Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
21.06.2018, 15:48:19

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 20331
  • Letzte: Renan
Statistiken
  • Beiträge insgesamt: 534562
  • Themen insgesamt: 42825
  • Heute online: 466
  • Am meisten online: 680
  • (27.03.2018, 20:17:41)
Benutzer Online

Autor Thema:  Benötigen auch Standard-User, die nicht in der Gruppe sudo sind, ein Passwort?  (Gelesen 2612 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Korfox

  • Global Moderator
  • *****
Ich habe hier mal die Exkursion zu Kapitel 5 des Handbuches "Wie mache ich mir in sozialen Medien Feinde" entfernt. Bleibt bitte beim Thema.

Off-Topic:
Hat midi29 das auch hier gefragt? Das Original ist nicht mehr da. :o
Kann mann dieses Manual irgendwie als pdf auslesen?
Ist vlt einfacher zu lesen als im Terminal
Micha

man su > /home/$USER/man_su.txt
Da nach PDF gefragt, dann doch direkt https://wiki.ubuntuusers.de/man/#Generierung-von-durchsuchbaren-PDF-Dateien, damit es auch schön aussieht.

Und als html bevorzuge ich passend zur installierten Version: http://manpages.ubuntu.com/

Korfox

  • Global Moderator
  • *****
Off-Topic:
Korrekt, sorry. Ich empfand das als Satire.

Off-Topic:
Mit Sicherheit hatte es nichts, oder jedenfalls nur äußerst wenig mit dem Thema zu tun.
So kommt man dann von Hölzchen zu Stöckchen … und letztlich ins Nirwana. ;)
« Letzte Änderung: 14.03.2018, 16:20:33 von aexe »

Mit der dem User gegebenen Erlaubnis "sudo" zu verwenden, ist gleichzeitig auch die Erlaubnis erteilt, dass alle unter der UID des User laufenden Anwendungen ebenfalls für 15 Minuten nach der Passwordeingabe unkontrolliert "sudo"-Statements absetzen können.
Da hast du schon Recht aber auch hier kann der User eingreifen. Ich finde es ganz gut wenn ich nicht, bei mehrern sudo Befehlen in Folge, das Passwort eingeben muss.
Wenn ich das Terminal dann nicht mehr brauchen wird es geschlossen und dann hab ich, über sudo, keine Angriffsfläche mehr.
Wer das Terminal natürlich offen lässt ist. ich möchte schon fast sagen, selber Schuld.

Will man den Zeitstempel vermeiden (Timeout für sudo=0): sudo -k <Befehl> verwenden.
-k, --reset-timestamp   –   Zeitstempeldatei ungültig machen
Auch eine sichere Möglichkeit der einmaligen Verwendung von sudo.

Ubuntu/Mint ist auf die Administration ohne aktiven root user ausgelegt, ohne sudo würden auch einige Installationsskripte etc. nicht mehr funktionieren.

Mit Verlaub, das ist Blödsinn. Der einzige User im System der

- andere Benutzer anlegen, löschen, verwalten kann
- die Repositories plegen
- PProgramme (de)installieren
- Geräte/Treiber einrichten
kann ist der Benutzer root mit UID GID 0,

sudoers haben keine besonderen Rechte außer dem Recht den Default-Benutzer root auf Tastatur, Maus Monitor zu holen. Die bei der Gelegenheit aufkommende Passwortfrage uist: root, gib Dein Passwort und beweise damit Daß Du es wirklich bist.

Ändere Dein Password und versuche dann damit root zu werden. Versuche es dann mit dem alten und staune. Du kannst auch root überreden sein Passwod zu ändern und .....

Ja, jeder Benutzer hat sein eigenes password, das er - und root mit dem Befehl passwd jederzeit ändern kann. Der Installer setzt dieses für root auf das des Installationsbenutzers. Damit sind die lexigrafisch identisch und trotzdem verschieden. /etc/passwd zeigt den Beweis.

@Centaur:
Bei der Installation von Fedora habe ich dem root-User ein anderes Passwort gegeben als meinem User. Nie hat das System das Root-passwort verlangt, wenn ich sudo verwende sondern immer meins.
Auf den dutzenden an Servern auf denen ich mich täglich anmelde und mit sudo -i zum Rootuser werde brauche ich nie das Passwort des Rootusers sondern immer nur meins.

Bitte ließ selbst nochmal die manpage zu sudo. Da steht drin, dass das Passwort des aufrufenden Users verlangt wird.

UNTERSCHIEDLICHE Distributions nutzen unterschiedliche Konfigurationen. So ist su/Debinan noch lange nicgr SU Ubuntu noch lange nicht su/Mint.... nur um ein Beispiel zu nennen. Es gibt nur Fenster vom M$ das überall gleich kaputt ist. 

Frage Dein Mint wie Du heißt unter Deinem Namen, mit dem Aufruf von whoami und  sudo whoami - seltsam! Das sind 2 unterschidliche Identitäten mit unterschiedlichen Password - auch wenn diese lexikalisch identisch sind.

su und Familie nutzen je nach Konfiguration für den zu aktivierenden Benutzer. Jede Distribution nizt da - und nicht nur da andere Einstellungen. In mint ist der Default definitiv root. Es gibt uahllose Konfigurationseinstellungen - und jede Distribution sucht sich ihre eigenen. Das gilt selbst für den Kernel, Treiber und Dämonen wie für Anwendungen.

Wenn man dem Updatemanager unter den Rock guckt und ein Wenig Ahnung von Compilation (make) hat, kann man verstehen warum eine Kernelinstallation ewig braucht und manche Andwndungen in null komma nix durch ist.

Bei der Installation von Fedora habe ich dem root-User ein anderes Passwort gegeben als meinem User. Nie hat das System das Root-passwort verlangt, wenn ich sudo verwende sondern immer meins.
Hallo,

das ist unter Linux Mint 18.3 Cinnamon nicht anders, das kann man nachfolgend auch schön sehen:
cinnamon@18-3-cinnamon ~ $ su
Passwort:
18-3-cinnamon cinnamon # whoami
root
...
cinnamon@18-3-cinnamon ~ $ sudo whoami
[sudo] Passwort für cinnamon:
root

Bei Aufruf von "su", root wurde mit einem Passwort versehen, wird genau dieses abgefragt. Danach die Abfrage von "sudo whoami", wo explizit nach dem Passwort des Benutzers "cinnamon" und nicht nach dem von root gefragt wird. Versuche ich es mit dem root-Passwort, erscheint die bekannte Fehlermeldung.

Entsprechend ist es auch unter Debian, hier wurde der Benutzer extra für diesen Versuch der Gruppe "sudo" hinzugefügt:
cinnamon@debian ~ $ su
Passwort:
root@debian: /home/cinnamon# whoami
root
...
cinnamon@debian ~ $ sudo whoami
[sudo] Passwort für cinnamon:
root

Auch kann ich mit meinem Benutzerpasswort, entgegen den Aussagen von centaur in Antwort #36, zu "root" werden:
cinnamon@18-3-cinnamon ~ $ sudo su
[sudo] Passwort für cinnamon:
18-3-cinnamon cinnamon # whoami
root

Ich hoffe, mit meinen Ausführungen ein wenig zur Aufklärung beigetragen zu haben.
« Letzte Änderung: 15.03.2018, 14:18:57 von tml »

@tml: habe das gerade auch Mal wirklich nachgeprüft und bei Fedora ist es genau so.
su verlangt das Passwort des Users zu dem ich werden will und sudo das von dem User mit dem ich sudo aufrufe.

Ein sudo -i macht mich zu root verlangt aber nicht das Passwort des Users root.
Wenn das so wäre müsste ich mir auf Arbeit eine Menge kryptischer Passwörter merken.

Und ein "Standard-User" muss sich überhaupt nicht mit dem ganzen "sudosu&root"-Wirrwarr befassen.
Ob er nun ein Passwort hat oder nicht. Er kommt gar nicht erst in Versuchung, weil ihm das Recht dazu fehlt.

Bei einem regulären LM-18.2 funktioniert übrigens "su" auch beim Hauptbenutzer nicht.
Und eine reguläre LinuxMint Installation sollten wir sinnvollerweise als Diskussionsgrundlage nehmen.
Irgendwelche anderen, privat konfigurierten Systeme vergrößern die ohnehin reichlich vorhandene Verwirrung doch nur noch mehr. user@X240 ~ $ su
Passwort:
su: Legitimierungsfehler
user@X240 ~ $ whoami
user
user@X240 ~ $ sudo whoami
[sudo] Passwort für user:
root
user@X240 ~ $ echo $HOME
/home/user
Bedeutet also
- su wird (bei LM-18.2) mit dem Benutzerpasswort nicht akzeptiert
- sudo verschafft damit aber erweiterte Rechte und man arbeitet im Benutzerverzeichnis "als root"
    (die beliebte Quelle der verdrehten Rechte)

Mit dem Trick "sudo su" wird man zum echten "Root" (auch gerne ohne Sinn als "Superuser" bezeichnet): user@X240 ~ $ sudo su
X240 user # echo $HOME
/root
X240 user # whoami
root
X240 user # exit
exit
Hier arbeitet also nun Root in seinem "persönlichen" Verzeichnis (/root).

Weil es jetzt gerade so schön passt, noch ein paar weitere Abartigkeiten: user@X240 ~ $ sudo -i
X240 ~ # whoami
root
X240 ~ # echo $HOME
/root
X240 ~ # exit
Abgemeldet
Also im Prinzip dasselbe. Immerwährender Root-Zugang, bis man das Terminal beendet oder mit "exit" verlässt.

Wieder etwas anders: user@X240 ~ $ sudo -s
X240 ~ # whoami
root
X240 ~ # echo $HOME
/home/user
X240 ~ # exit
exit
user@X240 ~ $

Weil im Code-Block keine Farbe ist, das Ganze nochmal als Screenshot, dann werden die kleinen Unterschiede noch etwas besser dargestelllt.
« Letzte Änderung: 15.03.2018, 18:41:58 von aexe »

    Ubuntu/Mint ist auf die Administration ohne aktiven root user ausgelegt, ohne sudo würden auch einige Installationsskripte etc. nicht mehr funktionieren.

Mit Verlaub, das ist Blödsinn

Nein. Das ist kein Blödsinn. Wenn Du auf einem Mint-System sudo entfernst, ist es kein Mint mehr.

Zitat
/etc/passwd zeigt den Beweis.
welchen Beweis? in /etc/passwd werden seit gefühlt 100 Jahren keine Passwörter mehr gespeichert
Zitat
Frage Dein Mint wie Du heißt unter Deinem Namen, mit dem Aufruf von whoami und  sudo whoami - seltsam! Das sind 2 unterschidliche Identitäten mit unterschiedlichen Password - auch wenn diese lexikalisch identisch sind.

nach sudo whoami ist der Benutzer root. Ist aber doch logisch, oder?

Fenster ist ein properitäres System. Es gibt nur genau 1 GOI - die heißt Fenster weltweit.

Linux ist Open Source mit etlichen tausend variationen mit weiteren tausend unterschiedlichen Konfigurationen. Fedora hat mit Mint außer den Grundeinstellungen (Desltops) nicht viel geneimsam. So sind die Einstellungen von su (eine Gruppe von Aookujationen die es ermöglichen den Benutzer ad hock zu wechsen (su = dauerhaft, sudo für genau das Kommando das als Parameter nitgegeben wir - und einer total anderen Konfiguration.

Wenn Du Fedora testen willst, installier Fedora. Wenn Du Mint willst, installier Mint. Das sind 2 gänzlich unterschiedliche Betriebssysteme - nicht weil sie weitgehend ander Programme nutzen, sondern weil die Konfiguration der Programme höchst unterschiedlich ist.

Fenster ist eine vom Hersteller vorgegebene GUI  für genau 1 Benutzer.  Linix ist eine Vorlage mit optionalen unterschiedlichen GUIs und höchst unterschiedlichen Konfigurationen von höchst unterschiedlichen Benutzerkreisen zusammengestellt und konfiguriert zu höchst unterschiedlichen Systemen für multiple Benutzer, die gleichzeitig altiv sind. 

Lexigrafisch identische Passwords bedeuten noch lange nicht daß sie indentisch sind. Die Datei passwd stellt die Zuordnung zwischen Benutzer und Password her.  Unabhängig ob das Password hier unverschlüsselt oder - wie ich schon sagte - verschlüsselt in /etc/shadow abgelegt wird.

Dein persönliches passwort ist Dein persönliches Passwort - root hat sein eigenes - egal ob das lexikalisch identisch oder anders ist - es ist ein anderes.

Kurze Zusammenfassung eh ich raus bin:
su - fragt das Passwort des Users zu dem man werden möchte
sudo - fragt das Passwort des Users, der sudo aufruft

Ein User muss kein Passwort haben
Ein User mit sudo-Rechten SOLLTE ein Passwort haben