Seite 1 von 1
Buster: sudo-Gruppenzugehörigkeit unter GNOME wiederherstellen
Verfasst: 07.07.2019 11:18:27
von koebi
Hallo zusammen,
ich habe seit meinem Umstieg auf Buster das Problem, dass mein Admin-User bob nur in den TTYs oder über eine externe SSH-Verbindung seine Admin-Aufgaben erledigen kann. Nach der Anmeldung in GNOME ist bob nicht mehr Mitglied der sudo-Gruppe und demzufolge kann er im gnome-terminal keine sudo-Befehle ausführen.
Wie könnte ich das Problem lösen?
Vielen Grüße
Koebi
Re: Buster: sudo-Gruppenzugehörigkeit unter GNOME wiederherstellen
Verfasst: 07.07.2019 11:33:52
von DEBIANUNDANDREAS
Indem du
im Terminal eingibst und auf sudo verzichtest.
Re: Buster: sudo-Gruppenzugehörigkeit unter GNOME wiederherstellen
Verfasst: 07.07.2019 12:51:11
von koebi
Die su-Lösung kann ich hier leider nicht umsetzen. Aus Sicherheitsgründen darf nur alice den Befehl su ausführen.
Davon abgesehen würde bob mit su zum allmächtigen root werden, dessen Befehle (im Gegensatz zu sudo) nicht mitprotokolliert werden.
Ich tippe, dass das Problem mit irgendeinem PolicyKit zusammenhängt, aber da kenne ich mich (noch) nicht aus ...
Re: Buster: sudo-Gruppenzugehörigkeit unter GNOME wiederherstellen
Verfasst: 07.07.2019 14:50:58
von TomL
koebi hat geschrieben: 
07.07.2019 12:51:11
Die su-Lösung kann ich hier leider nicht umsetzen. Aus Sicherheitsgründen darf nur
alice den Befehl su ausführen.
Davon abgesehen würde
bob mit su zum allmächtigen
root werden, dessen Befehle (im Gegensatz zu sudo) nicht mitprotokolliert werden.
Ich tippe, dass das Problem mit irgendeinem PolicyKit zusammenhängt, aber da kenne ich mich (noch) nicht aus ...
Dir ist aber schon klar, dass "Sicherheit" in der vermutlich vorhandenen Konfiguration nur Wunschdenken ist? Wenn der User 'bob' in der Gruppe 'sudo' eingetragen ist und es gibt keine ausdrückliche sudoers-Konfiguration für explizite Befehlsaufrufe, dann ist 'bob' bereits jetzt schon allmächtiger root. Was sollte 'bob' davon abhalten, im Terminal einfach
einzugeben...?... dann ist er root... und zwar mit seinem eigenen Password.... unsicherer gehts ja nun wirklich nicht mehr.
Wenn Dir an sicherer und restriktiver Systemverwaltung gelegen ist, dann solltest Du 'sudo' besser ganz deinstallieren und für besondere Programme, die von 'bob' gestartet werden müssen und die unter root-Rechten laufen sollen, explizite Polkit-Policies einrichten. Es hat einen guten Grund, warum unter Debian beim Installer darauf hingewiesen wird, unbedingt ein root-Password zu vergeben und das in Folgedessen 'sudo' gar nicht erst konfiguriert wird und dadurch ein imho sehr hohes Sicherheitrisiko eliminiert wird.