Womit wir einen Mischmasch aus sudo und policykit haben.scientific hat geschrieben:27.07.2017 18:40:09Die Antwort scheint sehr eindeutig. Mitglieder der Gruppe sudo sollen root werden können.
Die entsprechende Einstellung findet sich hier:
Code: Alles auswählen
$ cat /etc/polkit-1/localauthority.conf.d/51-debian-sudo.conf
[Configuration]
AdminIdentities=unix-group:sudo
Aber wenn ich das auskommentiere, werde ich mit pkexec und Gruppe sudo immer noch root für beliebige Befehle:Michael hat geschrieben:> Command sudo and group sudo were designed to allow single privileged commands for unprivileged users.
This is not correct. The default sudo config ships
%sudo ALL=(ALL:ALL) ALL
I.e., a user in group sudo can run every command with root privileges.
Code: Alles auswählen
# %sudo ALL=(ALL:ALL) ALL
Ich habe sudo nachträglich installiert und User 1000 hinzugefügt und /etc/sudoers editiert, um nur einen einzigen Befehl zu erlauben. (Ich war brav, und habe sudo so verwendet, wie es 1980 gedacht war!)Wenn du beim Installieren den root-Account aktivierst, sollte UID 1000 nicht der Gruppe sudo angehören.
Mir geht es gerade ähnlich - durch die Vermischung der Gruppe sudo mit policykit (als debian-default!) habe ich unbeabsichtigt User 1000 volle root-Rechte mit pkexec gegeben, obwohl ich nur einen einzelnen Befehl mit sudo ermöglichen wollte. Für mich heißt die Konsequenz, daß ich jetzt auch sudo in jeder Form meide - aber eigentlich nur, weil die Konfiguration von pkexec unsauber ist, was die Gruppe sudo angeht.TomL hat geschrieben:Ich denke, mit root-Password sollte die Gruppe "sudo" gar nicht bestückt werden, oder dem traditionellen Gedanken folgend nur für explizite Anwendungen in der sudoers berechtigt werden. Aber ob's jetzt hier und bei Default-Einstellungen zu Problemen kommen kann.... keine Ahnung..?... ich empfinde das aber auf mich bezogen jedenfall als Kontrollverlust... weil ich die Wechselwirkungen nicht mehr im Griff habe.
Das mindeste sollte eine Warnung wegen pkexec in der /etc/sudoers sein; es ist nicht mehr möglich, mit sudo einzelne Befehle zu erlauben, es geht nur alles oder nichts. Sauber wäre es gewesen, eine neue Gruppe "pkexec" anzulegen, anstatt die Gruppe "sudo" zu mißbrauchen.
Gibt es irgendwo einen schönen Beleg, daß sudo für einzelne Befehle gedacht war, den ich im Bugreport zitieren kann? Die Manpages von sudo und sudoers sind lang, einen prägnanten Satz, der das zusammenfaßt, habe ich nicht gefunden.