Hallo

...

Ich weiß zwar nicht was das Ziel der Übung ist, aber ich bezweifle, dass dies eine schlaue Lösung ist.

Trotzdem wurde der Wunsch auch schon an mich herangetragen, doch noch einen zweiten root einzurichten, so daß der Kunde nicht immer dran denken muß, auch seinem IT-Dienstleister das neue root-pw zu übermitteln.

Ich könnte mir denken, daß ein solcher oder ähnlicher Wunsch auch Holger zu dieser Frage veranlaßt hat.

Richtig, es geht darum zwei Accounts zu haben mit denen man vollen Root-Zugriff hat. Falls es dafür auch eine andere Methode gibt, so würde ich die auch nutzen. Mit freundlichen Grüßen Holger

*** Helga Fischer (Azula@gmx.de) schrieb heute in suse-linux:

[...] Login über einen ssh-key. Dann authentifizierst Du Dich über den Schlüssel als root und die anderen können das root-pw nehmen.

In Unkenntnis der näheren Umstände gebe ich dennoch folgendes Staement ab: Bei solchen "Lösungen" wird mir regelmäßig in der Bauchgrube mulmig! Man arbeitet nicht als root arbeitet nicht als root arbeitet nicht als root! Das kann man garnicht oft genug schreiben. MG Henning Hucke -- Der Optimist ist in der Regel ein Zeitgenosse, der ungenuegend informiert ist. (John B. Priestly)

Hallo Helga, On Sunday 21 March 2004 21:22, Helga Fischer wrote:

Sorry, Henning, wenn meine Kunden bei mir anrufen, haben sie richtig Probleme und mein erster Blick geht in die /var/log/messages. Geht nur als root, ist meine Arbeit als Admin. Ebenso, wie ipsec-Tunnels neu starten oder in ganz schlimmen Fällen mal den Rechner oder andere Dienste die nicht mehr mögen. Auch Mailaccounts anlegen und weiß der Teufel, was root noch so alles tun muß.

Also ich kann Henning nur zustimmen. Um als root zu arbeiten muß ich mich nicht als root anmelden, es reicht aus root zu werden nachdem ich mich als normaler Benutzer angemeldet habe. Liebe Grüße, Andreas -- Andreas Otto Using PHP on Windows? www.php4win.de

*** Harald Huthmann (Harald_mail@t-online.de) schrieb am Mar 21, 2004 in...: ((Bitte kein TUFO! Danke.))

[...]

...

Um als root zu arbeiten muß ich mich nicht als root anmelden, es reicht aus root zu werden nachdem ich mich als normaler Benutzer angemeldet habe.

Es reicht sicher aus. Erkläre aber bitte auch, welche Vorteile ein solches Vorgehen haben soll!?

Argl! Dass ausschliesslich die Befehle mit Root-Rechten ausgeführt werden, die diese auch benötigen? (sigh!) MG Henning Hucke -- "nobody is perfect." -- Nobody ;)

*** Harald Huthmann (Harald_mail@t-online.de) schrieb heute in suse-linux:

Am Montag, 22. März 2004 00:15 schrieb Henning Hucke:

...

*** Harald Huthmann (Harald_mail@t-online.de) schrieb am Mar 21,

...

((Bitte kein TUFO! Danke.)) ^^^?

Lasse Bitte die Vorredner stehen!

Ich habe meinen Vorredner - Dich - am Leben gelassen.

Verändere nicht ständig den Betreff!

Die Anpassung des Betreffs an das tatsächliche Thema ist erwünscht. Rücksichtnahmen auf Mail-Reader, die Verkettung (ausschließlich) immernoch per Subject realisieren sind unerwünscht.

[... TUFO, dass uns unsere Mail-Reader genauso per Threading mit Hilfe einer Anfangs-MsgID hätten liefern können ...]

Wische dir Bitte den Schaum vom Mund, [...]

Ähmmm... Harald, Du mußt schon mir überlassen, wie ich reagiere. Ich habe inzwischen nicht nur eine "Lösung" zu viel für ein "Problem" gesehen, "die doch (irgendwie) funktioniert". Unixe stellen in aller Regel mehr als nur eine Möglichkeit zur Verfügung, solche Sachen sauber zu regeln. Desweiteren finde ich es immer wieder erstaunlich, wie wenig bestimmte Entwicklungen - und das ist sowohl in positiver wie in negativer Hinsicht gemeint - hinterfragt werden. Bezüglich der Existenz von "su1" und "sudo" wäre das zum Beispiel die Frage danach, warum es sie gibt. Eine der möglichen und auch plausiblen Antworten ist, dass wohl nicht nur ein Administrator erlebt hat, dass das Arbeiten als "root" - sei es in einer eigenen Session (gaaanz schlecht) oder auch "nur" in einem eigenen xterm mit einer root-Shell - ungesund ist. Warum macht man also diesen Fehler _freiwillig_ ein weiteresmal? Auf jeden Fall ist es einfallslos...

[...] lese dann Andreas Mail als Antwort an Helga sowie meine Frage an Andreas. und bedenke dann die Antwort von Dir die Du an mich gerichtet hast.

Möglicherweise nicht ganz treffend (es kommt drauf an, was Otto meinte mit "zu root werden"). Auf jeden Fall geht man dem "Problem" mit zwei root-Accounts aus dem Weg.

[...]

MG Henning Hucke -- "... die Aussage 'C-Programme sind portabel' ist lächerlich und nicht haltbar, ..." Jan Ritzerfeld in

Moin, Am Mo, den 22.03.2004 schrieb Henning Hucke um 0:12:

Was ist an "sudo less +G -S /var/log/messages" so falsch!?

Nichts. Außer, daß es unnötig kompliziert ist. Natürlich kann man Bäume mit der Nagelschere fällen, und es ist bedeutend sicherer, als, sagenwirmal, eine Kettensäge. Trotzdem ist eine Säge das korrekte Werkzeug. Wenn ich Serverdienste konfiguriere, logge ich mich als root ein, achte darauf, was ich tue, und dann wieder raus. Dein Beispiel mit /var/log/messages ist ja noch "gekauft", aber was ist, wenn ich einen Dämon neu starten will? Sind wirklich alle Dateien, die dann so gelesen und geschrieben werden, mit den richtigen Rechten ausgestattet? Wieviel kann man sich dadurch kaputtmachen, daß Datei A gelesen, gepatcht und als Datei B geschrieben wird, und leiderleider hatte "admin" zwar Schreibrechte auf B, aber keine Leserechte auf A, und das Resultat ist ein leere Configdatei... Ich stelle immer wieder mit Entsetzen fest, was passiert, wenn man versehentlich als User (nicht als root) ein initscript startet - etliche Systeme ziehen das gnadenlos durch, mit Massen an Fehlermeldungen. Gnade dir Gott, wenn fälschlicherweise eine Configdatei mal schreibbar für User ist... Wenn du Fehler machst, ist das System breit. So oder so. Aber dann verwende ich lieber ein transparentes Verfahren und blicke wenigstens noch durch. Gruß, Ratti

Hallo, On 23-Mar-2004 Henning Hucke wrote:

*** Joerg Rossdeutscher (ratti@gesindel.de) schrieb am Mar 22, 2004 in...:

...

Am Mo, den 22.03.2004 schrieb Henning Hucke um 0:12:

...

Was ist an "sudo less +G -S /var/log/messages" so falsch!?

Nichts.

Außer, daß es unnötig kompliziert ist.

Kompliziert!? %-D

Ja :-( Egal, ob "sudo less /var/log/messages" oder "sudo -u root less /var/log/messages", immer erhalte ich nach der Eingabe des root-Passwortes ein "Sorry, try again" Muss ich also noch etwas in der sudoers eintragen? Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/

Daniel Lord wrote:

man sudo ... sagt nichts von root Passwort nimm lieber dein User Passwort :)

Das wäre ja auch ziemlich bizarr, wenn man einem Tool, welches es erlaubt beliebigen Nicht-Ruth-Nutzern privilegierte Befehle auszuführen, das Root-Password geben muß. Das erste Mal bin ich aber auch drüber gestolpert :-) Bernd -- np: Dead Can Dance - Rakim

Heinz W. Pahlke wrote:

Jein, wenn man es nicht braucht, dann koennte sich doch jeder user faktisch root-Rechte aneignen.

Nein, nur diejenigen denen für bestimmte Befehle root-Rechte eingeräumt wurden 8und zwar von root), können ohne Kenntnis des root-passwortes eben diese Befehle ausführen. Und visudo kann eben auch nur ausführen, wer dazu berechtig ist. Beispiel: Ein Dasi-Beauftragter hat den Account dasi. Er bekommt per Konfiguration in /etc/sudoers die Berechtigung, das Sicherungsprogramm unter root-Rechten aufzurufen. Er kann dann ohne Kenntnis des root-Passwortes die Sicherung durchführen.

Okay, ist ein bisschen uebertrieben. Ganz so schlimm ist es nicht, aber weiter komme ich trotzdem nicht.

Einfache Konstruktionen sind doch ziemlich geradlinig: wwwrun localhost = NOPASSWD: /usr/sbin/isdnctrl erlaubte auf meinem Rechner dem user wwwrun Zugriff auf isdnctrl. Damit hatte ich per cgi den Status der ISDN-Leitungen sowie Verbindungs auf- wie abbau auf eine Intranetseite gezaubert. Bernd

*** Heinz W. Pahlke wrote:

On 24-Mar-2004 Bernd Laengerich wrote:

...

Einfache Konstruktionen sind doch ziemlich geradlinig:

wwwrun localhost = NOPASSWD: /usr/sbin/isdnctrl

Naja, bloss dort ein "/usr/bin/less" eintragen, kann es wohl nicht sein, denn less darf ich als user ohnehin ausfuehren.

wenn du less per sudo startest, was denkst du unter welchem user dann less läuft?

Also habe ich jetzt mal ein "/var/log/messages" versucht. Geht nicht.

Von da war es dann allerdings nicht mehr schwer: Die Loesung heisst "/usr/bin/less /var/log/messages" :-)

Ich bin nur immer davon ausgegangen, dass ich mit Hilfe von sudo z.B. ganz variable mal diese und mal jene Log-Datei durchschauen oder eben auch Konfig-Dateien editieren darf. Aber man muss wirklich jede Befehlszeile einzeln eintragen.

nein. versuche es doch mal mit man sudoers oder [1]. micha [1] http://www.google.de/search?q=sudoers&meta=lr%3Dlang_de

Am Mittwoch, 24. März 2004 15:54 schrieb Bernd Laengerich:

Daniel Lord wrote:

...

man sudo ... sagt nichts von root Passwort nimm lieber dein User Passwort :)

Das wäre ja auch ziemlich bizarr, wenn man einem Tool, welches es erlaubt beliebigen Nicht-Ruth-Nutzern privilegierte Befehle auszuführen, das Root-Password geben muß.

Nein, es ist nicht bizarr,und mindestens bei SuSE-9.0 funktioniert das auch! harald@linux:~> sudo less /var/log/messages Password: [root-passwort] funktioniert. danach sudo less /etc/sudors funktioniert dann ohne ein Passwort. Du kannst also danach privilegierte Befehle absetzen ohne die Datei /etc/sudoers bearbeiten zu müssen. Gruß Harald

Harald Huthmann wrote:

Am Mittwoch, 24. März 2004 15:54 schrieb Bernd Laengerich:

...

Daniel Lord wrote:

...

man sudo ... sagt nichts von root Passwort nimm lieber dein User Passwort :)

Das wäre ja auch ziemlich bizarr, wenn man einem Tool, welches es erlaubt beliebigen Nicht-Ruth-Nutzern privilegierte Befehle auszuführen, das Root-Password geben muß.

Nein, es ist nicht bizarr,und mindestens bei SuSE-9.0 funktioniert das auch!

das funktioniert bei SUSE 9 , weil da Defaults targetpw in der sudoers-Datei drinsteht --> man sudoers

Du kannst also danach privilegierte Befehle absetzen ohne die Datei /etc/sudoers bearbeiten zu müssen.

das geht afaik für eine Bestimme Zeit, da sih das System die Berechtigung merkt. Andreas

Moin, Am Di, den 23.03.2004 schrieb Henning Hucke um 22:48:

*** Joerg Rossdeutscher (ratti@gesindel.de) schrieb am Mar 22, 2004 in...:

...

Am Mo, den 22.03.2004 schrieb Henning Hucke um 0:12:

...

Was ist an "sudo less +G -S /var/log/messages" so falsch!?

Nichts. Außer, daß es unnötig kompliziert ist.

Kompliziert!? %-D

Kompliziert.

...

[...] Wenn ich Serverdienste konfiguriere, logge ich mich als root ein, achte darauf, was ich tue, und dann wieder raus.

Mit sudo (respektive einem "weniger komplizierten" Link) zu arbeiten, ist wie einen Vertrag zu schliessen: Man tut es nicht für den Fall, dass man keine Scherereien miteinander hat, sondern für den Fall, _dass_ man Scherereien miteinander hat. Weniger kompliziert: Du solltest nicht deshalb nicht als "root" arbeiten, weil Du etwas falsch machen kannst, wenn Du aufpasst, sondern deshalb, weil Du etwas falsch machen kannst, wenn Du gerade mal abgelenkt bist.

Vor "Ablenkung" rettet dich sudo nicht. Wenn ich abgelenkt rm /* -r eintippe, dann tippe ich auch abgelenkt sudo rm /* -r ein. Zumal Katastrophe i.d.R. nicht auftreten, weil man wirklich rm /* -r eingetippt hat, sondrn weil ein bewusst abgesetztes find | xargs oder ein Leerzeichen an der falschen Stelle das Debakel auslöst. Oder so dämliche Konstrukte wie cd /hier/kann/alles/weg rm * -r ...welches bei nicht vorhandenem Ordner das falsche eliminiert... Nichts, was ich bisher versaut habe, wäre durch sudo vermieden worden.

Aber vermutlich ist es wie offensichtlich immer: Ihr müßt erstmal ein System in den Sand gesetzt haben, bevor ihr diese Lektion lernt...

Tausend-Jahre-Erfahrung haben gesprochen.

...

Dein Beispiel mit /var/log/messages ist ja noch "gekauft", aber was ist, wenn ich einen Dämon neu starten will?

Joerg, Du machst mich langsam Schwach: "+ rcinn restart" (Ich habe einen Link von "~/bin/+" auf "sudo". Mann kann genauso gut einen alias oder einen Link Beispielsweise in "/usr/lobal/bin" einrichten).

Ich habe hier ein halbes Dutzend Kisten stehen, und jede hat ein anderes Linux/Unix/OSX drauf. Dazu kommen regelmässig irgendwelche Webserver von Kunden, welche nach aufspielen diverser Software und der Website meinen Wirkungsbereich wieder verlassen. Was denkst du, wie konsistent die Enviroments, im Speziellen z.B. $PATH hier ist? Ein Beispiel mit einem nahen Verwandten, su: Unter Suse und SunLinux mußt du "su -" eingeben, um sendmail, ifconfig etc in den Pfad zu bekommen, bei Debian darfst du genau das nicht tun, sondern mußt "su" ohne "-" verwenden. Das verdaddel ich schon oft genug, ich werd' einen Teufel tun und auch noch mit sudo rumhühnern, zumal auf Kisten, auf die ich zur Softwareinstallation zwar root-Zugriff habe, die mir aber nicht "gehören"... Du hast noch nicht erzählt, wo sich "sudo" wirklich lohnt. Meine root-Tätigkeiten beschränken sich i.d.R. auf Dinge wie das wiederholen von: su do{ nano -w $CONFIGFILE # braucht root /etc/init.d/$DAEMON restart # braucht root #Scheisse, geht immer noch nicht } until geht || 18 Uhr exit Ein zwischendurch angesetztes ls oder find ist nun wirklich nicht das Problem.

...

Gnade dir Gott, wenn fälschlicherweise eine Configdatei mal schreibbar für User ist...

"+ vi /etc/shadow" (sigh!). Es wäre dumm, eine Config-Datei als User anzulgen. Das ist in der Tat einer der Fälle, in den man den Aufruf mit root-Rechten ausstattet.

Natürlich ist es dumm. Davon reden wir ja: Das jeder mal was dummes tut, und wie wür uns vor unserer eigenen gelegentlichen Dummheit am besten schützen. Natürlich geht keiner hin und sagt "Ach, jetzt leg ich mal die httpd.conf als User an". Fehler passieren immer anders. Zum Beispiel: Bei mir ist ist das ssh-Login für root verboten. Ich muß mich immer als user anmelden. Deswegen laufen auch Kopieraktionen per scp als User. "Schnell mal die httpd.conf von der anderen Maschine kopieren, scp -l ratti /etc/apache/conf/httpd.conf meinserver:/home/ratti/", und auf der Maschine dann "mv /home/ratti/httpd.conf /etc/apache/conf/httpd.conf". Und schwupps, isses passiert.

.. Du wolltest jetzt nicht auf Teufel komm raus ein Gegenbeispiel konstruieren, oder? %-|.

Ich sage, daß Schäden mit meiner Methode angerichtet werden können oder mit deiner, und teilweise /weil/ man sich eben dieser Methode bedient - während mit der anderen Methode nix passiert wäre. Und wenn ich mir beide so angucke, dann gefällt mir meine Methode deutlich besser. Ich nutze sudo nur, um z.B. per Webinterface User anzulegen. Für echte Admintätigkeite an der Shell nutze ich su und root.

...

Wenn du Fehler machst, ist das System breit. So oder so.

Hmpf! Wenn ich ein "rm -rf /*" (statt beispielsweise "rm -r ../.*") als root eingebe, ist mein System platt; in der Tat. Wenn ich das als "h_hucke" tue, ist es dass in keinster Weise.

Von der PERMANENTEN Arbeit als root für JEDEN Kram war hier nirgends die Rede, sondern nur von Tätigkeiten, die rootrechte ERFORDERN. Und da besteht eben zwischen "root # $FEHLER" und "user> sudo $FEHLER" überhaupt kein Unterschied. Ich präzisiere den Satz, wie er im Rahmen der Diskussion gemeint war: "Wenn du (bei der Admintätigkeit) Fehler machst, ist das System breit. So [als root] oder so [als sudo-root]." Sieh's doch mal so: Der einzige wirkliche Vorteil von sudo liegt darin, daß man zwischen den notwendigen(!) als-root Befehlen eben auch mal sowas eintippt wie pwd oder ls oder echo $IRGENDWAS, und daß man auch damit was kaputtkriegen /kann/. Zum Beispiel, weil man sich vertippt und ".[LEERZEICHEN]*" statt ".*" eintippt. Oder weil man die Returntaste nicht richtig trifft und vorher noch das * nebenan mit erwischt. Ja. Da rettet dich sudo. Ehmmm... aber das ist deutlich konstruierter als meine Argumentation. Gruß, Ratti

Holger Simon schrieb: ...

Richtig, es geht darum zwei Accounts zu haben mit denen man vollen Root-Zugriff hat. Falls es dafür auch eine andere Methode gibt, so würde ich die auch nutzen.

sudo Gruß hebi -- Dirk Hebenstreit Tel : +49-170-2461522 Eschenweg 3 +49-33200-85997 14558 Bergholz-Rehbruecke Dirk.Hebenstreit@epost.de PingoS - LINUX-User helfen Schulen: http://www.pingos.org

*** Helga Fischer (Azula@gmx.de) schrieb heute in suse-linux:

[...] Trotzdem wurde der Wunsch auch schon an mich herangetragen, doch noch einen zweiten root einzurichten, so daß der Kunde nicht immer dran denken muß, auch seinem IT-Dienstleister das neue root-pw zu übermitteln.

Ich könnte mir denken, daß ein solcher oder ähnlicher Wunsch auch Holger zu dieser Frage veranlaßt hat.

Schreib mal Leute, seid ihr so einfallslos oder tut ihr nur so? Wie wäre es damit, einfach einen weiteren User einzurichten und ihm - notfalls per Script - gleich eine Shell mit root-Rechten per sudo zu starten, wenn es denn sein muß? Ich persönlich fasse weder an der Arbeit noch privat den root-Account überhaupt an, sondern setze die Kommandos, die denn unbedingt als root ausgeführt werden müssen, per sudo aus. BTW: su1 ist auch sehr interessant. MG Henning Hucke -- "Ich weiß nicht mit welchen Waffen sich die Menschen im 3. Weltkrieg bekaempfen, aber im 4. werden es Keulen sein." (Albert Einstein)

*** Helga Fischer (Azula@gmx.de) schrieb heute in suse-linux:

[...]

...

Wie wäre es damit, einfach einen weiteren User einzurichten und ihm - notfalls per Script - gleich eine Shell mit root-Rechten per sudo zu starten, wenn es denn sein muß?

Was ist da denn dann der Unterschied? Systemverwalter sollten schon ungehindert ihrer Arbeit nachgehen können.

Ich verstehe den Einwand nicht. Was sollte den Systemverwalter in einem solchen Fall den daran hindern, seiner Arbeit ungehindert nachzugehen?

...

Ich persönlich fasse weder an der Arbeit noch privat den root-Account überhaupt an, sondern setze die Kommandos, die denn unbedingt als root ausgeführt werden müssen, per sudo aus.

Ist für das, was ich in aller Regel als root tun muß, eher kontraproduktiv.

Das glaube ich nicht! Ich habe inzwischen fast acht Jahre lang die meiste Zeit mit Unix/Linux-Administration zu tun und hatte noch _nie_ die Notwendigkeit, mich - außerhalb von Ausnahmesituationen wie unbenutzbarer Systeme o.ä. - direkt als "root" einzuloggen.

[...]

MG Henning Hucke -- Wer mir ungefragt Werbemüll an die private Mailadresse schickt, erklärt sich mit der Zusendung der X11-Sourcen via FTP-Mail und einer Entschädigungszahlung an mich einverstanden. Die Zustimmung gilt mit der Absendung der email an mich als erteilt. (c) unbekannt