Re: sudo für Dummys
Am 2005-12-01 14:36:11, schrieb Peter Schütt: > Hallo, > ich weiß zwar prinzipiell, was sudo ist (ausführen eines Befehls im Kontext > eines anderen Benutzers), aber wie man das im Detail richtig einrichtet, > weiß ich nicht. > Bisher habe ich bei Bedarf in der Console immer "su" eingegeben und wenn ich > fertig war "exit". Wie währe es mit su root -- befehl_den_nur_root darf und 'exit' wird nicht benötigt. > Ciao > Peter Schütt Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ # Debian GNU/Linux Consultant # Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: sudo für Dummys
Peter Schütt <[EMAIL PROTECTED]> wrote: > Wenn ich jetzt in /etc/sudoers diese Datei sollte man nicht direkt editieren. visudo ist das Tool dafür. Hinweis: Visudo enutzt den Editor, der inner VISUAL oder EDITOR Variable definiert ist. Heino -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: sudo für Dummys
Sebastian Kayser <[EMAIL PROTECTED]> wrote: > * Ulrich Fürst <[EMAIL PROTECTED]> wrote: > > Sebastian Kayser <[EMAIL PROTECTED]> wrote: > > > schätze localhost wäre synonym mit ALL. > > > > Nein, das Synonym ist LOKAL. Z.B. > > ulrich LOKAL=PASSWD: /usr/sbin/eximon > > Ob in der sudoers nun ALL oder eine eingegrenzte Host_List hinterlegt > wird, ist doch nur für Umgebungen relevant, in denen die sudoers nicht > lokal sondern zentral in z.B. einem LDAP-Verzeichnis gepflegt wird > (gibt es noch weitere zentralisierte sudoers-Varianten?). > > Daher meinte ich, sobald ein Eintrag a la localhost von sudo > akzeptiert werden würde, wäre das in einer solchen Umgebung de facto > ein ALL. Hm, ich habe das damals anders verstanden. Aber wenn ich mir's jetzt überlege, macht das so wie ich dachte keinen Sinn. Wirst wohl recht haben. > Zu Deinem LOKAL. LOKAL ist zumindest bei mir kein allgemeingültiger > Host_Alias, das ist wohl ein bei Dir gesetzter Alias auf Deinen > hostnamen bzw. Deine IP, oder? Stimmt in der Config steht: Host_Alias LOKAL = localhost Allerdings vermutete ich, dass das ein default Eintrag ist. Ich hab da möglichst wenig verändert. Ulrich
Re: sudo für Dummys
Christian Schmidt schrieb: >>nutze visudo. > Wer nicht vi-firm ist, kann das ganze auch bspw. mit > EDITOR=/usr/bin/nano visudo > aufrufen... Wer nicht vi-firm ist, sollte sowieso editor in alternatives auf /bin/nano zeigen lassen und mein visudo berücksichtigt das ... mfg Matthias Taube -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: sudo für Dummys
Hallo Matthias, Matthias Taube, 01.12.2005 (d.m.y): > nutze visudo. Wer nicht vi-firm ist, kann das ganze auch bspw. mit EDITOR=/usr/bin/nano visudo aufrufen... Gruss, Christian Schmidt -- Wenigstens bin ich nicht der einzige, der hin und wieder mit der Technik überfordert ist oder an Schlafmangel leidet. -- Klaus Knopper signature.asc Description: Digital signature
Re: sudo für Dummys
Hallo Matthias Haegele, hallo auch an alle anderen Am Donnerstag, 1. Dezember 2005 15:45 schrieb Matthias Haegele: > Peter Schütt schrieb: > > [...] > > Wo finde ich sinnvolle Beispiele? > > Bei einer "ubuntu-config" abspickeln? (die haben afair keinen > "root-account"). Doch, haben die. Bei einer "Expert"-Installation muss man auch ein root-Passwort angeben. Bei der Standard-Installation wird allerdings der root-Account abgeschaltet (in /etc/shadow). Allerdings finden sich in der /etc/sudoers von Ubuntu keine Beispiele, weil einfach eine Gruppe "admin" existiert, für die in der /etc/susoers dann auch ALL = (ALL) ALL steht. User, die dann (auch) mit root-Rechten arbeiten dürfen, werden einfach in die Gruppe "admin" aufgenommen. Mit dem bei der Installation angelegten User geschieht das automatisch. -- Gruß MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Re: sudo für Dummys
* Ulrich Fürst <[EMAIL PROTECTED]> wrote: > Sebastian Kayser <[EMAIL PROTECTED]> wrote: > > schätze localhost wäre synonym mit ALL. > > Nein, das Synonym ist LOKAL. Z.B. > ulrich LOKAL=PASSWD: /usr/sbin/eximon Ob in der sudoers nun ALL oder eine eingegrenzte Host_List hinterlegt wird, ist doch nur für Umgebungen relevant, in denen die sudoers nicht lokal sondern zentral in z.B. einem LDAP-Verzeichnis gepflegt wird (gibt es noch weitere zentralisierte sudoers-Varianten?). Daher meinte ich, sobald ein Eintrag a la localhost von sudo akzeptiert werden würde, wäre das in einer solchen Umgebung de facto ein ALL. Zu Deinem LOKAL. LOKAL ist zumindest bei mir kein allgemeingültiger Host_Alias, das ist wohl ein bei Dir gesetzter Alias auf Deinen hostnamen bzw. Deine IP, oder? - sebastian
Re: sudo für Dummys
Sebastian Kayser <[EMAIL PROTECTED]> wrote: > schätze localhost wäre synonym mit ALL. Nein, das Synonym ist LOKAL. Z.B. ulrich LOKAL=PASSWD: /usr/sbin/eximon Ulrich
Re: sudo für Dummys
* Christian Frommeyer <[EMAIL PROTECTED]> wrote: > Am Donnerstag 01 Dezember 2005 22:18 schrieb Matthias Taube: > > Dort kannst Du z.B. mittels > > peterALL=(root) NOPASSWD:/usr/sbin/exim4 -DOUTGOING -qff >^^^ > Gibt es einen Grund da nicht "localhost" zu verwenden? Ich denke in dem Fall ist es eher Bequemlichkeit bzw. aus einem HowTo entsprungen, welches sicherheitshalber für die Host_List ALL verwendet, damits auch per Copy&Paste bei jedem Leser funktioniert. Aber interessehalber habe ich das eben kurz getestet. Bei mir funktioniert entweder nur mein wirklicher Hostname (wie von hostname zurückgegeben) oder die IP, mit der der mein Hostname in /etc/hosts verknüpft ist. 'localhost' bzw. '127.0.0.1' funktionieren nicht. Ich schätze localhost wäre synonym mit ALL. - sebastian
Re: sudo für Dummys
Am Donnerstag 01 Dezember 2005 22:18 schrieb Matthias Taube: > Dort kannst Du z.B. mittels > peterALL=(root) NOPASSWD:/usr/sbin/exim4 -DOUTGOING -qff ^^^ Gibt es einen Grund da nicht "localhost" zu verwenden? Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: sudo für Dummys
Peter Schütt schrieb: > Ich nehme mal an, daß das nur funktioniert, wenn sudo richtig konfiguriert > ist. nutze visudo. Dort kannst Du z.B. mittels peterALL=(root) NOPASSWD:/usr/sbin/exim4 -DOUTGOING -qff nur das Kommando "exim4 -DOUTGOING -qff" für den Nutzer peter ohne Password freischalten. Exim mit anderen Parametern kann der dann nicht aufrufen. mfg Matthias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: sudo für Dummys
Peter Schütt schrieb: Hallo, ich weiß zwar prinzipiell, was sudo ist (ausführen eines Befehls im Kontext eines anderen Benutzers), aber wie man das im Detail richtig einrichtet, weiß ich nicht. Bisher habe ich bei Bedarf in der Console immer "su" eingegeben und wenn ich fertig war "exit". "Das sind 2 Paar Stiefel!" sudo /bin/bash geht z.B. auch ... Für die Nutzung von qemu steht in /etc/qemu-ifup folgendes: #!/bin/sh sudo -p "Password for $0:" /sbin/ifconfig $1 172.20.0.1 Ich nehme mal an, daß das nur funktioniert, wenn sudo richtig konfiguriert ist. Wenn ich jetzt in /etc/sudoers benutzerALL = (ALL) ALL iirc: zum Bearbeiten # "visudo" benutzen man kann auch nur "einzelne Befehle freischalten" ... einstelle, dann ist das doch ein ziemliches Sicherheitsrisiko, oder? Wo finde ich sinnvolle Beispiele? Bei einer "ubuntu-config" abspickeln? (die haben afair keinen "root-account"). Danke für alle Hinweise und Tips. Ciao Peter Schütt Grüsse MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: sudo für Dummys
* Peter Schütt <[EMAIL PROTECTED]> wrote: > ich weiß zwar prinzipiell, was sudo ist (ausführen eines Befehls im Kontext > eines anderen Benutzers), aber wie man das im Detail richtig einrichtet, > weiß ich nicht. > Bisher habe ich bei Bedarf in der Console immer "su" eingegeben und wenn ich > fertig war "exit". > > Für die Nutzung von qemu steht in /etc/qemu-ifup folgendes: > #!/bin/sh > sudo -p "Password for $0:" /sbin/ifconfig $1 172.20.0.1 > > Ich nehme mal an, daß das nur funktioniert, wenn sudo richtig konfiguriert > ist. Richtig. > Wenn ich jetzt in /etc/sudoers > benutzerALL = (ALL) ALL > > einstelle, dann ist das doch ein ziemliches Sicherheitsrisiko, oder? Ja. Benutzer 'benutzer' darf per sudo mit den Rechten eines beliebigen Benutzers jedes beliebige Kommando ausführen. > Wo finde ich sinnvolle Beispiele? Schaue Dir den Abschnitt EXAMPLES in der manpage zu sudoers an. Dort findest Du praxisnahe Beispiele. Evtl. noch ein paar Querchecks mit dem Rest der manpage und Du solltest in der Lage sein, eine sinnvolle sudo-Konfiguration zu erstellen. - sebastian
Re: sudo für Dummys
Hallo Peter! Peter Schütt schrieb am Donnerstag, den 01. Dezember 2005: > Wenn ich jetzt in /etc/sudoers > benutzerALL = (ALL) ALL > > einstelle, dann ist das doch ein ziemliches Sicherheitsrisiko, oder? > Wo finde ich sinnvolle Beispiele? Schau in die manpage. Insbesondere man sudoers ist sehr ausführlich und enthält jede Menge Beispiele. Mit freundlichen Grüßen Christian -- Es ist besser, hohe Grundsätze zu haben, die man befolgt, als noch höhere, die man außer acht läßt. -- Albert Schweitzer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
sudo für Dummys
Hallo, ich weiß zwar prinzipiell, was sudo ist (ausführen eines Befehls im Kontext eines anderen Benutzers), aber wie man das im Detail richtig einrichtet, weiß ich nicht. Bisher habe ich bei Bedarf in der Console immer "su" eingegeben und wenn ich fertig war "exit". Für die Nutzung von qemu steht in /etc/qemu-ifup folgendes: #!/bin/sh sudo -p "Password for $0:" /sbin/ifconfig $1 172.20.0.1 Ich nehme mal an, daß das nur funktioniert, wenn sudo richtig konfiguriert ist. Wenn ich jetzt in /etc/sudoers benutzerALL = (ALL) ALL einstelle, dann ist das doch ein ziemliches Sicherheitsrisiko, oder? Wo finde ich sinnvolle Beispiele? Danke für alle Hinweise und Tips. Ciao Peter Schütt -- www.pstt.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
