Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinzufügen [Gelöst]
Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinzufügen [Gelöst]
Hallo zusammen
Direkt nach der Installation:
1.) usermod -aG sudo user1
2.) visudo -> Das hier eingetragen: user1 ALL=(ALL) NOPASSWD:ALL
3.) Neustart, damit das Ganze greift
...anschliessend haben wir gemerkt, dass damit doch nicht alles geht. Also wollten wir den "user1" auch noch zur root-Gruppe hinzufügen. Dazu wurde dieser Befehl hier verwendet: usermod -a -G root user1 - anschliessend Neustart!!
Nach dem Neustart habe ich zum Testen "apt update" eingegeben.
Resultat:
Scheint also irgendwie nicht ganz zu klappen mit: usermod -a -G root user1
Vielen Dank für eure Feedbacks!
Direkt nach der Installation:
1.) usermod -aG sudo user1
2.) visudo -> Das hier eingetragen: user1 ALL=(ALL) NOPASSWD:ALL
3.) Neustart, damit das Ganze greift
...anschliessend haben wir gemerkt, dass damit doch nicht alles geht. Also wollten wir den "user1" auch noch zur root-Gruppe hinzufügen. Dazu wurde dieser Befehl hier verwendet: usermod -a -G root user1 - anschliessend Neustart!!
Nach dem Neustart habe ich zum Testen "apt update" eingegeben.
Resultat:
Scheint also irgendwie nicht ganz zu klappen mit: usermod -a -G root user1
Vielen Dank für eure Feedbacks!
Zuletzt geändert von jmar83 am 03.12.2021 12:01:39, insgesamt 1-mal geändert.
Freundliche Grüsse, Jan
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
ähm, sudo vergessen? Nimm dem user mal die root-Gruppe weg, das war eher weniger schlau.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
Nein, die Frage war eine andere... ein zweiter root-user...
Grund: "root" hat ein Kennwort welches nur ICH kenne und mit welchem ich mich jederzeit (KEnnwort im Kopf) und überall einloggen kann - ohne dass ich irgendwelche Kennwort-Liste durchackern muss...
ABER: Es geht dabei nicht drum, den Mitarbeitern das root-Recht zu verweigern... sondern nur um das was ich oben antöne.
UND: Die Mitarbeiter haben sich beklagt, dass bei "user1" mit sudo nicht alles klappe... und ich habe jetzt weder die Zeit noch die Lust, dem weiter nachzugehen.
Deshalb: Einfach "user1" zur root-Gruppe hinzufügen... wir arbeiten generell eh alle als root und auch Port 22 ist öffentlich mit der Einstellung "PermitRootLogin yes" - von daher.
Grund: "root" hat ein Kennwort welches nur ICH kenne und mit welchem ich mich jederzeit (KEnnwort im Kopf) und überall einloggen kann - ohne dass ich irgendwelche Kennwort-Liste durchackern muss...
ABER: Es geht dabei nicht drum, den Mitarbeitern das root-Recht zu verweigern... sondern nur um das was ich oben antöne.
UND: Die Mitarbeiter haben sich beklagt, dass bei "user1" mit sudo nicht alles klappe... und ich habe jetzt weder die Zeit noch die Lust, dem weiter nachzugehen.
Deshalb: Einfach "user1" zur root-Gruppe hinzufügen... wir arbeiten generell eh alle als root und auch Port 22 ist öffentlich mit der Einstellung "PermitRootLogin yes" - von daher.
Freundliche Grüsse, Jan
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
jmar83 hat geschrieben:03.12.2021 10:44:29Deshalb: Einfach "user1" zur root-Gruppe hinzufügen... wir arbeiten generell eh alle als root und auch Port 22 ist öffentlich mit der Einstellung "PermitRootLogin yes" - von daher.
Das geht nicht. Wenn du z.B. die Dateien von apt ansiehst, wirst du feststellen, dass der User root diese Dateien schreiben/löschen kann, der User, der nur in der Gruppe root ist, jedoch nicht. Entweder teilst du das root-Passwort mit oder du arbeitest mit Lösungen wie sudo, runas oder ähnlichen Konstrukten. Wobei du bei apt auch das gänzlich weglassen könntest und stattdessen mit unattended-upgrades arbeiten kannst.Nein, die Frage war eine andere... ein zweiter root-user...
Überdenke diesen Ansatz bitte noch einmal. Es gibt schon genug Zombiemaschinen auf dieser Welt...UND: Die Mitarbeiter haben sich beklagt, dass bei "user1" mit sudo nicht alles klappe... und ich habe jetzt weder die Zeit noch die Lust, dem weiter nachzugehen.
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
Danke fürs Feedback.
Wenn die Mitarbeiter halt nicht in der Lage sind, herauszufinden dass z.B. WinSCP speziell konfiguriert werden muss wenn es sich um einen sudoer handelt mit dem man sich einloggt und mit diesem halt irgendwelche Verzeichnisse mit root-Berechtigungen ändern will... *** NERV!!! ***
Wenn die Mitarbeiter halt nicht in der Lage sind, herauszufinden dass z.B. WinSCP speziell konfiguriert werden muss wenn es sich um einen sudoer handelt mit dem man sich einloggt und mit diesem halt irgendwelche Verzeichnisse mit root-Berechtigungen ändern will... *** NERV!!! ***
Freundliche Grüsse, Jan
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
Grundsätzlich ist das natürlich eine ziemlich schräge Ansage, dass du weder Zeit noch Lust hast dich darum zu kümmern. Deshalb nur die Frage, ob möglicherweise in /etc/sudoers env_reset gesetzt oder secure_path angepasst wurde?jmar83 hat geschrieben:03.12.2021 10:44:29UND: Die Mitarbeiter haben sich beklagt, dass bei "user1" mit sudo nicht alles klappe... und ich habe jetzt weder die Zeit noch die Lust, dem weiter nachzugehen.
Und was das Grundsätzliche angeht, da kann man Tintoms Bedenken gar nicht fett genug schreiben!
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
Da scheint etwas nicht ganz zu stimmen: Nach einem usermod -a -G root user1 kann ich nicht mal cd /root ausführen.
Also hat's wohl gar nix geklappt mit usermod -a -G root user1
Also hat's wohl gar nix geklappt mit usermod -a -G root user1
Freundliche Grüsse, Jan
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
"Deshalb nur die Frage, ob möglicherweise in /etc/sudoers env_reset gesetzt oder secure_path angepasst wurde?"
Kannte ich bis anhin nicht...
Kannte ich bis anhin nicht...
Freundliche Grüsse, Jan
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
Das home-Verzeichnis von root darf nur der Nutzer root lesen und schreiben ...
Dein Vorhaben geht so nicht. Für einige Vorgänge sind root-Rechte erforderlich, die Mitgliedschaft in der Gruppe root reicht da nicht. Also entweder sudo oder su - ...
Code: Alles auswählen
ls -la /
...
drwx------ 1 root root 1078 2. Dez 00:09 root
...
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
Doch, das hat sicherlich geklappt.jmar83 hat geschrieben:03.12.2021 11:17:07Also hat's wohl gar nix geklappt mit usermod -a -G root user1
Wenn du nicht in der Lage bist, herauszufinden warum das trotz der obigen Gruppenzugehörigkeit nicht möglich ist, solltest du vielleicht auch deine ursprüngliche Absicht hier nicht weiter verfolgen …jmar83 hat geschrieben:03.12.2021 11:17:07Nach einem usermod -a -G root user1 kann ich nicht mal cd /root ausführen.
apt guckt vermutlich auf die Benutzer-ID, nicht auf die Gruppe. Einen vollwertigen, zweiten root-Benutzer anzulegen wird sicher nicht gehen.jmar83 hat geschrieben:03.12.2021 10:33:21Nach dem Neustart habe ich zum Testen "apt update" eingegeben.
Resultat:
[…]
Scheint also irgendwie nicht ganz zu klappen mit: usermod -a -G root user1
Die beiden Schritte sind mehr oder weniger redundant.jmar83 hat geschrieben:03.12.2021 10:33:211.) usermod -aG sudo user1
2.) visudo -> Das hier eingetragen: user1 ALL=(ALL) NOPASSWD:ALL
Wenn die nicht einmal dazu nicht in der Lage sind, sollten sie vielleicht auch nicht in der Position sein, einen Server mit root-Rechten bearbeiten zu müssen.jmar83 hat geschrieben:03.12.2021 11:00:52Wenn die Mitarbeiter halt nicht in der Lage sind, herauszufinden dass z.B. WinSCP speziell konfiguriert werden muss […]
So wie oben geschrieben geht damit eigentlich alles.jmar83 hat geschrieben:03.12.2021 10:44:29UND: Die Mitarbeiter haben sich beklagt, dass bei "user1" mit sudo nicht alles klappe... und ich habe jetzt weder die Zeit noch die Lust, dem weiter nachzugehen.
Manchmal bekannt als Just (another) Terminal Hacker.
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
Also ist de facto UNMÖGLICH, einen 2. Benutzer anzulegen welcher ALLE Berechtigungen hat und deshalb auch z.B. auf /root zugreifen darf? (Bei Window$ kann man ja einfach nen 2. User "admin2" in der Administratoren-Gruppe anlegen und dieser kann dann auch auf C:\users\admin1 zugreifen...)
Zuletzt geändert von jmar83 am 03.12.2021 11:48:41, insgesamt 1-mal geändert.
Freundliche Grüsse, Jan
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
"Die beiden Schritte sind mehr oder weniger redundant."
Nicht dass ich wüsste - mit dem visudo-Eintrag kann kann man verhindern, dass der sudoer jedes mal das Kennwort eingeben muss.
Nicht dass ich wüsste - mit dem visudo-Eintrag kann kann man verhindern, dass der sudoer jedes mal das Kennwort eingeben muss.
Freundliche Grüsse, Jan
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
Aber der Mitarbeiter war jedenfalls in der Lage, dass root-Kennwort über den sudoer "user1" abzuändern - als "user1" noch nicht in der root-Gruppe war...
Schon sehr komisch, dass man als "user1" - sudoer das root-Kennwort ändern darf, aber als "user1" in der root-Gruppe nicht in der Lage ist, auf /root zuzugreifen...?
Schon sehr komisch, dass man als "user1" - sudoer das root-Kennwort ändern darf, aber als "user1" in der root-Gruppe nicht in der Lage ist, auf /root zuzugreifen...?
Freundliche Grüsse, Jan
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
Pragmatische Lösung des Problems:
- Die Mitarbeiter haben nun den "root"-Account mit ihrem eigenen Kennwort
- Ich habe nun den "user1"-Account als sudoer mit dem Kennwort welches ich fest im Kopf habe (aber nicht verraten darf da es unser "grosses Passwort" ist) und deshalb jederzeit eingeben kann
- Die Mitarbeiter haben nun den "root"-Account mit ihrem eigenen Kennwort
- Ich habe nun den "user1"-Account als sudoer mit dem Kennwort welches ich fest im Kopf habe (aber nicht verraten darf da es unser "grosses Passwort" ist) und deshalb jederzeit eingeben kann
Freundliche Grüsse, Jan
Re: Vorhandenen Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinz
Ich hoffe, du nimmst uns nur auf den Armjmar83 hat geschrieben:03.12.2021 12:00:34Pragmatische Lösung des Problems:
- Die Mitarbeiter haben nun den "root"-Account mit ihrem eigenen Kennwort
- Ich habe nun den "user1"-Account als sudoer mit dem Kennwort welches ich fest im Kopf habe (aber nicht verraten darf da es unser "grosses Passwort" ist) und deshalb jederzeit eingeben kann
Falls nicht, hast du damit de facto die Kontrolle über die Maschine (+ das „große Passwort“) verloren.
Re: Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinzufügen [Gelö
Es geht nicht darum, dass ich den MA nicht vertraue, keinesfalls.
Ich will mich einfach jederzeit mit dem "grossen" Passwort einloggen können welches ich im Kopf habe. Habe dass schon entsprechend kommuniziert bei meinen Leuten. Der eine MA hat ja das root-Password geändert weil er als (eigentlich reiner C/C++-Entwickler) mit dem sudo-user1 nicht klar kam. Und nicht weil er mir die Kontrolle entziehen wollte.
Klar, nun könnte er natürlich weiterhin (gerade als "root", klar) mein "grosses" user1-sudoer-Passwort ändern. Tut er aber nicht (mehr).
Ich will mich einfach jederzeit mit dem "grossen" Passwort einloggen können welches ich im Kopf habe. Habe dass schon entsprechend kommuniziert bei meinen Leuten. Der eine MA hat ja das root-Password geändert weil er als (eigentlich reiner C/C++-Entwickler) mit dem sudo-user1 nicht klar kam. Und nicht weil er mir die Kontrolle entziehen wollte.
Klar, nun könnte er natürlich weiterhin (gerade als "root", klar) mein "grosses" user1-sudoer-Passwort ändern. Tut er aber nicht (mehr).
Freundliche Grüsse, Jan
Re: Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinzufügen [Gelö
Und noch was: Das mit "PermitRootLogin yes" ist z.B. auch bei Plesk gängiger Standard. Na gut, vielleicht sollte man es besser z.B. auf Port 30022 als standardmässig auf 22 laufen lassen. Setzt schon mal ne Hürde für Angreifer.
Und soooo kritisch sind die Sachen aktuell auch wieder nicht...
Und soooo kritisch sind die Sachen aktuell auch wieder nicht...
Freundliche Grüsse, Jan
Re: Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinzufügen [Gelö
*kicher* Plesk, das Hochsicherheitsprodukt. Also bei meinem VPS kann sich root ebenfalls einloggen (Port 22), allerdings nur mit SSH-Key.
Ich greife mal denen vorweg, die gerade zuckend auf dem Boden liegen und versuche zu erklären, warum die meisten dein Setup (und Mindset dazu) kritisieren:
1. die größte Gefahr (in Sachen "Datenreichtum" und sonstigen IT-Sicherheitsvorfällen) sind die Mitarbeiter. Das ist nicht gleichzusetzen mit "ich vertraue meinen Mitarbeiten nicht", sondern mit potentiellem Unwissen und einer Risikobewertung für menschliche Reaktionen.
a) dein MA hat die Macht über das System, er kann also auch unabsichtlich das System schrotten oder in irgendeiner Weise die Sicherheit gefährden, weil er seine Produktivität erhöhen oder ein Problem lösen will. Keine Rechte? chmod -R 777 / Keine Verbindung? listen 0.0.0.0:3306 (auf nem von außen erreichbaren System). Freitag nachmittag, mal diese tolle Admin-UI ausprobieren? dpkg -i Downloads/webmin-0.4.1-beta.deb
b) es läuft gerade nicht so gut, ihr hattet Streit über die Zukunft oder weiß der Geier was, Impulshandlung rm -rf /, um dir eins reinzuwürgen.
c) unwahrscheinlich(st)er Fall, deiner Beschreibung nach: dein MA tauscht diverse Dateien auf dem System aus und loggt sich dein Passwort irgendwo hin.
2.
Hm, was bedeutet aktuell? Meinst, dass sich das ändern könnte? Oder was bedeutet "soooo" kritisch? Könnte man auch offen auf ein öffentliches dropbox legen? (Frage an dich für dich, ich brauch da keine inhaltliche Antwort - es geht um die Einschätzung, wie schützenswert die Daten sind und was man als Folge daraus dafür tun muss).jmar83 hat geschrieben:03.12.2021 13:52:05soooo kritisch sind die Sachen aktuell auch wieder nicht
3. Es gibt da schon ein "gemeinsames Verständnis" für best practices auf geteilten Systemen. Das ist bei dir aber noch nicht angekommen (vermutlich, weils bisher keinen Anlass gab, sich Sorgen zu machen und auch keinen Vorfall) und die, die sich ausmalen können oder bereits Erfahrungen gemacht haben, was passieren kann, wenn man die nicht mal kennt, würden dich gerne vor dem Schicksal bewahren (oder sie glauben, dass du sie kennst und ignorierst, und sind entsprechend enttäuscht - vor allem in deiner aktuellen Rolle als Admin).
4. Nachdem ich als Admin die Grenzen festlege, was jemand tun soll/darf und was nicht, würde ich nicht wegen fehlender Doku oder Verständnis oder Ignoranz der existierenden Doku die Rechte erweitern. Ansonsten müsste ich mich fragen, ob die Grenzen denn sinnvoll gesteckt waren (und diese Entscheidung würde ich niemandem überlassen, der Entscheidungen nach "nerv mich nicht"-Lage trifft).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinzufügen [Gelö
Vielen Dank für dein sehr kompetentes, umfangreiches Feedback!!
(P.S.: Also mein Hoster privat (Alfahosting) wie auch der in der Firma (Strato) haben (zumindest wenn ich mich richtig einnere) ein reines Benutzername + Kennwort-Login (also KEIN Key) per default auf Plesk vorkonfiguriert...)
Klar, was du sagst ist nicht dementierbar - nüchterne, aber knallharte Fakten...
(P.S.: Also mein Hoster privat (Alfahosting) wie auch der in der Firma (Strato) haben (zumindest wenn ich mich richtig einnere) ein reines Benutzername + Kennwort-Login (also KEIN Key) per default auf Plesk vorkonfiguriert...)
Klar, was du sagst ist nicht dementierbar - nüchterne, aber knallharte Fakten...
Freundliche Grüsse, Jan
Re: Benutzer ´user1´ [erstellt während installation, nachträglich zum "sudoer" gemacht] zur root-Gruppe hinzufügen [Gelö
Hoffentlich finden die Chefs nicht heraus, welchen "Admin" sie da haben...