sudoer problem bei Debian 12 [Gelöst]
sudoer problem bei Debian 12 [Gelöst]
Hallo zusammen
Da scheint neu was anders zu laufen:
1.) usermod -aG sudo user1
2.) visudo
3.) Einfügen von: user1 ALL=(ALL) NOPASSWD:ALL
4.) Neustart
5.) Einloggen mit user1
6.) nano /etc/sysctl.conf
RESULTAT: Schreibgeschützt (vs. root)
Weiss evtl. jemand, warum? Vorher was das mE nie so...
Besten Dank für eure Feedbacks
Da scheint neu was anders zu laufen:
1.) usermod -aG sudo user1
2.) visudo
3.) Einfügen von: user1 ALL=(ALL) NOPASSWD:ALL
4.) Neustart
5.) Einloggen mit user1
6.) nano /etc/sysctl.conf
RESULTAT: Schreibgeschützt (vs. root)
Weiss evtl. jemand, warum? Vorher was das mE nie so...
Besten Dank für eure Feedbacks
Zuletzt geändert von jmar83 am 02.03.2024 10:57:11, insgesamt 1-mal geändert.
Freundliche Grüsse, Jan
Re: sudoer problem bei Debian 12
Vielleicht mal das Wörtchen "sudo" gebrauchen, oder gar im Terminal root werdenjmar83 hat geschrieben:02.03.2024 06:23:006.) nano /etc/sysctl.conf
RESULTAT: Schreibgeschützt (vs. root)
Re: sudoer problem bei Debian 12
die schritte welche ich vorgenommen habe sollte ja eben genau bezwecken, dass "sudo" für den user1 dann nicht mehr notwendig ist.
Freundliche Grüsse, Jan
-
- Beiträge: 1776
- Registriert: 16.08.2005 18:15:29
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: münchen
Re: sudoer problem bei Debian 12
Du willst user1 mit root-Rechten ausstatten, hab ichs richtig verstanden?
Es gibt viele Foren
Re: sudoer problem bei Debian 12
Das ist nicht, wie sudo funktioniert. Hat’s auch noch nie.jmar83 hat geschrieben:02.03.2024 09:51:18die schritte welche ich vorgenommen habe sollte ja eben genau bezwecken, dass "sudo" für den user1 dann nicht mehr notwendig ist.
„I fought in the Vim-Emacs-War.“ Quelle
-
- Beiträge: 1776
- Registriert: 16.08.2005 18:15:29
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: münchen
Re: sudoer problem bei Debian 12
Wie war das jetzt gleich wieder?
Schreibst Du sudo <befehl>
wird der <befehl> mit root-Rechten ausgeführt
In Ubuntu recht üblich.
(Einen anderen User als root mit root-Rechten auszustatten, sollte mn "eigentlich nicht tun, vergisst Du das, kannst Du Dir leicht was zerschießen)
Schreibst Du sudo <befehl>
wird der <befehl> mit root-Rechten ausgeführt
In Ubuntu recht üblich.
(Einen anderen User als root mit root-Rechten auszustatten, sollte mn "eigentlich nicht tun, vergisst Du das, kannst Du Dir leicht was zerschießen)
Es gibt viele Foren
- Livingston
- Beiträge: 1502
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: sudoer problem bei Debian 12
Damit kannst Du nur die Passwort-Abfrage unterbinden. sudo gehört immer vor den Befehl, sonst wird der sudo-Mechanismus nicht angewendet.jmar83 hat geschrieben:02.03.2024 09:51:18die schritte welche ich vorgenommen habe sollte ja eben genau bezwecken, dass "sudo" für den user1 dann nicht mehr notwendig ist.
Mit der Zeile
Code: Alles auswählen
user1 ALL=(ALL) NOPASSWD:ALL
NACHTRAG:
Für Mitglieder der Gruppe sudo hieße der Eintrag in sudoers:
Code: Alles auswählen
%sudo ALL=(ALL) NOPASSWD:ALL
Code: Alles auswählen
# usermod -aG dudeldidadel user1
%dudeldidadel ALL=(ALL) NOPASSWD:ALL
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
- Livingston
- Beiträge: 1502
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: sudoer problem bei Debian 12 [Gelöst]
Ich würde auch noch über diese Einschränkung nachdenken:
Damit erlaubst Du genau diesen einen Befehl für diese eine Datei - und nicht mehr.
Zum Aufruf solltest Du immer auch den vollständigen Pfad angeben:
So war die Nutzung von sudo durch die Erfinder eigentlich gedacht.
Code: Alles auswählen
user1 ALL=(root) NOPASSWD:/usr/bin/nano /etc/sysctl.conf
Zum Aufruf solltest Du immer auch den vollständigen Pfad angeben:
Code: Alles auswählen
sudo /usr/bin/nano /etc/sysctl.conf
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
Re: sudoer problem bei Debian 12 [Gelöst]
Doch, damit erlaubst du mehr. Der Editor ist mit Root-Rechten gestartet und kann mit diesen initialen Rechten weitere Befehle ausführen. Mit Editoren, Pagern etc. ist Vorsicht geboten...Livingston hat geschrieben:02.03.2024 11:06:00Ich würde auch noch über diese Einschränkung nachdenken:Damit erlaubst Du genau diesen einen Befehl für diese eine Datei - und nicht mehr.Code: Alles auswählen
user1 ALL=(root) NOPASSWD:/usr/bin/nano /etc/sysctl.conf
EDIT: Mit nano durch ^T und mit z.B. less durch ! können Kommandos ausgeführt werden.
- Livingston
- Beiträge: 1502
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: sudoer problem bei Debian 12 [Gelöst]
Auch das lässt sich verhindern:
Damit wird dem aufrufenden Programm verboten, weitere externe Kommandos auszuführen.
Code: Alles auswählen
user1 ALL=(root) NOPASSWD: NOEXEC:/usr/bin/nano /etc/sysctl.conf
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
Re: sudoer problem bei Debian 12 [Gelöst]
Selbst damit könnte man aus dem einmal laufenden Editor heraus weiterhin alle beliebigen Dateien auf dem System editieren. Dafür braucht der Editor kein exec.Livingston hat geschrieben:02.03.2024 13:17:25Auch das lässt sich verhindern:Damit wird dem aufrufenden Programm verboten, weitere externe Kommandos auszuführen.Code: Alles auswählen
user1 ALL=(root) NOPASSWD: NOEXEC:/usr/bin/nano /etc/sysctl.conf
Man muss den Editor zwar anfangs genau dazu Öffnen, die /etc/sysctl.conf zu bearbeiten, kann aber anschließend mit Rootrechten bearbeiten, was man möchte.
Manchmal bekannt als Just (another) Terminal Hacker.
Re: sudoer problem bei Debian 12 [Gelöst]
Nachtrag:
Ah, kannte ich noch nicht (hab auch wenig Kontakt mit sudo): Um dieses „Ausbrechen“ und Bearbeiten beliebiger Dateien zu verhindern, sollte man anscheinend sudoedit erlauben und benutzen* – nicht einen beliebigen Editor eintragen:
Damit kann genau nur die erlaubte Datei bearbeitet werden. Aufzurufen dann als
Vielleicht war sudoedit nicht nur mir bisher unbekannt
* sudoedit öffnet dann den Editor, der über die geläufigen Umgebungsvariablen SUDO_EDITOR, VISUAL oder EDITOR festgelegt ist – es dürfte häufig also trotzdem nano zur Anwendung kommen.
Ah, kannte ich noch nicht (hab auch wenig Kontakt mit sudo): Um dieses „Ausbrechen“ und Bearbeiten beliebiger Dateien zu verhindern, sollte man anscheinend sudoedit erlauben und benutzen* – nicht einen beliebigen Editor eintragen:
Code: Alles auswählen
user1 ALL=(root) NOPASSWD: sudoedit /etc/sysctl.conf
Code: Alles auswählen
sudoedit /etc/sysctl.conf
* sudoedit öffnet dann den Editor, der über die geläufigen Umgebungsvariablen SUDO_EDITOR, VISUAL oder EDITOR festgelegt ist – es dürfte häufig also trotzdem nano zur Anwendung kommen.
Manchmal bekannt als Just (another) Terminal Hacker.
- Livingston
- Beiträge: 1502
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: sudoer problem bei Debian 12 [Gelöst]
Ein Editor als Beispiel ist wahrlich nicht geeignet, der ist einfach zu mächtig.
Man sollte sich auf jeden Fall angewöhnen, sparsam mit sudo umzugehen und alle Szenarien zu durchdenken.
Man sollte sich auf jeden Fall angewöhnen, sparsam mit sudo umzugehen und alle Szenarien zu durchdenken.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
Re: sudoer problem bei Debian 12 [Gelöst]
Man könnte statt nano auch das im gleichen Paket enthaltene rnano benutzen – ein eingeschränktes nano, das ausschließlich die Bearbeitung der angegebenen Datei erlaubt.
-
- Beiträge: 1776
- Registriert: 16.08.2005 18:15:29
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: münchen
Re: sudoer problem bei Debian 12 [Gelöst]
Mir ehrlich gesagt auch.JTH hat geschrieben:02.03.2024 13:49:59Nachtrag:
Ah, kannte ich noch nicht (hab auch wenig Kontakt mit sudo): Um dieses „Ausbrechen“ und Bearbeiten beliebiger Dateien zu verhindern, sollte man anscheinend sudoedit erlauben und benutzen* – nicht einen beliebigen Editor eintragen:
Damit kann genau nur die erlaubte Datei bearbeitet werden. Aufzurufen dann alsCode: Alles auswählen
user1 ALL=(root) NOPASSWD: sudoedit /etc/sysctl.conf
Vielleicht war das nicht nur mir bisher unbekanntCode: Alles auswählen
sudoedit /etc/sysctl.conf
* sudoedit öffnet dann den Editor, der über die geläufigen Umgebungsvariablen SUDO_EDITOR, VISUAL oder EDITOR festgelegt ist – es dürfte häufig also trotzdem nano zur Anwendung kommen.
Kenne /etc/passwd und/etc/root
Es gibt viele Foren