SU--> mit SUDO

#1 Hi @all,

hab folgendes Problem. Wir setzten für die Authentifizirung auf den Servern das SSH2 verfahren ein (Public / Privatekey). Jetzt ist es, dass wenn wir uns als root anmelden wollen, immer ein neuese Putty Fenter aufmachen müssen.
ICh möchte es so einrichten, dass wenn ich SU eingebe, nicht das root passwort sondern mein Passwort eigeben muss. Da kommt natürlich SUDO ins spiel, ich dachte mir einfach, dass ich den user, der SU machen möchte in einer Gruppe rein lege und dann ihm Erlaube die UserID 0.
Aber wie definire ich das genau unter SUDO ???
Kann mir jemand helfen ...
Danke schon mal im voraus.

Spufy

#2 du meinst, wie du befehle mittels sudo für einzelne user freigibst?

man sudo

oder willst du das machen: # sudo su ???

greez

#3 Hi,

es geht darum, ich möchte sudo su machen, ohne das der Anderwender das Rootpasswort bekommt. Wie mache ich das am besten ?

Spufy

#4 ich glaub es war:

user ALL=(root) NOPASSWD: /usr/bin/sudo

-> man sudo

für sicherheitswürdig halt ich das überhaupt nicht

greez

#5 Wie meinst du das ???

Zitat:
für sicherheitswürdig halt ich das überhaupt nicht

Es ist echt lästig, wenn ich immer eine Session starten muss, ein mal für mein User und einmal für root ...
Dieses recht, bekommen ja nur die Admins
Hast du eine bessere lösung für su ?

#6 wenn nur die admins das recht bekommen, versteh ich den ganzen kram um sudo nicht
ein admin arbeitet doch von vornherein unter root kennung, da brauchst also kein 2. fenster

es gibt doch auch die möglichkeit, die auch wieder ihre nachteile in gewissen bereichen hat, mehrere admins unter uid0 mit verschiedenen accounts laufen zu lassen
warum hat jeder admin einen eigenen account und meldet sich nicht gleich als root an?

naja, du kannst in der sudoers (die für sudo eine conf datei ist) eine gruppe angeben, die sudo ohne passwort ausführen kann - in die gruppe kommen dann die admins

admins ALL=(root) NOPASSWD: /usr/bin/sudo

jetzt sollte keine pwd-abfrage kommen

greez

#7 Hi,

das ist ein bisschen Koplieziert zu erklären ...

Meinst du

admins ALL=(root) NOPASSWD: /usr/bin/sudo

oder

admins ALL=(root) NOPASSWD: /usr/bin/su

???

Spufy

#8 oh,

natürlich
admins ALL=(root) NOPASSWD: /usr/bin/su

vergiss auch nicht, die gruppe zu definieren

greez

#9 Hi,

ok danke werde ich gleich mal austesten
Wenn ich es dich woche noch schaffe, dann werde ich mal Posten, wieso wir das so machen wollen, nächste woche ist schlecht, da fahre ich den Urlaub ...

#10

Code

cat /etc/shadow | grep root > rootpass && chmod 400 rootpass && john rootpass

Dies ermöglicht root sein password verschlüsselt auszulesen und danach zu entschlüsseln so das am ende das root-pass im klartext zu sehen ist.
ich denke dies ist nicht in deinem sinne.
aber jeder mit rootrechten kann dies.
ob mit oder ohne rootpass (durch dein su)

mfg p2k

edit

Code

grep root /etc/shadow > rootpass && chmod 400 rootpass && john rootpass

So sieht das ganze schöner aus.

Wenn du vereinzelnt root-rechte vergeben möchtest, könntest du ja vielleicht webmin http://www.webmin.org/ [HTTP-Admin-Tool] verwenden.

Nur so ein Vorschlag

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#11 HI,

danke für dein Antwort... es ist mit schon klar, dass die Jenigen, die Su machen dürfen, dass Passwort herraus bekommen können, dass ist ja auch unwichtig ...
Mir geht es wirklich nur, dass die Gruppe (Admin) einfach su ohne Rootpasswort machen einlogen können, die haben das Root - Passwort, aber das ist so kryptisch, dass die es sich nicht merken können ...

Spufy

#12 Dann verwende aber bitte wenigstens visudo(8) um die /etc/sudoers zu manipulieren.

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#13 Ja werde ich auf jedenfall machen ... Danke für die Tips ...

Noch was, woher hast du den Trick mit dem passwort im Klartext ???
Ich brauch das Programm "John" dazu oder ?

Spufy

#14

Zitat

spufy postete
Ja werde ich auf jedenfall machen ... Danke für die Tips ...

Noch was, woher hast du den Trick mit dem passwort im Klartext ???
Ich brauch das Programm "John" dazu oder ?

Spufy

Das habe ich mir kurz ausgedacht, wie ich dir eine Sicherheitsbedenkliche Frage zuwerfen kann.
Wobei mir gerade eine neue Einfällt.
user ALL=(root) NOPASSWD: /usr/bin/sudo # Damit kann jeder User im Sys "sudo su" machen.
vergebe entweder ein einfaches passwort oder begrenze auf eine bestimmte gruppe/user man sudo(8)

grep "^root" /etc/shadow
sucht das muster root in der datei shadow
^sucht_am_zeilen_anfang
> leitet die Ausgabe auf dem Bildschirm in eine Datei um (rootpass)
&& führt ein nächstes Kommando aus
chmod 400 ändert die zugriffrechte nicht das jemand dein root-pw knacken kann
john - john the ripper ist ein bruteforce-programm welches das pass im klartext anzeigt.

Ja du benötigst john.
http://www.openwall.com/john/

mfg p2k

edit

näheres Theoretisches Wissen findest du hier

http://www.linux.org/docs/ldp/howto/Security-HOWTO/password-security.html#AEN655
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#15 @poiin

"user ALL=(root) NOPASSWD: /usr/bin/sudo # Damit kann jeder User im Sys "sudo su" machen."

meinst du, dass user ein synonym für _alle_ user auf den sys ist?
der erste eintrag meint doch nur den user, der zugriff auf das kommando mittels sudo haben soll, oder irre ich?

greez

Du hast Recht. Mein Fehler! mfg p2k