SU--> mit SUDO

#0
21.07.2003, 15:35
Member

Beiträge: 66
#1 Hi @all,

hab folgendes Problem. Wir setzten für die Authentifizirung auf den Servern das SSH2 verfahren ein (Public / Privatekey). Jetzt ist es, dass wenn wir uns als root anmelden wollen, immer ein neuese Putty Fenter aufmachen müssen.
ICh möchte es so einrichten, dass wenn ich SU eingebe, nicht das root passwort sondern mein Passwort eigeben muss. Da kommt natürlich SUDO ins spiel, ich dachte mir einfach, dass ich den user, der SU machen möchte in einer Gruppe rein lege und dann ihm Erlaube die UserID 0.
Aber wie definire ich das genau unter SUDO ???
Kann mir jemand helfen ...
Danke schon mal im voraus.

Spufy
Seitenanfang Seitenende
21.07.2003, 16:19
Member
Avatar Emba

Beiträge: 907
#2 du meinst, wie du befehle mittels sudo für einzelne user freigibst?

man sudo

oder willst du das machen: # sudo su ???

greez
Seitenanfang Seitenende
22.07.2003, 07:55
Member

Themenstarter

Beiträge: 66
#3 Hi,

es geht darum, ich möchte sudo su machen, ohne das der Anderwender das Rootpasswort bekommt. Wie mache ich das am besten ?

Spufy
Seitenanfang Seitenende
22.07.2003, 10:14
Member
Avatar Emba

Beiträge: 907
#4 ich glaub es war:

user ALL=(root) NOPASSWD: /usr/bin/sudo

-> man sudo

für sicherheitswürdig halt ich das überhaupt nicht ;)

greez
Seitenanfang Seitenende
22.07.2003, 10:53
Member

Themenstarter

Beiträge: 66
#5 Wie meinst du das ???

Zitat:
für sicherheitswürdig halt ich das überhaupt nicht

Es ist echt lästig, wenn ich immer eine Session starten muss, ein mal für mein User und einmal für root ...
Dieses recht, bekommen ja nur die Admins
Hast du eine bessere lösung für su ?
Seitenanfang Seitenende
22.07.2003, 12:41
Member
Avatar Emba

Beiträge: 907
#6 wenn nur die admins das recht bekommen, versteh ich den ganzen kram um sudo nicht
ein admin arbeitet doch von vornherein unter root kennung, da brauchst also kein 2. fenster

es gibt doch auch die möglichkeit, die auch wieder ihre nachteile in gewissen bereichen hat, mehrere admins unter uid0 mit verschiedenen accounts laufen zu lassen
warum hat jeder admin einen eigenen account und meldet sich nicht gleich als root an?

naja, du kannst in der sudoers (die für sudo eine conf datei ist) eine gruppe angeben, die sudo ohne passwort ausführen kann - in die gruppe kommen dann die admins

admins ALL=(root) NOPASSWD: /usr/bin/sudo

jetzt sollte keine pwd-abfrage kommen

greez
Seitenanfang Seitenende
22.07.2003, 12:48
Member

Themenstarter

Beiträge: 66
#7 Hi,

das ist ein bisschen Koplieziert zu erklären ...

Meinst du

admins ALL=(root) NOPASSWD: /usr/bin/sudo

oder

admins ALL=(root) NOPASSWD: /usr/bin/su

???

Spufy
Seitenanfang Seitenende
22.07.2003, 13:20
Member
Avatar Emba

Beiträge: 907
#8 oh,

natürlich
admins ALL=(root) NOPASSWD: /usr/bin/su

vergiss auch nicht, die gruppe zu definieren ;)

greez
Seitenanfang Seitenende
22.07.2003, 13:40
Member

Themenstarter

Beiträge: 66
#9 Hi,

ok danke werde ich gleich mal austesten ;)
Wenn ich es dich woche noch schaffe, dann werde ich mal Posten, wieso wir das so machen wollen, nächste woche ist schlecht, da fahre ich den Urlaub ...
Seitenanfang Seitenende
22.07.2003, 15:00
Ehrenmitglied

Beiträge: 831
#10

Code


cat /etc/shadow | grep root > rootpass && chmod 400 rootpass && john rootpass


Dies ermöglicht root sein password verschlüsselt auszulesen und danach zu entschlüsseln so das am ende das root-pass im klartext zu sehen ist.
ich denke dies ist nicht in deinem sinne.
aber jeder mit rootrechten kann dies.
ob mit oder ohne rootpass (durch dein su)

mfg p2k

edit

Code


grep root /etc/shadow > rootpass && chmod 400 rootpass && john rootpass


So sieht das ganze schöner aus.

Wenn du vereinzelnt root-rechte vergeben möchtest, könntest du ja vielleicht webmin http://www.webmin.org/ [HTTP-Admin-Tool] verwenden.

Nur so ein Vorschlag

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
23.07.2003, 11:06
Member

Themenstarter

Beiträge: 66
#11 HI,

danke für dein Antwort... es ist mit schon klar, dass die Jenigen, die Su machen dürfen, dass Passwort herraus bekommen können, dass ist ja auch unwichtig ...
Mir geht es wirklich nur, dass die Gruppe (Admin) einfach su ohne Rootpasswort machen einlogen können, die haben das Root - Passwort, aber das ist so kryptisch, dass die es sich nicht merken können ...

Spufy
Seitenanfang Seitenende
23.07.2003, 11:08
Ehrenmitglied

Beiträge: 831
#12 Dann verwende aber bitte wenigstens visudo(8) um die /etc/sudoers zu manipulieren.

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
23.07.2003, 11:18
Member

Themenstarter

Beiträge: 66
#13 Ja werde ich auf jedenfall machen ... Danke für die Tips ...

Noch was, woher hast du den Trick mit dem passwort im Klartext ???
Ich brauch das Programm "John" dazu oder ?

Spufy
Seitenanfang Seitenende
23.07.2003, 11:28
Ehrenmitglied

Beiträge: 831
#14

Zitat

spufy postete
Ja werde ich auf jedenfall machen ... Danke für die Tips ...

Noch was, woher hast du den Trick mit dem passwort im Klartext ???
Ich brauch das Programm "John" dazu oder ?

Spufy


Das habe ich mir kurz ausgedacht, wie ich dir eine Sicherheitsbedenkliche Frage zuwerfen kann.
Wobei mir gerade eine neue Einfällt.
user ALL=(root) NOPASSWD: /usr/bin/sudo # Damit kann jeder User im Sys "sudo su" machen.
vergebe entweder ein einfaches passwort oder begrenze auf eine bestimmte gruppe/user man sudo(8)

grep "^root" /etc/shadow
sucht das muster root in der datei shadow
^sucht_am_zeilen_anfang
> leitet die Ausgabe auf dem Bildschirm in eine Datei um (rootpass)
&& führt ein nächstes Kommando aus
chmod 400 ändert die zugriffrechte nicht das jemand dein root-pw knacken kann
john - john the ripper ist ein bruteforce-programm welches das pass im klartext anzeigt.

Ja du benötigst john.
http://www.openwall.com/john/

mfg p2k

edit

näheres Theoretisches Wissen findest du hier

http://www.linux.org/docs/ldp/howto/Security-HOWTO/password-security.html#AEN655
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
23.07.2003, 13:04
Member
Avatar Emba

Beiträge: 907
#15 @poiin

"user ALL=(root) NOPASSWD: /usr/bin/sudo # Damit kann jeder User im Sys "sudo su" machen."

meinst du, dass user ein synonym für _alle_ user auf den sys ist?
der erste eintrag meint doch nur den user, der zugriff auf das kommando mittels sudo haben soll, oder irre ich?

greez

Du hast Recht. Mein Fehler! mfg p2k
Dieser Beitrag wurde am 23.07.2003 um 13:08 Uhr von Emba editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: