SU--> mit SUDO |
||
---|---|---|
#0
| ||
21.07.2003, 15:35
Member
Beiträge: 66 |
||
|
||
21.07.2003, 16:19
Member
Beiträge: 907 |
#2
du meinst, wie du befehle mittels sudo für einzelne user freigibst?
man sudo oder willst du das machen: # sudo su ??? greez |
|
|
||
22.07.2003, 07:55
Member
Themenstarter Beiträge: 66 |
#3
Hi,
es geht darum, ich möchte sudo su machen, ohne das der Anderwender das Rootpasswort bekommt. Wie mache ich das am besten ? Spufy |
|
|
||
22.07.2003, 10:14
Member
Beiträge: 907 |
#4
ich glaub es war:
user ALL=(root) NOPASSWD: /usr/bin/sudo -> man sudo für sicherheitswürdig halt ich das überhaupt nicht greez |
|
|
||
22.07.2003, 10:53
Member
Themenstarter Beiträge: 66 |
#5
Wie meinst du das ???
Zitat: für sicherheitswürdig halt ich das überhaupt nicht Es ist echt lästig, wenn ich immer eine Session starten muss, ein mal für mein User und einmal für root ... Dieses recht, bekommen ja nur die Admins Hast du eine bessere lösung für su ? |
|
|
||
22.07.2003, 12:41
Member
Beiträge: 907 |
#6
wenn nur die admins das recht bekommen, versteh ich den ganzen kram um sudo nicht
ein admin arbeitet doch von vornherein unter root kennung, da brauchst also kein 2. fenster es gibt doch auch die möglichkeit, die auch wieder ihre nachteile in gewissen bereichen hat, mehrere admins unter uid0 mit verschiedenen accounts laufen zu lassen warum hat jeder admin einen eigenen account und meldet sich nicht gleich als root an? naja, du kannst in der sudoers (die für sudo eine conf datei ist) eine gruppe angeben, die sudo ohne passwort ausführen kann - in die gruppe kommen dann die admins admins ALL=(root) NOPASSWD: /usr/bin/sudo jetzt sollte keine pwd-abfrage kommen greez |
|
|
||
22.07.2003, 12:48
Member
Themenstarter Beiträge: 66 |
#7
Hi,
das ist ein bisschen Koplieziert zu erklären ... Meinst du admins ALL=(root) NOPASSWD: /usr/bin/sudo oder admins ALL=(root) NOPASSWD: /usr/bin/su ??? Spufy |
|
|
||
22.07.2003, 13:20
Member
Beiträge: 907 |
#8
oh,
natürlich admins ALL=(root) NOPASSWD: /usr/bin/su vergiss auch nicht, die gruppe zu definieren greez |
|
|
||
22.07.2003, 13:40
Member
Themenstarter Beiträge: 66 |
#9
Hi,
ok danke werde ich gleich mal austesten Wenn ich es dich woche noch schaffe, dann werde ich mal Posten, wieso wir das so machen wollen, nächste woche ist schlecht, da fahre ich den Urlaub ... |
|
|
||
22.07.2003, 15:00
Ehrenmitglied
Beiträge: 831 |
#10
Code
Dies ermöglicht root sein password verschlüsselt auszulesen und danach zu entschlüsseln so das am ende das root-pass im klartext zu sehen ist. ich denke dies ist nicht in deinem sinne. aber jeder mit rootrechten kann dies. ob mit oder ohne rootpass (durch dein su) mfg p2k edit Code
So sieht das ganze schöner aus. Wenn du vereinzelnt root-rechte vergeben möchtest, könntest du ja vielleicht webmin http://www.webmin.org/ [HTTP-Admin-Tool] verwenden. Nur so ein Vorschlag mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
23.07.2003, 11:06
Member
Themenstarter Beiträge: 66 |
#11
HI,
danke für dein Antwort... es ist mit schon klar, dass die Jenigen, die Su machen dürfen, dass Passwort herraus bekommen können, dass ist ja auch unwichtig ... Mir geht es wirklich nur, dass die Gruppe (Admin) einfach su ohne Rootpasswort machen einlogen können, die haben das Root - Passwort, aber das ist so kryptisch, dass die es sich nicht merken können ... Spufy |
|
|
||
23.07.2003, 11:08
Ehrenmitglied
Beiträge: 831 |
#12
Dann verwende aber bitte wenigstens visudo(8) um die /etc/sudoers zu manipulieren.
mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
23.07.2003, 11:18
Member
Themenstarter Beiträge: 66 |
#13
Ja werde ich auf jedenfall machen ... Danke für die Tips ...
Noch was, woher hast du den Trick mit dem passwort im Klartext ??? Ich brauch das Programm "John" dazu oder ? Spufy |
|
|
||
23.07.2003, 11:28
Ehrenmitglied
Beiträge: 831 |
#14
Zitat spufy postete Das habe ich mir kurz ausgedacht, wie ich dir eine Sicherheitsbedenkliche Frage zuwerfen kann. Wobei mir gerade eine neue Einfällt. user ALL=(root) NOPASSWD: /usr/bin/sudo # Damit kann jeder User im Sys "sudo su" machen. vergebe entweder ein einfaches passwort oder begrenze auf eine bestimmte gruppe/user man sudo(8) grep "^root" /etc/shadow sucht das muster root in der datei shadow ^sucht_am_zeilen_anfang > leitet die Ausgabe auf dem Bildschirm in eine Datei um (rootpass) && führt ein nächstes Kommando aus chmod 400 ändert die zugriffrechte nicht das jemand dein root-pw knacken kann john - john the ripper ist ein bruteforce-programm welches das pass im klartext anzeigt. Ja du benötigst john. http://www.openwall.com/john/ mfg p2k edit näheres Theoretisches Wissen findest du hier http://www.linux.org/docs/ldp/howto/Security-HOWTO/password-security.html#AEN655 __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
23.07.2003, 13:04
Member
Beiträge: 907 |
#15
@poiin
"user ALL=(root) NOPASSWD: /usr/bin/sudo # Damit kann jeder User im Sys "sudo su" machen." meinst du, dass user ein synonym für _alle_ user auf den sys ist? der erste eintrag meint doch nur den user, der zugriff auf das kommando mittels sudo haben soll, oder irre ich? greez Du hast Recht. Mein Fehler! mfg p2k Dieser Beitrag wurde am 23.07.2003 um 13:08 Uhr von Emba editiert.
|
|
|
||
hab folgendes Problem. Wir setzten für die Authentifizirung auf den Servern das SSH2 verfahren ein (Public / Privatekey). Jetzt ist es, dass wenn wir uns als root anmelden wollen, immer ein neuese Putty Fenter aufmachen müssen.
ICh möchte es so einrichten, dass wenn ich SU eingebe, nicht das root passwort sondern mein Passwort eigeben muss. Da kommt natürlich SUDO ins spiel, ich dachte mir einfach, dass ich den user, der SU machen möchte in einer Gruppe rein lege und dann ihm Erlaube die UserID 0.
Aber wie definire ich das genau unter SUDO ???
Kann mir jemand helfen ...
Danke schon mal im voraus.
Spufy