neuer sudo Benutzer keine Rechte für winscp

[obabirgameschda]

Hallo,

eins vorweg, bin Anfänger und habe jetzt mal leicht angefangen. Habe einen pi 3 B+ mit debian stretch aufgesetzt. Ich habe den pi User deaktiviert, einen neuen sudo Benutzer angelegt.

Jetzt wollte ich testweise Dateien über winscp auf den pi schieben, kommt Access denied. Ich kann alle Ordner durchsuchen aber nicht ändern.

Über putty muss ich bei jeder Änderung mit sudo das Passwort eingeben, liegt es daran?

Was muss ich da noch einstellen?

Danke,

Erik

P.S. Wäre schön wenn ich es erklärt bekomme, nicht nur den Befehl dazu, danke

[DeletedUserReAsG]

Ein User soll nur in seinem Home-Verzeichnis (und ggf. noch in /tmp) schreiben können. Das hat Gründe, du solltest es so lassen.

[obabirgameschda]

Wenn ich aber den normalen pi User aus Sicherheitsgründen deaktiviert habe, brauche ich doch einen anderen oder? Habe gelesen um sich vor Angriffen zu schützen, sollte man den bekannten pi User deaktivieren und einen neues User dafür anlegen. Jetzt kann ich ja nichts mehr machen, oder?

[DeletedUserReAsG]

Wenn’s dir um Sicherheit geht: da wäre wichtiger, den Zugriff nur durch Schlüssel (idealerweise in Verbindung mit ’ner Passphrase) zu erlauben. Dann kann man Kram auch direkt als Root draufschieben (wenn’s denn sein muss – normalerweise muss das nämlich nicht sein), und kann sudo deinstallieren, damit das nicht ausgenutzt werden kann.

Edit: der Account von root muss möglicherweise noch mit ’nem Passwort versehen, oder sonstwie aktiviert werden. Da weiß ich nicht, wie sie’s da bei Raspbian verbastelt haben. Einfach mal gucken.

[obabirgameschda]

Kannst du mir das bitte mal genauer erklären?

[DeletedUserReAsG]

„das“ steht wofür?

[obabirgameschda]

passphrase

[MSfree]

Ich habe den pi User deaktiviert, einen neuen sudo Benutzer angelegt.

Jetzt wollte ich testweise Dateien über winscp auf den pi schieben, kommt Access denied. Ich kann alle Ordner durchsuchen aber nicht ändern.

Das wäre mit einem nicht deaktivierten pi-User nicht anders. Ein User, der in der sudo-Gruppe ist oder in der Datei /etc/sudoers eingetragen ist, hat nicht automatisch überall Schreibrechte, es sei denn, er stellt jedem Befehl sudo voran, dann aber muß noch ein Paßwort eingegeben werden.

(win)scp klappt also mit dem pi-User genauso gut/schlecht wie mit dem neuen User, weil (win)scp eben kein sudo voranstellt.

Wenn du wirklich Dateien in Verzeichnisse kopieren willst, auf die pi/DeinNeuerUser keine Schreibberechtigung haben, mußt du das als root machen. Der Grund für solche Kopiervorgänge entzieht sich aber meinem Verständnis, denn normale User haben wirklich nichts verloren in Verzeichnisssen, auf die sie nicht schreiben dürfen.

Dummerweise ist root bei Raspbian per Default mit einem Zufallspaßwort versehen, so daß keiner sich als root einloggen kann oder mit dem Befehl su sich zum root machen kann. root kann man am Raspberry aber sehr einfach "aktivieren", in dem du sudo passwd aufrufst und root ein dir bekanntes Paßwort verpaßt. Nach der Aktion kannst du dich als root einloggen und dort auch gleich

Code: Alles auswählen

apt-get purge sudo

ausführen, damit du gar nicht erst in die Angewohnheit verfällst, mit sudo zu arbeiten statt root zu verwenden. Auch, wenn es eininge gibt, die sudo gerne verteigen wollen, ich halte das Stück Software für grundgefährlich in den Händen eines Neulings und selbst Profis übersehen gerne die ein oder andere Unsicherheit von sudo. Den Mist sollte man sich lieber gar nicht erst angewöhnen.

Man sollte grundsätzlich als "rechtloser" User arbeiten und nur, wenn es um Administration oder Installation geht, ganz selten mal als root einloggen.

[DeletedUserReAsG]

passphrase

Eine Passphrase ist ähnlich wie ein Passwort, soll aber, daher der Name, nicht nur aus einem Wort bestehen (auch, wenn’s die meisten Leute so handhaben). In diesem Fall würde der private Teil des SSH-Schlüssels damit geschützt, damit nicht jeder, der ihn zufällig in die Finger bekommt, auf die betreffenden Rechner zugreifen kann.

[obabirgameschda]

Ok, zu installationstwecken benötige ich Root. Wie ist es mit Updates und Upgrades?

Wenn ich installiere, kann ich root mit deinem Befehl aktivieren, wenn ich fertig bin, kann ich Root dann deaktivieren und weiter mit meinem normalen User arbeiten?

[DeletedUserReAsG]

›su -‹ und Rootpasswort, um zu Root zu wechseln, ›exit‹, um die Session zu beenden.

[obabirgameschda]

Also, ich würde gern einen Root anlegen, sudo deaktivieren. Kann ich mit meinem angelegten User dann Root wieder deaktivieren? Oder ist das dann nicht mehr möglich?

Also
1. Root Passwort vergeben
2. sudo deaktivieren
3. mit Root Updates und Software installieren
4. mit meinem User Root deaktivieren
5. später bei Updates Root wieder aktivieren

Geht das? Und macht das Sinn?

[MSfree]

Ok, zu installationstwecken benötige ich Root. Wie ist es mit Updates und Upgrades?

Updates/Upgrades macht man auch als root.

Wenn ich installiere, kann ich root mit deinem Befehl aktivieren, wenn ich fertig bin, kann ich Root dann deaktivieren und weiter mit meinem normalen User arbeiten?

Du sollst root nicht aktivieren und dann wieder deaktivieren. Du sollst root nur einmalig ein Paßwort verpassen, damit du dich als root einloggen kannst. Das Paßwort muß halt sicher genug sein, damit andere es nicht einfach erraten können, "geheim" oder "123456" sind keine gute Idee.

Wenn du fertig bist mit den Arbeiten, die nur root ausführen darf, loggst du dich aus, indem du einfach exit eingibst, und logst dich dann als normaler User wieder ein.

[obabirgameschda]

Ok verstanden.
Also,
1. Root aktivieren mit Passwort Vergabe
2. sudo deaktivieren
3. mit normalen Nutzer arbeiten
4. bei Update in Root und wenn fertig Exit und normaler Nutzer wieder


Korrekt verstanden?

[MSfree]

Korrekt verstanden?

[obabirgameschda]

Danke :-*

[tijuca]

... und nur, wenn es um Administration oder Installation geht, ganz selten mal als root einloggen.

Wobei sich mir das nicht ganz erschließt warum das besser ist wie mit dem Befehl sudo und spezifischen Berechtigungen für den jeweiligen Benutzer zu arbeiten? Oder eben per sudo mit vollen root Benutzer Berechtigungen? Wo ist hier der Unterschied hin zum nativen Benutzer root? Die Berechtigungen sind zum Schluss in dem Fall die gleichen.

[uname]

sudo wurde mal dafür entwickelt, dass Personen, die nicht gleichzeitig root sind oder sein dürfen, spezielle root-Befehle ausführen dürfen. Das waren früher z. B. der Neustart eines Servers oder der Neustart von Services.

Irgendwann kam Canonical auf die tolle Idee das Benutzerverwaltungssystem von Windows unter Ubuntu nachzubauen. Daher wird sudo vor allen bei Debian-Anwendern bzw. speziell im Serverumfeld falsch verstanden.

Wenn man sowieso das root-Passwort auf den Pi kennt, ist es egal ob man sich als normaler Benutzer anmeldet und dann "sudo -s" oder "su - " (Passwort root) eingibt. Das ist nicht wirklich relevant. Verwendet man auch noch identische Passwörter, so ist das Verhalten sogar ziemlich identisch

Bei oben aufgeführten WinSCP-Problem wäre die Lösung, dass man - falls der Benutzer keine Shell bekommen soll - ihn per sftp (nicht scp) einschränkt siehe z. B. viewtopic.php?t=137416 . Die Lösung muss man in der Anwendung (sftp bzw. sshd) und nicht bei sudo suchen. Mit sudo hat das alles rein gar nichts zu tun.