root/roof zweiter root-Account unter SuSE 9
Hallo, ich habe folgendes Problem, bisher konnte man einen zweiten Benutzer mit root-Rechten unter SuSE anlegen, indem man in der passwd einen Eintrag mit gleichen IDs angelegt hat: root:x:0:0:root:/root:/bin/bash roof:x:0:0:roof:/root:/bin/bash Wenn ich das nun tue funktioniert es zwar erst, läuft dann aber einmal die Benutzerverwaltung von yast, so wird ein Eintrag gelöscht. Kann man das abschalten? -- MfG Holger Simon
Hallo, On Sunday 21 March 2004 13:02, Holger Simon wrote:
ich habe folgendes Problem, bisher konnte man einen zweiten Benutzer mit root-Rechten unter SuSE anlegen, indem man in der passwd einen Eintrag mit gleichen IDs angelegt hat: root:x:0:0:root:/root:/bin/bash roof:x:0:0:roof:/root:/bin/bash
Das ist ziemlich krank. Ich weiß zwar nicht was das Ziel der Übung ist, aber ich bezweifle, dass dies eine schlaue Lösung ist. Schöne Grüße aus Bremen hartmut
Hallo Hartmut, Am Sonntag März 21 2004 13:20 schrieb Hartmut Meyer:
On Sunday 21 March 2004 13:02, Holger Simon wrote:
ich habe folgendes Problem, bisher konnte man einen zweiten Benutzer mit root-Rechten unter SuSE anlegen, indem man in der passwd einen Eintrag mit gleichen IDs angelegt hat: root:x:0:0:root:/root:/bin/bash roof:x:0:0:roof:/root:/bin/bash
Das ist ziemlich krank.
Ja, find ich auch.
Ich weiß zwar nicht was das Ziel der Übung ist, aber ich bezweifle, dass dies eine schlaue Lösung ist.
Trotzdem wurde der Wunsch auch schon an mich herangetragen, doch noch einen zweiten root einzurichten, so daß der Kunde nicht immer dran denken muß, auch seinem IT-Dienstleister das neue root-pw zu übermitteln. Ich könnte mir denken, daß ein solcher oder ähnlicher Wunsch auch Holger zu dieser Frage veranlaßt hat. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo
Ich weiß zwar nicht was das Ziel der Übung ist, aber ich bezweifle, dass dies eine schlaue Lösung ist.
Trotzdem wurde der Wunsch auch schon an mich herangetragen, doch noch einen zweiten root einzurichten, so daß der Kunde nicht immer dran denken muß, auch seinem IT-Dienstleister das neue root-pw zu übermitteln.
Ich könnte mir denken, daß ein solcher oder ähnlicher Wunsch auch Holger zu dieser Frage veranlaßt hat.
Richtig, es geht darum zwei Accounts zu haben mit denen man vollen Root-Zugriff hat. Falls es dafür auch eine andere Methode gibt, so würde ich die auch nutzen. Mit freundlichen Grüßen Holger
Am Sonntag März 21 2004 14:22 schrieb Holger Simon:
Ich weiß zwar nicht was das Ziel der Übung ist, aber ich bezweifle, dass dies eine schlaue Lösung ist.
Trotzdem wurde der Wunsch auch schon an mich herangetragen, doch noch einen zweiten root einzurichten, so daß der Kunde nicht immer dran denken muß, auch seinem IT-Dienstleister das neue root-pw zu übermitteln.
Ich könnte mir denken, daß ein solcher oder ähnlicher Wunsch auch Holger zu dieser Frage veranlaßt hat.
Richtig, es geht darum zwei Accounts zu haben mit denen man vollen Root-Zugriff hat. Falls es dafür auch eine andere Methode gibt, so würde ich die auch nutzen.
Login über einen ssh-key. Dann authentifizierst Du Dich über den Schlüssel als root und die anderen können das root-pw nehmen. Guck mal im Listenarchiv, da gibt's da auch noch genauer erklärt. Ich fahr nämlich meinen Rechenknecht jetzt runter. Tschau, Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
*** Helga Fischer (Azula@gmx.de) schrieb heute in suse-linux:
[...] Login über einen ssh-key. Dann authentifizierst Du Dich über den Schlüssel als root und die anderen können das root-pw nehmen.
In Unkenntnis der näheren Umstände gebe ich dennoch folgendes Staement ab: Bei solchen "Lösungen" wird mir regelmäßig in der Bauchgrube mulmig! Man arbeitet nicht als root arbeitet nicht als root arbeitet nicht als root! Das kann man garnicht oft genug schreiben. MG Henning Hucke -- Der Optimist ist in der Regel ein Zeitgenosse, der ungenuegend informiert ist. (John B. Priestly)
Hallo Henning, Am Sonntag März 21 2004 15:50 schrieb Henning Hucke:
*** Helga Fischer (Azula@gmx.de) schrieb heute in suse-linux:
[...] Login über einen ssh-key. Dann authentifizierst Du Dich über den Schlüssel als root und die anderen können das root-pw nehmen.
In Unkenntnis der näheren Umstände gebe ich dennoch folgendes Staement ab: Bei solchen "Lösungen" wird mir regelmäßig in der Bauchgrube mulmig!
Man arbeitet nicht als root arbeitet nicht als root arbeitet nicht als root! Das kann man garnicht oft genug schreiben.
Muß ich diesen Satz jetzt verstehen? Sorry, Henning, wenn meine Kunden bei mir anrufen, haben sie richtig Probleme und mein erster Blick geht in die /var/log/messages. Geht nur als root, ist meine Arbeit als Admin. Ebenso, wie ipsec-Tunnels neu starten oder in ganz schlimmen Fällen mal den Rechner oder andere Dienste die nicht mehr mögen. Auch Mailaccounts anlegen und weiß der Teufel, was root noch so alles tun muß. Ich denke mal, von dieser Art von Arbeit hatten wir es hier. Klar, wenn ich Skripte entwickle oder ein wenig HTML klopfe, das mache ich auf meiner Workstation mit einem ganz normalen Useraccount. Wenn ich Deine Mails so lese, denke ich mir doch gelegentlich, daß einige komplett überflüssig sind. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo Helga, On Sunday 21 March 2004 21:22, Helga Fischer wrote:
Sorry, Henning, wenn meine Kunden bei mir anrufen, haben sie richtig Probleme und mein erster Blick geht in die /var/log/messages. Geht nur als root, ist meine Arbeit als Admin. Ebenso, wie ipsec-Tunnels neu starten oder in ganz schlimmen Fällen mal den Rechner oder andere Dienste die nicht mehr mögen. Auch Mailaccounts anlegen und weiß der Teufel, was root noch so alles tun muß.
Also ich kann Henning nur zustimmen.
Um als root zu arbeiten muß ich mich nicht als root anmelden, es reicht aus
root zu werden nachdem ich mich als normaler Benutzer angemeldet habe.
Liebe Grüße,
Andreas
--
Andreas Otto
Am Sonntag, 21. März 2004 21:59 schrieb Andreas Otto:
On Sunday 21 March 2004 21:22, Helga Fischer wrote:
Sorry, Henning, wenn meine Kunden bei mir anrufen, haben sie richtig Probleme und mein erster Blick geht in die /var/log/messages. Geht nur als root, ist meine Arbeit als Admin. Ebenso, wie ipsec-Tunnels neu starten oder in ganz schlimmen Fällen mal den Rechner oder andere Dienste die nicht mehr mögen. Auch Mailaccounts anlegen und weiß der Teufel, was root noch so alles tun muß.
Um als root zu arbeiten muß ich mich nicht als root anmelden, es reicht aus root zu werden nachdem ich mich als normaler Benutzer angemeldet habe.
Es reicht sicher aus. Erkläre aber bitte auch, welche Vorteile ein solches Vorgehen haben soll!? Gruß Harald
*** Harald Huthmann (Harald_mail@t-online.de) schrieb am Mar 21, 2004 in...: ((Bitte kein TUFO! Danke.))
[...]
Um als root zu arbeiten muß ich mich nicht als root anmelden, es reicht aus root zu werden nachdem ich mich als normaler Benutzer angemeldet habe.
Es reicht sicher aus. Erkläre aber bitte auch, welche Vorteile ein solches Vorgehen haben soll!?
Argl! Dass ausschliesslich die Befehle mit Root-Rechten ausgeführt werden, die diese auch benötigen? (sigh!) MG Henning Hucke -- "nobody is perfect." -- Nobody ;)
Am Montag, 22. März 2004 00:15 schrieb Henning Hucke:
*** Harald Huthmann (Harald_mail@t-online.de) schrieb am Mar 21,
((Bitte kein TUFO! Danke.)) ^^^?
Lasse Bitte die Vorredner stehen! Verändere nicht ständig den Betreff! Das schrieb Andreas Otto:
Um als root zu arbeiten muß ich mich nicht als root anmelden, es reicht aus root zu werden nachdem ich mich als normaler Benutzer angemeldet habe.
Es reicht sicher aus. Erkläre aber bitte auch, welche Vorteile ein solches Vorgehen haben soll!?
Dass ausschliesslich die Befehle mit Root-Rechten ausgeführt werden, die diese auch benötigen? (sigh!)
Wische dir Bitte den Schaum vom Mund, lese dann Andreas Mail als Antwort an Helga sowie meine Frage an Andreas. und bedenke dann die Antwort von Dir die Du an mich gerichtet hast. Gruß Harald Ps.:
"nobody is perfect." Ja
*** Harald Huthmann (Harald_mail@t-online.de) schrieb heute in suse-linux:
Am Montag, 22. März 2004 00:15 schrieb Henning Hucke:
*** Harald Huthmann (Harald_mail@t-online.de) schrieb am Mar 21,
((Bitte kein TUFO! Danke.)) ^^^?
Lasse Bitte die Vorredner stehen!
Ich habe meinen Vorredner - Dich - am Leben gelassen.
Verändere nicht ständig den Betreff!
Die Anpassung des Betreffs an das tatsächliche Thema ist erwünscht. Rücksichtnahmen auf Mail-Reader, die Verkettung (ausschließlich) immernoch per Subject realisieren sind unerwünscht.
[... TUFO, dass uns unsere Mail-Reader genauso per Threading mit Hilfe einer Anfangs-MsgID hätten liefern können ...]
Wische dir Bitte den Schaum vom Mund, [...]
Ähmmm... Harald, Du mußt schon mir überlassen, wie ich reagiere. Ich habe inzwischen nicht nur eine "Lösung" zu viel für ein "Problem" gesehen, "die doch (irgendwie) funktioniert". Unixe stellen in aller Regel mehr als nur eine Möglichkeit zur Verfügung, solche Sachen sauber zu regeln. Desweiteren finde ich es immer wieder erstaunlich, wie wenig bestimmte Entwicklungen - und das ist sowohl in positiver wie in negativer Hinsicht gemeint - hinterfragt werden. Bezüglich der Existenz von "su1" und "sudo" wäre das zum Beispiel die Frage danach, warum es sie gibt. Eine der möglichen und auch plausiblen Antworten ist, dass wohl nicht nur ein Administrator erlebt hat, dass das Arbeiten als "root" - sei es in einer eigenen Session (gaaanz schlecht) oder auch "nur" in einem eigenen xterm mit einer root-Shell - ungesund ist. Warum macht man also diesen Fehler _freiwillig_ ein weiteresmal? Auf jeden Fall ist es einfallslos...
[...] lese dann Andreas Mail als Antwort an Helga sowie meine Frage an Andreas. und bedenke dann die Antwort von Dir die Du an mich gerichtet hast.
Möglicherweise nicht ganz treffend (es kommt drauf an, was Otto meinte mit "zu root werden"). Auf jeden Fall geht man dem "Problem" mit zwei root-Accounts aus dem Weg.
[...]
MG Henning Hucke
--
"... die Aussage 'C-Programme sind portabel' ist lächerlich und nicht
haltbar, ..."
Jan Ritzerfeld in
*** Helga Fischer (Azula@gmx.de) schrieb am Mar 21, 2004 in suse-linux:
[...]
Man arbeitet nicht als root arbeitet nicht als root arbeitet nicht als root! Das kann man garnicht oft genug schreiben.
Muß ich diesen Satz jetzt verstehen?
Du willst mir weismachen, dass Du dieses Stilmittel für die Verleihung von Nachdruck noch nie gelesen oder gehört hast!?...
Sorry, Henning, wenn meine Kunden bei mir anrufen, haben sie richtig Probleme und mein erster Blick geht in die /var/log/messages. Geht nur als root, ist meine Arbeit als Admin.
Was ist an "sudo less +G -S /var/log/messages" so falsch!? Was ist daran falsch, Admin-User in die Gruppe "root" einzutragen oder eine Gruppe "logfile" einzurichten und User, die Logfiles einsehen können sollen, dort hinein zu tun!? (BTW: Man kann sich das "sudo" sparen, wenn man sich einen kurzen Alias oder softlink anlegt...) Helga, Du machst mir langsam Angst! Es ist mir nicht oft passiert, dass ich ein "rm <irgendwas>" falsch geschrieben oder am falschen Ort ausgeführt habe aber hätte ich es jeweils als eingeloggter Root-User getan, hätte ich ernste Probleme bekommen. Man setzt auschliesslich die Befehle als "root" ab, die die entsprechenden Rechte *brauchen*. Alles andere ist potentiell schädlich.
[...] Ich denke mal, von dieser Art von Arbeit hatten wir es hier.
Das ist mir bewusst, weil ich es ebenfalls jahrelang getan habe...
[...]
MG Henning Hucke -- Jetzt sind die guten alten Zeiten, nach denen wir uns in zehn Jahren zurücksehnen. Sir Peter Ustinow
Moin, Am Mo, den 22.03.2004 schrieb Henning Hucke um 0:12:
Was ist an "sudo less +G -S /var/log/messages" so falsch!?
Nichts. Außer, daß es unnötig kompliziert ist. Natürlich kann man Bäume mit der Nagelschere fällen, und es ist bedeutend sicherer, als, sagenwirmal, eine Kettensäge. Trotzdem ist eine Säge das korrekte Werkzeug. Wenn ich Serverdienste konfiguriere, logge ich mich als root ein, achte darauf, was ich tue, und dann wieder raus. Dein Beispiel mit /var/log/messages ist ja noch "gekauft", aber was ist, wenn ich einen Dämon neu starten will? Sind wirklich alle Dateien, die dann so gelesen und geschrieben werden, mit den richtigen Rechten ausgestattet? Wieviel kann man sich dadurch kaputtmachen, daß Datei A gelesen, gepatcht und als Datei B geschrieben wird, und leiderleider hatte "admin" zwar Schreibrechte auf B, aber keine Leserechte auf A, und das Resultat ist ein leere Configdatei... Ich stelle immer wieder mit Entsetzen fest, was passiert, wenn man versehentlich als User (nicht als root) ein initscript startet - etliche Systeme ziehen das gnadenlos durch, mit Massen an Fehlermeldungen. Gnade dir Gott, wenn fälschlicherweise eine Configdatei mal schreibbar für User ist... Wenn du Fehler machst, ist das System breit. So oder so. Aber dann verwende ich lieber ein transparentes Verfahren und blicke wenigstens noch durch. Gruß, Ratti
*** Joerg Rossdeutscher (ratti@gesindel.de) schrieb am Mar 22, 2004 in...:
Am Mo, den 22.03.2004 schrieb Henning Hucke um 0:12:
Was ist an "sudo less +G -S /var/log/messages" so falsch!?
Nichts.
Außer, daß es unnötig kompliziert ist.
Kompliziert!? %-D
[...] Wenn ich Serverdienste konfiguriere, logge ich mich als root ein, achte darauf, was ich tue, und dann wieder raus.
Mit sudo (respektive einem "weniger komplizierten" Link) zu arbeiten, ist wie einen Vertrag zu schliessen: Man tut es nicht für den Fall, dass man keine Scherereien miteinander hat, sondern für den Fall, _dass_ man Scherereien miteinander hat. Weniger kompliziert: Du solltest nicht deshalb nicht als "root" arbeiten, weil Du etwas falsch machen kannst, wenn Du aufpasst, sondern deshalb, weil Du etwas falsch machen kannst, wenn Du gerade mal abgelenkt bist. Aber vermutlich ist es wie offensichtlich immer: Ihr müßt erstmal ein System in den Sand gesetzt haben, bevor ihr diese Lektion lernt...
Dein Beispiel mit /var/log/messages ist ja noch "gekauft", aber was ist, wenn ich einen Dämon neu starten will?
Joerg, Du machst mich langsam Schwach: "+ rcinn restart" (Ich habe einen Link von "~/bin/+" auf "sudo". Mann kann genauso gut einen alias oder einen Link Beispielsweise in "/usr/lobal/bin" einrichten).
Sind wirklich alle Dateien, die dann so gelesen und geschrieben werden, mit den richtigen Rechten ausgestattet?
Es gibt keine umask, die generell für alle ("root-") files adäquat ist (sigh!).
Wieviel kann man sich dadurch kaputtmachen, daß Datei A gelesen, gepatcht und als Datei B geschrieben wird, und leiderleider hatte "admin" zwar Schreibrechte auf B, aber keine Leserechte auf A, und das Resultat ist ein leere Configdatei...
Ich spare mir, _dieses_ Beispiel zu überprüfen. Nicht als root zu arbeiten, ist genauso wenig eine Versicherung wie eine Firewall. Bei beiden muß man auch "dahinter" weiterhin ausmerksam sein. Aber es erleichter eben vieles ungemein und man hat schonmal eine Grundsicherung geschaffen. ... Mir kommt das jetzt langsam wie Oposition um der Oposition willen vor.
Ich stelle immer wieder mit Entsetzen fest, was passiert, wenn man versehentlich als User (nicht als root) ein initscript startet - etliche Systeme ziehen das gnadenlos durch, mit Massen an Fehlermeldungen.
Und? Solange sie nicht überschreiben können, was sie nicht überschreiben sollen, ist doch alles In Ordnung.
Gnade dir Gott, wenn fälschlicherweise eine Configdatei mal schreibbar für User ist...
"+ vi /etc/shadow" (sigh!). Es wäre dumm, eine Config-Datei als User anzulgen. Das ist in der Tat einer der Fälle, in den man den Aufruf mit root-Rechten ausstattet. ... Du wolltest jetzt nicht auf Teufel komm raus ein Gegenbeispiel konstruieren, oder? %-|.
Wenn du Fehler machst, ist das System breit. So oder so.
Hmpf! Wenn ich ein "rm -rf /*" (statt beispielsweise "rm -r ../.*") als root eingebe, ist mein System platt; in der Tat. Wenn ich das als "h_hucke" tue, ist es dass in keinster Weise. Joerg, ich schlage einfach mal vor, Du schickst mir ein Transcript einer Session, in der Du Dir als User das *System* auf eine Weise zerschossen hast, dass es nichtmehr bootet oder zumindest nach dem booten nichtmehr vernünftig nutzbar ist und dann reden wir weiter. Bis auf weiteres gehe ich einfach mal davon aus, dass ich früh genug von Generationen von Administratoren vor mir und mit ein wenig Hilfe eigener Fehler gelernt habe.
Aber dann verwende ich lieber ein transparentes Verfahren und blicke wenigstens noch durch.
Ich verkneife mir nicht wirklich einen Kommentar zu der Tatsache, dass
Du das Verwenden von sudo bereits als nicht transparent und kompliziert
empfindest...
MG Henning Hucke
--
"Hier wird Dir niemand sagen, was Du vielleicht hoeren moechtest, sondern
was er Dir sagen moechte." (Bettina Fink in
Hallo, On 23-Mar-2004 Henning Hucke wrote:
*** Joerg Rossdeutscher (ratti@gesindel.de) schrieb am Mar 22, 2004 in...:
Am Mo, den 22.03.2004 schrieb Henning Hucke um 0:12:
Was ist an "sudo less +G -S /var/log/messages" so falsch!?
Nichts.
Außer, daß es unnötig kompliziert ist.
Kompliziert!? %-D
Ja :-( Egal, ob "sudo less /var/log/messages" oder "sudo -u root less /var/log/messages", immer erhalte ich nach der Eingabe des root-Passwortes ein "Sorry, try again" Muss ich also noch etwas in der sudoers eintragen? Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
Hallo Heinz, On Wed, Mar 24, 2004 at 02:56:44PM +0100, Heinz W. Pahlke wrote:
Egal, ob "sudo less /var/log/messages" oder "sudo -u root less /var/log/messages", immer erhalte ich nach der Eingabe des root-Passwortes ein "Sorry, try again"
man sudo ... sagt nichts von root Passwort nimm lieber dein User Passwort :)
Muss ich also noch etwas in der sudoers eintragen?
weiss ich nicht. Kann "leider" nicht nachschauen, was da schon alles drin steht. Greetings Daniel -- Und als nächste dürfen Querschnittgelähmte spammen, Blinde dürfen meinen Server aufmachen, und wer als Kind im Ostblock aufgewachsen ist darf HTML-Mails schreiben? Super. Ich hatte mal Mittelohrentzündung, das sollte reichen, um Outlook benutzen zu dürfen? --Joerg Rossdeutscher in suse-linux
Daniel Lord wrote:
man sudo ... sagt nichts von root Passwort nimm lieber dein User Passwort :)
Das wäre ja auch ziemlich bizarr, wenn man einem Tool, welches es erlaubt beliebigen Nicht-Ruth-Nutzern privilegierte Befehle auszuführen, das Root-Password geben muß. Das erste Mal bin ich aber auch drüber gestolpert :-) Bernd -- np: Dead Can Dance - Rakim
Hallo, On 24-Mar-2004 Bernd Laengerich wrote:
Daniel Lord wrote:
man sudo ... sagt nichts von root Passwort nimm lieber dein User Passwort :)
Das wäre ja auch ziemlich bizarr, wenn man einem Tool, welches es erlaubt beliebigen Nicht-Ruth-Nutzern privilegierte Befehle auszuführen, das Root-Password geben muß. Das erste Mal bin ich aber auch drüber gestolpert :-)
Jein, wenn man es nicht braucht, dann koennte sich doch jeder user faktisch root-Rechte aneignen. Es ist uebrigens nicht so, dass ich man sudo/sudoers nicht gelesen haette, aber an diesem Punkte fehlt mir einfach jedes _Verstaendnis_. Der Text koennte da auch in tuerkisch, finnisch oder suaheli stehen. Ich wuerde trotzdem nicht weniger verstehen :-( Okay, ist ein bisschen uebertrieben. Ganz so schlimm ist es nicht, aber weiter komme ich trotzdem nicht. Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
Heinz W. Pahlke wrote:
Jein, wenn man es nicht braucht, dann koennte sich doch jeder user faktisch root-Rechte aneignen.
Nein, nur diejenigen denen für bestimmte Befehle root-Rechte eingeräumt wurden 8und zwar von root), können ohne Kenntnis des root-passwortes eben diese Befehle ausführen. Und visudo kann eben auch nur ausführen, wer dazu berechtig ist. Beispiel: Ein Dasi-Beauftragter hat den Account dasi. Er bekommt per Konfiguration in /etc/sudoers die Berechtigung, das Sicherungsprogramm unter root-Rechten aufzurufen. Er kann dann ohne Kenntnis des root-Passwortes die Sicherung durchführen.
Okay, ist ein bisschen uebertrieben. Ganz so schlimm ist es nicht, aber weiter komme ich trotzdem nicht.
Einfache Konstruktionen sind doch ziemlich geradlinig: wwwrun localhost = NOPASSWD: /usr/sbin/isdnctrl erlaubte auf meinem Rechner dem user wwwrun Zugriff auf isdnctrl. Damit hatte ich per cgi den Status der ISDN-Leitungen sowie Verbindungs auf- wie abbau auf eine Intranetseite gezaubert. Bernd
Hallo, On 24-Mar-2004 Bernd Laengerich wrote:
Einfache Konstruktionen sind doch ziemlich geradlinig:
wwwrun localhost = NOPASSWD: /usr/sbin/isdnctrl
erlaubte auf meinem Rechner dem user wwwrun Zugriff auf isdnctrl. Damit hatte ich per cgi den Status der ISDN-Leitungen sowie Verbindungs auf- wie abbau auf eine Intranetseite gezaubert.
Naja, bloss dort ein "/usr/bin/less" eintragen, kann es wohl nicht sein, denn less darf ich als user ohnehin ausfuehren. Also habe ich jetzt mal ein "/var/log/messages" versucht. Geht nicht. Von da war es dann allerdings nicht mehr schwer: Die Loesung heisst "/usr/bin/less /var/log/messages" :-) Ich bin nur immer davon ausgegangen, dass ich mit Hilfe von sudo z.B. ganz variable mal diese und mal jene Log-Datei durchschauen oder eben auch Konfig-Dateien editieren darf. Aber man muss wirklich jede Befehlszeile einzeln eintragen. Vielen Dank und beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
*** Heinz W. Pahlke
On 24-Mar-2004 Bernd Laengerich wrote:
Einfache Konstruktionen sind doch ziemlich geradlinig:
wwwrun localhost = NOPASSWD: /usr/sbin/isdnctrl
Naja, bloss dort ein "/usr/bin/less" eintragen, kann es wohl nicht sein, denn less darf ich als user ohnehin ausfuehren.
wenn du less per sudo startest, was denkst du unter welchem user dann less läuft?
Also habe ich jetzt mal ein "/var/log/messages" versucht. Geht nicht.
Von da war es dann allerdings nicht mehr schwer: Die Loesung heisst "/usr/bin/less /var/log/messages" :-)
Ich bin nur immer davon ausgegangen, dass ich mit Hilfe von sudo z.B. ganz variable mal diese und mal jene Log-Datei durchschauen oder eben auch Konfig-Dateien editieren darf. Aber man muss wirklich jede Befehlszeile einzeln eintragen.
nein. versuche es doch mal mit man sudoers oder [1]. micha [1] http://www.google.de/search?q=sudoers&meta=lr%3Dlang_de
Hallo, On 24-Mar-2004 Michael Meyer wrote:
*** Heinz W. Pahlke
wrote: On 24-Mar-2004 Bernd Laengerich wrote:
Einfache Konstruktionen sind doch ziemlich geradlinig:
wwwrun localhost = NOPASSWD: /usr/sbin/isdnctrl
Naja, bloss dort ein "/usr/bin/less" eintragen, kann es wohl nicht sein, denn less darf ich als user ohnehin ausfuehren.
wenn du less per sudo startest, was denkst du unter welchem user dann less läuft?
Verdammt, jetzt geht es. Bloss warum hat es vorher nicht funktioniert? Eigentlich dachte ich, dass ich nach jeder Aenderung in der sudoers sudo -k ausgefuehrt haette, aber... Jedenfalls vielen Dank, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
Am Mittwoch, 24. März 2004 15:54 schrieb Bernd Laengerich:
Daniel Lord wrote:
man sudo ... sagt nichts von root Passwort nimm lieber dein User Passwort :)
Das wäre ja auch ziemlich bizarr, wenn man einem Tool, welches es erlaubt beliebigen Nicht-Ruth-Nutzern privilegierte Befehle auszuführen, das Root-Password geben muß.
Nein, es ist nicht bizarr,und mindestens bei SuSE-9.0 funktioniert das auch! harald@linux:~> sudo less /var/log/messages Password: [root-passwort] funktioniert. danach sudo less /etc/sudors funktioniert dann ohne ein Passwort. Du kannst also danach privilegierte Befehle absetzen ohne die Datei /etc/sudoers bearbeiten zu müssen. Gruß Harald
Hallo, On 24-Mar-2004 Harald Huthmann wrote:
Am Mittwoch, 24. März 2004 15:54 schrieb Bernd Laengerich:
Daniel Lord wrote:
man sudo ... sagt nichts von root Passwort nimm lieber dein User Passwort :)
Das wäre ja auch ziemlich bizarr, wenn man einem Tool, welches es erlaubt beliebigen Nicht-Ruth-Nutzern privilegierte Befehle auszuführen, das Root-Password geben muß.
Nein, es ist nicht bizarr,und mindestens bei SuSE-9.0 funktioniert das auch!
harald@linux:~> sudo less /var/log/messages Password: [root-passwort]
Das will hier aber nicht :-(
funktioniert. danach sudo less /etc/sudors funktioniert dann ohne ein Passwort.
Ist klar ;-) sudo arbeitet mit time-stamps, d.h. dies ist nur eine bestimmte Zeit moeglich. Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
Harald Huthmann wrote:
Am Mittwoch, 24. März 2004 15:54 schrieb Bernd Laengerich:
Daniel Lord wrote:
man sudo ... sagt nichts von root Passwort nimm lieber dein User Passwort :)
Das wäre ja auch ziemlich bizarr, wenn man einem Tool, welches es erlaubt beliebigen Nicht-Ruth-Nutzern privilegierte Befehle auszuführen, das Root-Password geben muß.
Nein, es ist nicht bizarr,und mindestens bei SuSE-9.0 funktioniert das auch!
das funktioniert bei SUSE 9 , weil da Defaults targetpw in der sudoers-Datei drinsteht --> man sudoers
Du kannst also danach privilegierte Befehle absetzen ohne die Datei /etc/sudoers bearbeiten zu müssen.
das geht afaik für eine Bestimme Zeit, da sih das System die Berechtigung merkt. Andreas
Hallo, On 24-Mar-2004 Daniel Lord wrote:
On Wed, Mar 24, 2004 at 02:56:44PM +0100, Heinz W. Pahlke wrote:
Egal, ob "sudo less /var/log/messages" oder "sudo -u root less /var/log/messages", immer erhalte ich nach der Eingabe des root-Passwortes ein "Sorry, try again"
man sudo ... sagt nichts von root Passwort nimm lieber dein User Passwort :)
"Sorry, user heinz is not allowed to execute '/usr/bin/less /var/log/messages' as heinz on pahlke." :-(( Ich weiss schon, warum mir sudo/su/... nicht behagt. Damit liege ich seit Suse 5.0 im Clinch.
Muss ich also noch etwas in der sudoers eintragen?
weiss ich nicht. Kann "leider" nicht nachschauen, was da schon alles drin steht.
Oh, da steht viel drin. Leider, befuerchte ich, vor allem Schrott als meinen vielen Versuchen der vergangenen Jahre. Ich weiss nicht, ob es sinnvoll ist, die sudoers hier zu mailen. Was muesste denn als Minimum drin stehen, damit obige Befehlszeile funktioniert? Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
Moin, Am Di, den 23.03.2004 schrieb Henning Hucke um 22:48:
*** Joerg Rossdeutscher (ratti@gesindel.de) schrieb am Mar 22, 2004 in...:
Am Mo, den 22.03.2004 schrieb Henning Hucke um 0:12:
Was ist an "sudo less +G -S /var/log/messages" so falsch!?
Nichts. Außer, daß es unnötig kompliziert ist.
Kompliziert!? %-D
Kompliziert.
[...] Wenn ich Serverdienste konfiguriere, logge ich mich als root ein, achte darauf, was ich tue, und dann wieder raus.
Mit sudo (respektive einem "weniger komplizierten" Link) zu arbeiten, ist wie einen Vertrag zu schliessen: Man tut es nicht für den Fall, dass man keine Scherereien miteinander hat, sondern für den Fall, _dass_ man Scherereien miteinander hat. Weniger kompliziert: Du solltest nicht deshalb nicht als "root" arbeiten, weil Du etwas falsch machen kannst, wenn Du aufpasst, sondern deshalb, weil Du etwas falsch machen kannst, wenn Du gerade mal abgelenkt bist.
Vor "Ablenkung" rettet dich sudo nicht. Wenn ich abgelenkt rm /* -r eintippe, dann tippe ich auch abgelenkt sudo rm /* -r ein. Zumal Katastrophe i.d.R. nicht auftreten, weil man wirklich rm /* -r eingetippt hat, sondrn weil ein bewusst abgesetztes find | xargs oder ein Leerzeichen an der falschen Stelle das Debakel auslöst. Oder so dämliche Konstrukte wie cd /hier/kann/alles/weg rm * -r ...welches bei nicht vorhandenem Ordner das falsche eliminiert... Nichts, was ich bisher versaut habe, wäre durch sudo vermieden worden.
Aber vermutlich ist es wie offensichtlich immer: Ihr müßt erstmal ein System in den Sand gesetzt haben, bevor ihr diese Lektion lernt...
Tausend-Jahre-Erfahrung haben gesprochen.
Dein Beispiel mit /var/log/messages ist ja noch "gekauft", aber was ist, wenn ich einen Dämon neu starten will?
Joerg, Du machst mich langsam Schwach: "+ rcinn restart" (Ich habe einen Link von "~/bin/+" auf "sudo". Mann kann genauso gut einen alias oder einen Link Beispielsweise in "/usr/lobal/bin" einrichten).
Ich habe hier ein halbes Dutzend Kisten stehen, und jede hat ein anderes Linux/Unix/OSX drauf. Dazu kommen regelmässig irgendwelche Webserver von Kunden, welche nach aufspielen diverser Software und der Website meinen Wirkungsbereich wieder verlassen. Was denkst du, wie konsistent die Enviroments, im Speziellen z.B. $PATH hier ist? Ein Beispiel mit einem nahen Verwandten, su: Unter Suse und SunLinux mußt du "su -" eingeben, um sendmail, ifconfig etc in den Pfad zu bekommen, bei Debian darfst du genau das nicht tun, sondern mußt "su" ohne "-" verwenden. Das verdaddel ich schon oft genug, ich werd' einen Teufel tun und auch noch mit sudo rumhühnern, zumal auf Kisten, auf die ich zur Softwareinstallation zwar root-Zugriff habe, die mir aber nicht "gehören"... Du hast noch nicht erzählt, wo sich "sudo" wirklich lohnt. Meine root-Tätigkeiten beschränken sich i.d.R. auf Dinge wie das wiederholen von: su do{ nano -w $CONFIGFILE # braucht root /etc/init.d/$DAEMON restart # braucht root #Scheisse, geht immer noch nicht } until geht || 18 Uhr exit Ein zwischendurch angesetztes ls oder find ist nun wirklich nicht das Problem.
Gnade dir Gott, wenn fälschlicherweise eine Configdatei mal schreibbar für User ist...
"+ vi /etc/shadow" (sigh!). Es wäre dumm, eine Config-Datei als User anzulgen. Das ist in der Tat einer der Fälle, in den man den Aufruf mit root-Rechten ausstattet.
Natürlich ist es dumm. Davon reden wir ja: Das jeder mal was dummes tut, und wie wür uns vor unserer eigenen gelegentlichen Dummheit am besten schützen. Natürlich geht keiner hin und sagt "Ach, jetzt leg ich mal die httpd.conf als User an". Fehler passieren immer anders. Zum Beispiel: Bei mir ist ist das ssh-Login für root verboten. Ich muß mich immer als user anmelden. Deswegen laufen auch Kopieraktionen per scp als User. "Schnell mal die httpd.conf von der anderen Maschine kopieren, scp -l ratti /etc/apache/conf/httpd.conf meinserver:/home/ratti/", und auf der Maschine dann "mv /home/ratti/httpd.conf /etc/apache/conf/httpd.conf". Und schwupps, isses passiert.
.. Du wolltest jetzt nicht auf Teufel komm raus ein Gegenbeispiel konstruieren, oder? %-|.
Ich sage, daß Schäden mit meiner Methode angerichtet werden können oder mit deiner, und teilweise /weil/ man sich eben dieser Methode bedient - während mit der anderen Methode nix passiert wäre. Und wenn ich mir beide so angucke, dann gefällt mir meine Methode deutlich besser. Ich nutze sudo nur, um z.B. per Webinterface User anzulegen. Für echte Admintätigkeite an der Shell nutze ich su und root.
Wenn du Fehler machst, ist das System breit. So oder so.
Hmpf! Wenn ich ein "rm -rf /*" (statt beispielsweise "rm -r ../.*") als root eingebe, ist mein System platt; in der Tat. Wenn ich das als "h_hucke" tue, ist es dass in keinster Weise.
Von der PERMANENTEN Arbeit als root für JEDEN Kram war hier nirgends die Rede, sondern nur von Tätigkeiten, die rootrechte ERFORDERN. Und da besteht eben zwischen "root # $FEHLER" und "user> sudo $FEHLER" überhaupt kein Unterschied. Ich präzisiere den Satz, wie er im Rahmen der Diskussion gemeint war: "Wenn du (bei der Admintätigkeit) Fehler machst, ist das System breit. So [als root] oder so [als sudo-root]." Sieh's doch mal so: Der einzige wirkliche Vorteil von sudo liegt darin, daß man zwischen den notwendigen(!) als-root Befehlen eben auch mal sowas eintippt wie pwd oder ls oder echo $IRGENDWAS, und daß man auch damit was kaputtkriegen /kann/. Zum Beispiel, weil man sich vertippt und ".[LEERZEICHEN]*" statt ".*" eintippt. Oder weil man die Returntaste nicht richtig trifft und vorher noch das * nebenan mit erwischt. Ja. Da rettet dich sudo. Ehmmm... aber das ist deutlich konstruierter als meine Argumentation. Gruß, Ratti
Am Sonntag März 21 2004 14:36 schrieb Helga Fischer:
Am Sonntag März 21 2004 14:22 schrieb Holger Simon:
Richtig, es geht darum zwei Accounts zu haben mit denen man vollen Root-Zugriff hat. Falls es dafür auch eine andere Methode gibt, so würde ich die auch nutzen.
Login über einen ssh-key. Dann authentifizierst Du Dich über den Schlüssel als root und die anderen können das root-pw nehmen.
Guck mal im Listenarchiv, da gibt's da auch noch genauer erklärt.
Oder hier: http://www.schlittermann.de/ssh. Ich hab' das mal für einen meiner eigenen Rechner eingerichtet, aber ob das so besonders praktikabel ist, wenn mehrere Personen (auch von unterschiedlichen Standorten und verschiedenen Betriebssystemen aus) immer wieder Rechner mit root-Rechten aufsuchen müssen, weiß ich nicht. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Holger Simon schrieb: ...
Richtig, es geht darum zwei Accounts zu haben mit denen man vollen Root-Zugriff hat. Falls es dafür auch eine andere Methode gibt, so würde ich die auch nutzen.
sudo Gruß hebi -- Dirk Hebenstreit Tel : +49-170-2461522 Eschenweg 3 +49-33200-85997 14558 Bergholz-Rehbruecke Dirk.Hebenstreit@epost.de PingoS - LINUX-User helfen Schulen: http://www.pingos.org
Hallo, Am Sun, 21 Mar 2004, Holger Simon schrieb:
Richtig, es geht darum zwei Accounts zu haben mit denen man vollen Root-Zugriff hat. Falls es dafür auch eine andere Methode gibt, so würde ich die auch nutzen.
Evtl. hilft schon: /etc/sysconfig/suseconfig:SORT_PASSWD_BY_UID="no" da hab ich aber meine Zweifel. Ansonsten ist /sbin/conf.d/SuSEconfig.sortpasswd wohl das was stoert. AFAIK koennte schon ein 'chmod a-x /sbin/conf.d/SuSEconfig.sortpasswd' ausreichen, ansonsten kann man das script verschieben oder (evtl. besser), am Anfang einfach ein 'exit 0' einfuegen. Wenn du generell, wie ich, auf SuSEconfig verzichten willst, dann setze ENABLE_SUSECONFIG="no" in /etc/sysconfig/suseconfig. BTW: ich hoffe, du machst das ganze nur, weil du schlicht 2 Passwoerter fuer UID 0 willst. Denn das ist IMO ein nachvollziehbares Szenario, dass man sich "root" teilt, aber nicht nur ein Passwort dafuer haben will. HTH, -dnh -- If you haven't got time to RTFM, you haven't got time to whine on this mailing list.
*** Helga Fischer (Azula@gmx.de) schrieb heute in suse-linux:
[...] Trotzdem wurde der Wunsch auch schon an mich herangetragen, doch noch einen zweiten root einzurichten, so daß der Kunde nicht immer dran denken muß, auch seinem IT-Dienstleister das neue root-pw zu übermitteln.
Ich könnte mir denken, daß ein solcher oder ähnlicher Wunsch auch Holger zu dieser Frage veranlaßt hat.
Schreib mal Leute, seid ihr so einfallslos oder tut ihr nur so? Wie wäre es damit, einfach einen weiteren User einzurichten und ihm - notfalls per Script - gleich eine Shell mit root-Rechten per sudo zu starten, wenn es denn sein muß? Ich persönlich fasse weder an der Arbeit noch privat den root-Account überhaupt an, sondern setze die Kommandos, die denn unbedingt als root ausgeführt werden müssen, per sudo aus. BTW: su1 ist auch sehr interessant. MG Henning Hucke -- "Ich weiß nicht mit welchen Waffen sich die Menschen im 3. Weltkrieg bekaempfen, aber im 4. werden es Keulen sein." (Albert Einstein)
Am Sonntag März 21 2004 15:44 schrieb Henning Hucke:
*** Helga Fischer (Azula@gmx.de) schrieb heute in suse-linux:
[...] Trotzdem wurde der Wunsch auch schon an mich herangetragen, doch noch einen zweiten root einzurichten, so daß der Kunde nicht immer dran denken muß, auch seinem IT-Dienstleister das neue root-pw zu übermitteln.
Ich könnte mir denken, daß ein solcher oder ähnlicher Wunsch auch Holger zu dieser Frage veranlaßt hat.
Schreib mal Leute, seid ihr so einfallslos oder tut ihr nur so?
Hmmm...
Wie wäre es damit, einfach einen weiteren User einzurichten und ihm - notfalls per Script - gleich eine Shell mit root-Rechten per sudo zu starten, wenn es denn sein muß?
Was ist da denn dann der Unterschied? Systemverwalter sollten schon ungehindert ihrer Arbeit nachgehen können.
Ich persönlich fasse weder an der Arbeit noch privat den root-Account überhaupt an, sondern setze die Kommandos, die denn unbedingt als root ausgeführt werden müssen, per sudo aus.
Ist für das, was ich in aller Regel als root tun muß, eher kontraproduktiv.
BTW: su1 ist auch sehr interessant.
Das gucke ich mir gerne mal an. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
*** Helga Fischer (Azula@gmx.de) schrieb heute in suse-linux:
[...]
Wie wäre es damit, einfach einen weiteren User einzurichten und ihm - notfalls per Script - gleich eine Shell mit root-Rechten per sudo zu starten, wenn es denn sein muß?
Was ist da denn dann der Unterschied? Systemverwalter sollten schon ungehindert ihrer Arbeit nachgehen können.
Ich verstehe den Einwand nicht. Was sollte den Systemverwalter in einem solchen Fall den daran hindern, seiner Arbeit ungehindert nachzugehen?
Ich persönlich fasse weder an der Arbeit noch privat den root-Account überhaupt an, sondern setze die Kommandos, die denn unbedingt als root ausgeführt werden müssen, per sudo aus.
Ist für das, was ich in aller Regel als root tun muß, eher kontraproduktiv.
Das glaube ich nicht! Ich habe inzwischen fast acht Jahre lang die meiste Zeit mit Unix/Linux-Administration zu tun und hatte noch _nie_ die Notwendigkeit, mich - außerhalb von Ausnahmesituationen wie unbenutzbarer Systeme o.ä. - direkt als "root" einzuloggen.
[...]
MG Henning Hucke -- Wer mir ungefragt Werbemüll an die private Mailadresse schickt, erklärt sich mit der Zusendung der X11-Sourcen via FTP-Mail und einer Entschädigungszahlung an mich einverstanden. Die Zustimmung gilt mit der Absendung der email an mich als erteilt. (c) unbekannt
participants (14)
-
Andreas Loesch
-
Andreas Otto
-
Bernd Laengerich
-
Daniel Lord
-
David Haller
-
Dirk Hebenstreit
-
Harald_mail@t-online.de
-
Hartmut Meyer
-
Heinz W. Pahlke
-
Helga Fischer
-
Henning Hucke
-
Holger Simon
-
Joerg Rossdeutscher
-
Michael Meyer