Wann sudo statt root?

[HansD]

Entweder

Code: Alles auswählen

s/[l|L]inux/Ubuntu/g

oder

Code: Alles auswählen

s/[s|S]udo//g

Ich kann verstehen dass es Leute gibt die lieber per Film lernen. Und da im Fernsehen sowieso nie viel läuft wäre es vielleicht eine Alternative. Wurde in dem Vim-Video eigentlich auch der Substitute-Befehl ":%s" erklärt?

Ich erinnere mich nicht, dass er die String-Ersetzung erklärt. Aber privat habe ich ein ganzes Buch, das sich nur mit Regulären Ausdrücken beschäftigt, auch wenn ich derzeit nicht alles darüber auf dem Schirm habe. Jedenfalls verstehe ich ohne nachzuschlagen, dass Du meinst, ich solle entweder Ubuntu benutzen oder auf sudo ganz verzichten. (Suche und ersetze jedes Vorkommen von "linux" oder "Linux" durch Ubuntu ODER suche und ersetze jedes Vorkommen von "sudo" oder "Sudo" durch den Leerstring, also durch nichts.)

[NAB]

Ich denke bisher, dass die Arbeit über sudo nur dann einen wesentlichen Vorteil hat, wenn man damit die Ausführungsrechte von Nutzern sinnvoll begrenzt. Das heißt, ich finde die meisten Beispiele in Videos fragwürdig, in denen demonstriert wird, dass man einem Benutzer volle Ausführungsrechte einräumt. Mir scheint, die Leute, die nur das in einem Video demonstrieren, sind zu faul oder zu oberflächlich, um genauer auf /etc/sudoers einzugehen. Sie demonstrieren oft nur das Folgende für die sudoers-Datei:

Code: Alles auswählen

myuser   ALL=(ALL)    ALL

Mir hingegen scheint das Potential von sudo darin zu liegen, dass man ausdrücklich nur bestimmte Programme mit Superuser-Rechten freigibt. Welche und wie das konkret am Besten aussähe, weiß ich noch nicht.

Weeste ... das Problem an Linux ist, dass es recht skalierbar ist, vom "embedded device" bis hin zur multi-user-server-landschaft mit ein paar hundert integrierten Maschinen.
Auf einem embedded device brauchst du eigentlich gar keinen root-Zugang ... das sollte einfach funktionieren. So wird es auf Smartphones und Routern gehandhabt.

In der multi-user-server-landschaft kommst du als einzelner Admin nicht mehr hinterher. Und dann hast du unterschiedliche Möglichkeiten, zu deligieren. Du kannst anderen "das root Passwort" verraten. Oder du kannst einzelne Maschinen mit einem eigenen root-Passwort ausstatten und für diese Maschinen einen eigenen Admin deligieren. Oder du kannst die Sache über Benutzer-Gruppen-Rechte regeln und bestimmte User in die Gruppe stecken, die für den Zugriff auf bestimmte Geräte, Dienste, und deren Config-Dateien freigegeben ist.

Danach ist Schluss mit den standard Unix Rechten. Und manchmal reichen die nicht.

Da kommt sudo ins Spiel ... damit kann man sehr genau festlegen, welche Befehle welcher User mit fremden Rechten (das müssen nicht immer root-Rechte sein, es reichen auch die Rechte einer Admin-Gruppe) ausführen darf.

Und dann kam Canonical mit dem Ansatz, ein möglichst einfaches Linux für den Desktop herauszubringen. Find ich gut. Und die haben sich gedacht "das ist doch blöd, wenn der Heim-Nutzer sich für seinen einen Computer zwei Passworte merken muss", den Login als root deaktiviert und sudo so eingestellt, dass dieser eine Nutzer mit seinem einen Passwort auch sämtliche Admin-Befehle ausführen kann. Das finde ich verständlich, auch wenn ich so ein System zuhause nicht haben möchte. Schon wenn du neugierige Kinder im Haus hast, die dir öfter bei der Eingabe deines User-Passwortes über die Schulter schauen, wird das Sicherheitskonzept brüchig.

Und dann kommen Leute wie elithecomputerguy, die sich auf ihrem Ein-Personen-Desktop noch einen Ein-Personen-Apache mit php eingerichtet haben, als einziges Sicherheitskonzept bisher das Ubuntu-sudo kennen ... und natürlich daran festhalten. Und das geht, wie du siehst ... bis die Sachen etwas komplexer werden.

[wanne]

Find ich gut. Und die haben sich gedacht "das ist doch blöd, wenn der Heim-Nutzer sich für seinen einen Computer zwei Passworte merken muss",

Und das währe so einfach mit passwortlosem su gegangen... Aber das ist ein anderes Thema.

Auf einem embedded device brauchst du eigentlich gar keinen root-Zugang

Doch gerade da. Wenn du auf deinem embedded device arbeitest willst du eigentlich immer irgend was an der HW verstellen.

So wird es auf Smartphones und Routern gehandhabt.

Auf vielen routern gibt es deswegen fast nur root (siehe OpenWRT). Das webinterface zum Konfigurieren läufft dann auch als root. Ob das dann wirklich sinnvoll ist, ist eine andere Frage.
Auf Smartphones stimmt das wirklich. Aber meiner Meinung nicht, deswegen weil die Dinge grundliegend anders sind (Ich bin froh um meinen root Account auf meinem Smartphone.), sondern weil sie später erfunden wurden. Auf die Idee, dass man eine Funktion nicht erstellt, nur weil es zu viele gibt die damit nicht umgehen können, ist man bei der erstellung von DOS nicht gekommen. Da hat man gedacht das Leute die mit irgend was nicht umgehen können das auch nicht Benutzen und wenigstens viel wissen mit was sie umgehen können. Und nachträgich Funktionen streichen sorgt für Unmut deswegen fliegt das alles nur sehr langsam aus Windows raus. Android wurde in Zeiten entwickelt, in denen sich Leute einen vollwertigen Computer kaufen um sich die Uhrzeit anzeigen zu lassen. Da hat der durchschnittsuser einfach andere Ansprüche. – Sprich deutlich weniger Funktionalität aber dafür die Sicherheit, dass es auch für jemand der mutwillig das Zerstören will unmöglich ist, ist OK.

[Koerschgen78]

Hallo zusammen mal wieder!

Ich nutze ja Debian + Mint. Nun bin ich durch die Beschäftigung mit Debian zu dem Entschluss gekommen, auch unter Mint administrative Aufgaben nur noch als "root" und ohne "sudo" durchzuführen.

Vielleicht bin ich mit der Frage hier im falschen Forum, aber ich habe jetzt ein Problem unter Mint. Und zwar kann ich, nachdem ich den "Main-User" aus der Sudo-Gruppe entfernt und ein "Root-Passwort" angelegt habe, mittels Dateimanager keine Rechtevergabe per Kontextmenü mehr verwalten. Es kommt zwar noch die Passwortabfrage, aber Mint will einfach das "Root-Passwort" nicht akzeptieren!

Einer 'ne Idee woran es liegen könnte?

[Radfahrer]

Ich habe jetzt auch mal ein paar Folgen von Eli the Computerguy angesehen...
Da kommen dann so Sprüche, dass man manche Dateien mit "vim Dateiname" editieren kann und andere nur mit "sudo vim Dateiname". Und anscheinend weiß er nicht, warum das so ist.
Als er dann erklärt hat, dass man den Besitzer von Konfigurationsdateien mittels chown ändern sollte, damit man sie editieren kann, habe ich abgeschaltet. Auch sonst ist mir aufgefallen, dass der gute Eli offensichtlich nicht so viel Ahnung von Linux hat.

Vielleicht ist er bei anderen Themen ja besser, was Linux angeht, würde ich ihn nicht empfehlen.

[kupe]

Als er dann erklärt hat, dass man den Besitzer von Konfigurationsdateien mittels chown ändern sollte, damit man sie editieren kann […]

Ernsthaft?

[Radfahrer]

Tja, erschreckend aber leider wahr:

http://www.youtube.com/watch?feature=pl ... TIE#t=466s

[Cae]

... so how do you open a file with Vim or how do you create a file with Vim? And it is very, very very simple. Now the first thing you gonna, you wanna do is use the command sudo.

WTF. Das ist die Empfehlung, grundsaetzlich sudo zu verwenden, egal was man macht und zeugt von einem ziemlichen Verstaendnisproblem. Das ist keine "Vereinfachung" mehr.

You can run the Vim command without sudo. Here's the problem: [...] If you try to run Vim without sudo, sometimes it works right and sometimes it won't.

Zwischendrin sagt er auch, dass man als User geoeffnete Dateien (in /etc/, nehme ich an) nicht abspeichern kann und dass daher alle Aenderungen umsonst gewesen seien. Das ist Unfug, dafuer gibt's eine einfache Loesung: Editieren, Fehler bemerken,

Code: Alles auswählen

:w /tmp/oops
:q!
sudo cp /tmp/oops /etc/oops

Fertig. Keinerlei "immer sudo"- oder chown-Bullshit noetig.

Gruss Cae

[1] http://www.youtube.com/watch?feature=pl ... TIE#t=264s
[2 http://www.youtube.com/watch?feature=pl ... TIE#t=379s

[uname]

Das Problem ist, dass das Tutorial für Linux-Anfänger sein soll. Wenn ich mir nun vorstelle einem Einsteiger in die Linux-Welt zu erklären, wie er eine ASCII-Datei am besten ohne Grafik (da er ja vielleicht einen Server bedient) ändern soll hätte ich auch meine Probleme damit. "sudo" als Alternative zu "su" unter Ubuntu wäre ja noch in Ordnung, "vim" als Editor wäre schon grenzwertig, aber das Ändern von Rechten oder Eigentümern an Dateien geht gar nicht, da das mindestens meinem Security-Tutorial widersprechen würde.