. Man muss eben aufpassen und wissen wie es läuft. Deshalb ist es mir so wichtig gewesen den Ursprung der Barrierenfreiheit? (habe ich das Wort richtig gewählt?) herkommt wenn man in der Gruppe sudo ist. Danke nochmals für die ausführlichen Antworten.

Ein völlig neu aufgesetztes Betriebssystem meinst du? Also ein neues Konzept. Hatte Windows ja auch Riesen Probleme mit weil sie bis vor Windows NT immer noch das total veraltete DOS weiter benutzt haben und abstürze noch und nöcher hatten. Der berühmte Bluescreen

[uname]

Um sudo zu erklären

Code: Alles auswählen

whoami

Code: Alles auswählen

sudo whoami

[TomL]

Ein völlig neu aufgesetztes Betriebssystem meinst du? Also ein neues Konzept.

Das ist nicht so einfach zu beantworten. Ich bin von dem Debian-Stable-Konzept begeistert .... um 'niemand' in dem Zusammenhang noch mal zu zitieren: keine Fremdquellen! Ich finde die gesamte Debian-Philosophie klasse. Trotz der Schwächen, die Linux zweifelsfrei hat, kann man sich mit Linux trotzdem erfolgreich der Marktmacht von MS und Apple entziehen, mit einem z.zt. relativ sicheren OS ..... solange man nicht selber die Sicherheit aushebelt, z.b. mit den unter Windows üblichen Adminrechten.

Aber man sollte auch nicht die vorhandenen Schwächen von Linux totschweigen. Linux leidet an einer unglaublichen, geradezu dummen und fahrlässigen Ressourcenverschwendung. Warum? Weil es des Menschen Eigenart ist, nicht das anzuerkennen oder zufrieden damit zu sein, was andere geleistet haben. ... es muss immer nach eigenem Gutdünken "verbessert" werden. Das führt zu diesem konkurrierenden Distributions-Mengen-Wahnsinn ..... verantwortlich sind vermutlich auch kommerzielle Interessen (z.b. RedHat, Canonical), aber natürlich auch die ideologischen Befürworter dieses Wahnsinns.... und natürlich die das umsetzenden Programmierer.

Sysvinit ist/war so ein Relikt, was heute noch lebt. X-Server, total veraltet. Das Multimedia/Audiosystem.... eine chaotische Katastrophe. Das Rechtesystem, veraltet und inkonsistent umgesetzt bezogen auf die Gesamtheit eines modernen und zukunftsorientierten Endusersystems. Dann solche Sachen, die ich als undurchsichtig bezeichne. Ich weiche dazu mal eben auf ein Nachbarprodukt aus, und zwar Mozillas Firefox, in dem -den meisten wahrscheinlich gar nicht bewusst- eine Kooperation mit dem dritten Grossfeind enthalten ist, und zwar Google. Filter mal in der Config nach .geo oder safebrowsing. An dazu passende Äusserungen bezüglich Debian kann ich mich hier erinnern, dass sowohl MS, NSA, Apple und Google am Debian-Code gebastelt haben. All das wäre unnötig, wenn sich die Communities auf EINE tragfähige Linux-Basis (also nicht nur Kernel) einige würde, welche dann als Fundament für jegliche Desktop-Environment-Individualität dient. Die EINE Basis enthält zwingend einheitlich das in einer modernen Ausgestaltung (die auch modernen Anforderungen genügt) , was ich zu Anfang kritisiert habe.

Aber leider ist das illusorisch, träumerei , weil die Protagonisten nicht auf ihre Profilierungsgrundlagen verzichten wollen, weil sie Betonköppe sind, die an der Vergangenheit festhalten, weil sie ideologisch unbeweglich sind, weil sie zwar streitbar sind, aber nicht kompromissbereit. Aber nichtsdestotrotz, zu meinen Lebzeiten werde ich aus heutiger Sicht nichts anderes mehr einsetzen, ich bleibe bei Debian, solange es meine Anforderungen erfüllt und Debian weiterhin seinen Weg geht. Wenn man sich drauf einlässt und die schwächen zu handhaben weiss, ist es ein grossartiges Betriebssystem.

Ein neues Betriebssystem braucht es wohl nicht, nur den Mut veraltetes chirurgisch vollständig aus dem derzeitigen OS zu entfernen, dann, wenn es den heutigen Anforderungen nicht mehr genügt. Investitionssicherung ist völlig falsch verstanden, wenn sie Oldtimer sichert.... die auf modernen Autobahnen ständig für Staus sorgen, weil sie nebeneinander hergurkend mit bauartbedingten 60 kmh alles verstopfen. ... Schrottplatz oder Museum sind die alternativen, aber nicht die Autobahn. Investitionssicherung bedeutet an diesem Punkt angekommen für mich , die heutigen Leistungen an den Anforderungen von morgen auszurichten, damit diese neuen Module ebenso lange leben wie die alten Module, die den modernen Anforderungen jetzt nicht mehr gewachsen sind.

Jm2c

[witesoul]

Ich habe einen Hinwes bekommen, das man die sudo Gruppe auskommentieren könnte. Habe das einfach mal getan. Läuft alles normal bis jetzt. Könnte das irgendwelche Sicherheitslücken mit sich bringen?

Die Besessenheit Ruhm zu ernten ist doch schon immer ein grosses Problem gewesen. Leider sind solche Menschen auch oftmals käuflich. Das hat schon vielen das Genick gebrochen, nicht nur einzelnen sondern auch ganzen Völkern.

Ich hörte zu Zeiten von win 95, 98 meinen Onkel von Linux schwärmen und gleichzeitig wie er Wondows kritisierte. Windows ist sich zu fein oder zu geizig ein neues DOS o.ä. auf zu setzen, deswegen habe die solche Probleme mit Systemabstürzen. Bei Linux ist das nicht.... . Heute macht man anscheinend den selben Fehler, es passiert erst etwas wenn es zu spät ist

Es ist die Einigkeit die den Menschen fehlt. Big brother hat da gute Arbeit geleistet die Menschen so zu erziehen, das die meisten entzweit sind. Ich wünsche mir das sich das irgendwann ändern wird.

[uname]

Ich denke die Gruppe "sudo" ist nur relevant, wenn sie auch in den sudo-Konfigurationen /etc/sudoers oder Dateien im Verzeichnis /etc/sudoers.d/ vorkommt. Irgendwo hatte ich mal gepostet, dass man mal die Konfigurationen posten sollte. Ist nicht passiert und dann kann man dazu auch nicht viel sagen. Einfach Gruppen zu löschen, die durch die Paketverwaltung hinzugefügt würden halte ich vielleicht nicht für gefährlich aber für unschön. Mit dem nächsten Paketupdate sind sie wieder da. Wir sind doch nicht bei Windows, wo überall einfach rumgefrickelt wird.

[witesoul]

Entschuldige uname, aber du scheinst irgendwie nur die Hälfte zu lesen was ich schreibe. Meine Fragen wurden beantwortet und du hast dazu auch einen Teil bei getragen indem du sagst beim nächsten Update wird die Gruppe wieder hinzu gefügt. Das kann ich mir sehr gut vorstellen, das es so passiert wie du es schilderst.

Ich denke die Gruppe "sudo" ist nur relevant

sudo als Gruppe hat noch einen zweite Funktion. Auch ohne installiertem sudo Paket.

sudo: Members of this group can execute any
command with sudo or pkexec. (See the default
configuration in /etc/sudoers)

Weil dein Argument im Bezug zu den Updates mir mehr als logisch erscheint, sollte man sie einfach lassen wie sie ist. Damit ist das Thema für mich erledigt. Danke an alle beteiligten.

[TomL]

sudo als Gruppe hat noch einen zweite Funktion. Auch ohne installiertem sudo Paket.

sudo: Members of this group can execute any
command with sudo or pkexec. (See the default
configuration in /etc/sudoers)

Ich glaube, die Besonderheit liegt im Wortlaut "or pkexec", was bedeutet, dass das Policykit die letztendliche Berechtigungsprüfung durchführt und pkexec den Job erledigt, wenns erlaubt ist. Das ist dann eine weitere Verwendung der Gruppe sudo, die vermutlich nicht das Paket sudo erfordert. Und vielleicht auch eine Erklärung, auf welchem Weg die Desktops dem Anwender erlauben, root-Jobs zu starten, ohne das sudo installiert ist. Mich würde mal interessieren, ob an meiner Deutung was wahres dran ist, bzw. wenns falsch ist, wie das wirklich abläuft.

Ich erinnere mich nämlich dabei, dass mir ein "experimenteller" DE via Startmenü nicht erlaubt hat, den Rechner runterzufahren. Via Konsole und Shutdown ging es aber...
wegen der Berechtigung in der sudoers. Also, so scheint es, existieren 2 unterschiedliche Berechtigungsprüfungen, die aufgrund unterschiedlicher Daten bzw Bewertung von Daten nicht zwingend zum gleichen Ergebnis kommen müssen. Kann das sein?

[witesoul]

ich habe zu dem Programm folgende Seite gefunden.

https://wiki.ubuntuusers.de/PolicyKit

Das scheint wohl wirklich ein auf Gnome basierendes sudo ähnliches System zu sein. Die Konfiguration wird in der Sparte Benutzung dort erklärt wird. Konfigurationsbeispiele sind dort leider nicht vorhanden.

[TomL]

Das Policykit ist Bestandteil von Debian, ich glaube erstmals seit Wheezy....kann aber jetzt am Handy nicht nachschauen. Und Ubuntu basiert auf Debian. gucksdu:
https://wiki.debian.org/PolicyKit

[catdog2]

Das scheint wohl wirklich ein auf Gnome basierendes sudo ähnliches System zu sein. Die Konfiguration wird in der Sparte Benutzung dort erklärt wird. Konfigurationsbeispiele sind dort leider nicht vorhanden.

Dann schaut man halt woanders:
http://www.freedesktop.org/wiki/Software/polkit/
https://wiki.gentoo.org/wiki/Polkit
https://wiki.archlinux.org/index.php/Polkit

[ocram]

Ich habe mich als user gerade der Gruppe sudo in Debian zugeordnet um ein Script auszuführen, welches nach einem sudo Password verlangte. Nun möchte Synaptic plötzlich das sudo Password statt dem root (su) Password. Ist das normal? Wie soll ich jetzt am besten verfahren? Updates zukünftig über

Code: Alles auswählen

sudo apt-get update

ausführen und immer sudo verwenden oder als root? Gibt es da überhaupt einen Unterschied?

[guennid]

Wie soll ich jetzt am besten verfahren?

Code: Alles auswählen

apt-get purge sudo

[ocram]

Danke. Das deinstalliert dann sudo wohl komplett. Wäre eine Option auch mich aus der sudo Gruppe zu entfernen oder hat sudo dann immer noch Nachteile?

Es gibt ja häufig scripte, die nach einem sudo Password fragen. Was macht man in einem solchen Fall dann?

Ich verstehe auch nicht, warum synaptic jetzt nicht mehr mit dem root Password zufrieden ist.

[guennid]

Es gibt ja häufig scripte, die nach einem sudo Password fragen.

Nicht bei Debian. In der Regel kommen solche Anweisungen, scripte von ubuntu und da haben sie auch ihre Berechtigung.

Grüße, Günther

[ocram]

Danke, geht wieder per root in synaptic. Ich habe den sudo Eintrag aus der Datei groups entfernt.

[MartinV]

Ich verstehe auch nicht, warum synaptic jetzt nicht mehr mit dem root Password zufrieden ist.

synaptic wird mit pkexec/policykit gestartet.
pkexec/policykit ist seltsam konfiguriert und hat auch mich schon verwirrt: Wenn es nur root als möglichen Administrator gibt, fragt es nach dem root-Paßwort.
Sobald es einen Benutzer in der sudo-Gruppe gibt, fragt es stattdessen dessen Paßwort ab.
Gibt es noch einen zusätzlichen Benutzer, der nicht in der sudo-Gruppe ist, wird auch bei dem das Paßwort des sudo-Benutzers abgefragt.
Welches Paßwort pkexec haben will, wenn mehrere Benutzer in der sudo-Gruppe sind, habe ich nicht ausprobiert und kann ich nicht vorhersagen. pkexec geht hier komische Wege.

[geier22]

Gibt es noch einen zusätzlichen Benutzer, der nicht in der sudo-Gruppe ist, wird auch bei dem das Paßwort des sudo-Benutzers abgefragt.

Ich glaube (nicht ausprobiert) wenn man <allow_any> und <allow_inactive> jeweils auf "no" setzt, dürfte es damit vorbei sein,dass ein nicht angemeldeter User Synaptic öffnen kann.

/usr/share/polkit-1/actions/com.ubuntu.pkexec.synaptic.policy:

Code: Alles auswählen

<allow_any>auth_admin</allow_any>
      <allow_inactive>auth_admin</allow_inactive>
      <allow_active>auth_admin</allow_active>

An sich ganz gut erklärt ist das im Manual:
https://www.freedesktop.org/software/po ... kit.8.html

Weiter spielt wohl folgende Datei eine Rolle:
/usr/share/polkit-1/rules.d/org.gtk.vfs.file-operations.rules

Code: Alles auswählen

polkit.addRule(function(action, subject) {
        if ((action.id == "org.gtk.vfs.file-operations-helper") &&
            subject.local &&
            subject.active &&
            subject.isInGroup ("sudo")) {
            return polkit.Result.YES;
        }
});

Wenn man da den sudo eliminiert, dürfte es vorbei sein mit der sudo- Herrlichkeit.
Aber auch noch nicht getestet, da ich kein Sudo und keine /etc/sudoers mehr habe.

[ocram]

Danke für die Erklärungen... Ich habe einiges dazu gelesen und fühle mich wohler ohne sudo. Es ist aber nur ein Gefühl