Sudo: Unterschied zwischen den Versionen
Boenki (Diskussion | Beiträge) Achtung baby! |
|||
Zeile 1: | Zeile 1: | ||
{{SEITENTITEL:sudo}}{{righttoc}} | {{SEITENTITEL:sudo}}{{righttoc}} | ||
[[en:Sudo]] | |||
sudo (substitute user do) ist ein Befehl, der dazu benutzt wird, Prozesse mit den Rechten eines anderen Benutzers (z.B. root) zu starten, während sudo alle Befehle und Argumente mitloggt. Der dauerhafte Wechsel der Identität erfolgt durch <code>sudo -s</code>. | sudo (substitute user do) ist ein Befehl, der dazu benutzt wird, Prozesse mit den Rechten eines anderen Benutzers (z.B. root) zu starten, während sudo alle Befehle und Argumente mitloggt. Der dauerhafte Wechsel der Identität erfolgt durch <code>sudo -s</code>. | ||
Version vom 13. Oktober 2010, 17:56 Uhr
sudo (substitute user do) ist ein Befehl, der dazu benutzt wird, Prozesse mit den Rechten eines anderen Benutzers (z.B. root) zu starten, während sudo alle Befehle und Argumente mitloggt. Der dauerhafte Wechsel der Identität erfolgt durch sudo -s
.
Man benutzt sudo
anstelle von su
, um bestimmten Benutzern die Möglichkeit zu geben, gewisse Programme z.B. mit root-Rechten ausführen zu können, ohne das root-Passwort weitergeben zu müssen. Die Sicherheitsrichtlinien sind in der Datei /etc/sudoers
gespeichert.
Installation
Das nötige Paket ist in core
-Repository vorhanden und kann aus diesem mittels Pacman installiert werden.
pacman -S sudo
Nach der Installation muss sudo noch konfiguriert werden.
sudo für Benutzer einrichten
Um den Benutzern (bestimmte) root-Privilegien zu geben muss die Datei /etc/sudoers
als root mit dem Kommando visudo
bearbeitet werden, da so eine Syntaxüberprüfung gewährleistet ist. Bei der direkten Bearbeitung ohne Prüfung - also mit einem anderen Editor - kann der kleinste Tippfehler dazu führen, dass man sich aus dem System aussperrt und nur über den Recovery-Modus wieder Zugang erhalten kann. Dies sollte daher unbedingt mit folgendem Kommando gemacht werden:
su visudo
Durch hinzufügen der Zeile
USERNAME ALL=(ALL) ALL
werden dem entsprechenden Benutzer die gleichen Rechte gewährt wie root selbst, wobei USERNAME
durch den jeweiligen Benutzernamen zu ersetzen ist.
Achtung: Dies stellt ein erhebliches Sicherheitsrisiko dar.
Will man einem Benutzer beispielsweise einen einzigen Befehl freischalten, ohne dass er das Passwort eingeben muss, muss folgende Zeile eingefügt werden:
USERNAME ALL=NOPASSWD:/Pfad/zum/Programm
Wobei auch hier wieder USERNAME
durch den Benutzernamen zu ersetzen ist.
Bash-Completion für sudoer
Ist das Programm bash-completion installiert, werden Befehle in einem Terminal durch drücken der Tabulator-Taste automatisch vervollständigt. Das erspart zum Beispiel das komplette eingeben eines Dateinamens. Beispiel:
fir<TAB>
ergibt in der Shell das Kommando:
firefox
Wollen Sudo-Benutzer Bash-Completion genießen muss die Datei ~/.bashrc editiert werden:
complete -cf sudo
Beleidigungen
Eine Kuriosität ist die Möglichkeit, sich bei falscher Passworteingabe von sudo beleidigen zu lassen. Dazu muss in der Datei /etc/sudoers folgende Zeile ergänzt werden
Defaults insults