|
|
| (61 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| '''sudo''' - Kommandos mit der Identität eines anderen Benutzers ausführen | | '''{{BASEPAGENAME}}''' - [[Kommando]]s mit der [[Linux/Identität|Identität]] eines anderen [[Linux/Benutzer|Benutzer]]s [[ausführen]] |
|
| |
|
| == Beschreibung == | | == Beschreibung == |
| | ; Benutzern Root-Privilegien gewähren |
| | Anwendern die Durchführung von administrativen Aufgaben ermöglichen |
| | * Möglichst wenige Privilegien vergeben |
| | * Aktivitäten protokollieren |
| | |
| | ; LDAP-Unterstützung |
| | [[sudo-ldap]] bietet LDAP-Unterstützung |
| | |
| == Installation == | | == Installation == |
| <syntaxhighlight lang="bash" highlight="1" line> | | <syntaxhighlight lang="bash" highlight="1" line copy> |
| # apt-get install sudo
| | apt-get install sudo |
| </syntaxhighlight> | | </syntaxhighlight> |
| | |
| == Aufruf == | | == Aufruf == |
| <syntaxhighlight lang="bash" highlight="1" line> | | <syntaxhighlight lang="bash" highlight="1-5" line copy> |
| sudo -h | -K | -k | -V | | sudo -h | -K | -k | -V |
| sudo -v [-ABknS] [-g group] [-h host] [-p prompt] [-u user] | | sudo -v [-ABknS] [-g group] [-h host] [-p prompt] [-u user] |
| sudo -l [-ABknS] [-g group] [-h host] [-p prompt] [-U user] [-u user] [command] | | sudo -l [-ABknS] [-g group] [-h host] [-p prompt] [-U user] [-u user] [command] |
| sudo [-ABbEHnPS] [-C num] [-D directory] [-g group] [-h host] [-p prompt] [-R directory] [-r role] [-t type] [-T timeout] [-u user] [VAR=value] [-i | -s] [command] | | sudo [-ABbEHnPS] [-C num] [-D directory] [-g group] [-h host] [-p prompt] [-R directory] [-r role] [-t type] [-T timeout] [-u user] [VAR=value] [-i | -s] [command] |
| sudoedit [-ABknS] [-C num] [-D directory] [-g group] [-h host] [-p prompt] [-R directory] [-r role] [-t type] [-T timeout] [-u user] file ... | | sudoedit [-ABknS] [-C num] [-D directory] [-g group] [-h host] [-p prompt] [-R directory] [-r role] [-t type] [-T timeout] [-u user] file .. |
| </syntaxhighlight> | | </syntaxhighlight> |
|
| |
|
| === Optionen === | | === Optionen === |
| | {| class="wikitable sortable options gnu" |
| | |- |
| | ! Unix !! GNU !! Parameter !! Beschreibung |
| | |- |
| | | || || || |
| | |- |
| | |} |
| | |
| === Parameter === | | === Parameter === |
| | |
| === Umgebungsvariablen === | | === Umgebungsvariablen === |
| | |
| === Exit-Status === | | === Exit-Status === |
| == Anwendung == | | {| class="wikitable options col1center" |
| Beispielsweise für Aufgaben auszuführen, die sonst ''root'' vorbehalten sind
| | |- |
| * Programme installieren (sudo apt-get install ...)
| | ! Wert !! Beschreibung |
| * Systemkonfigurationen ändern (sudo nano /etc/fstab)
| | |- |
| | | 0 || Erfolg |
| | |- |
| | | >0 || Fehler |
| | |} |
|
| |
|
| Der Linux-Befehl sudo ermöglicht einem Benutzer, einen Befehl als Superuser oder als ein anderer Benutzer auszuführen.
| |
| * sudo erfordert die Angabe eines Passworts.
| |
| * Dies ist normalerweise das Benutzerpasswort, nicht das Root-Passwort
| |
|
| |
|
| ; Beispiel
| | <noinclude> |
| usermod -G sudo -a Otto
| |
|
| |
|
| Jetzt gehört der User Otto der Gruppe sudo an.
| | == Anhang == |
| sudo apt update
| | === Siehe auch === |
| | | {{Special:PrefixIndex/{{BASEPAGENAME}}/}} |
| Und kann mit sudo root Befehle ausführen, ohne sich als root anzumelden.
| |
| less /etc/group
| |
| | |
| Mit diesem Befehl lassen sich Gruppen anzeigen und nachvollziehen, wer zu sudo gehört. Siehe [[/etc/group]]
| |
| | |
| === Sicherheit ===
| |
| ; "could not open display"
| |
| | |
| ;/etc/sudoers.d
| |
| Defaults env_keep += "DISPLAY"
| |
| | |
| This will allow sudo to pass the DISPLAY environment variable to the program it runs, and those programs will then be able to connect to the correct DISPLAY.
| |
| xhost +
| |
| | |
| === Problembehebung === | |
|
| |
|
| == Konfiguration == | | === Dokumentation === |
| Nach der Installation muss jeder Benutzer, der SuperUser-Rechte erhalten soll, der Gruppe "sudo" hinzugefügt werden
| |
| # usermod -G sudo -a BENUTZERNAME
| |
|
| |
|
| ; Ausführen von sudo ohne Passwort | | ; Man-Page |
| # visudo
| | # [https://manpages.debian.org/stable/sudo/sudo.8.en.html sudo(8)] |
|
| |
|
| In der sudoers.d Datei in der letzten Zeile folgenden Befehl einfügen:
| | ; Info-Pages |
| 'USER' ALL=(ALL) NOPASSWD:ALL
| |
|
| |
|
| * User ist der Name des Users, den das betreffen soll.
| | === Links === |
| | ==== Projekt ==== |
|
| |
|
| ; Einzelne Befehle auszuschließen
| | ==== Weblinks ==== |
| * in der Klammer die Befehle listen, die gewünscht sind, in diesem Fall sind das alle Befehle (ALL)
| |
| | |
| === Dateien ===
| |
| <noinclude>
| |
| == Anhang ==
| |
| === Siehe auch ===
| |
| {{Special:PrefixIndex/{{BASEPAGENAME}}}}
| |
| ==== Dokumentation ====
| |
| | |
| ===== Man-Page =====
| |
| ===== Info-Pages =====
| |
| ==== Links ====
| |
| ===== Projekt =====
| |
| ===== Weblinks =====
| |
| # https://wiki.ubuntuusers.de/sudo/ | | # https://wiki.ubuntuusers.de/sudo/ |
|
| |
|
| Zeile 82: |
Zeile 70: |
| {{DEFAULTSORT:sudo}} | | {{DEFAULTSORT:sudo}} |
|
| |
|
| [[Kategorie:Linux/Benutzer]] | | [[Kategorie:Linux/Benutzer/Befehl]] |
| [[Kategorie:Linux/Befehl]] | | [[Kategorie:Linux/Befehl]] |
|
| |
|
| </noinclude> | | </noinclude> |
|
| |
|
| |
| == Beschreibung ==
| |
| ''sudo'' kann Programmaufrufen vorangestellt werden
| |
| * Er ermöglicht berechtigten Benutzern, das Programm im Namen und mit den Rechten eines anderen Benutzers auszuführen.
| |
| * sudo, sudoedit — execute a command as another user
| |
|
| |
| sudo ermöglicht es einem zugelassenen Benutzer, einen Befehl als Superuser oder als ein anderer Benutzer auszuführen, wie in der Sicherheitsrichtlinie angegeben.
| |
| * Die echte (nicht effektive) Benutzer-ID des aufrufenden Benutzers wird verwendet, um den Benutzernamen zu bestimmen, mit dem die Sicherheitsrichtlinie abgefragt wird.
| |
|
| |
| sudo unterstützt eine Plugin-Architektur für Sicherheitsrichtlinien, Auditing und Input/Output-Logging
| |
| * Dritte können ihre eigenen Plugins entwickeln und vertreiben, die nahtlos mit dem sudo-Frontend zusammenarbeiten.
| |
| * Die Standard-Sicherheitsrichtlinie ist sudoers, die über die Datei /etc/sudoers oder über LDAP konfiguriert wird.
| |
| * Weitere Informationen finden Sie im Abschnitt Plugins.
| |
|
| |
| Die Sicherheitsrichtlinie bestimmt, ob und welche Rechte ein Benutzer hat, um sudo auszuführen.
| |
| * Die Richtlinie kann verlangen, dass sich die Benutzer mit einem Passwort oder einem anderen Authentifizierungsmechanismus authentifizieren.
| |
| * Wenn eine Authentifizierung erforderlich ist, wird sudo beendet, wenn das Passwort des Benutzers nicht innerhalb einer konfigurierbaren Zeitspanne eingegeben wird.
| |
| * Dieses Zeitlimit ist richtlinienspezifisch; das Standardzeitlimit für die Kennworteingabeaufforderung für die Sicherheitsrichtlinie sudoers beträgt 0 Minuten.
| |
|
| |
| Sicherheitsrichtlinien können das Zwischenspeichern von Anmeldeinformationen unterstützen, damit der Benutzer sudo für eine gewisse Zeit erneut ausführen kann, ohne dass eine Authentifizierung erforderlich ist.
| |
|
| |
| Die sudoers-Richtlinie zwischenspeichert Anmeldeinformationen für jedes Terminal für 15 Minuten.
| |
| * Weitere Informationen finden Sie unter den Optionen timestamp_type und timestamp_timeout in sudoers(5).
| |
| * Wenn Sie sudo mit der Option -v ausführen, kann ein Benutzer die zwischengespeicherten Anmeldeinformationen aktualisieren, ohne einen Befehl auszuführen.
| |
|
| |
| Auf Systemen, auf denen sudo die primäre Methode zur Erlangung von Superuser-Rechten ist, müssen unbedingt Syntaxfehler in den Konfigurationsdateien der Sicherheitsrichtlinien vermieden werden.
| |
| * Für die Standard-Sicherheitsrichtlinie sudoers(5) sollten Änderungen an den Konfigurationsdateien mit dem Dienstprogramm visudo(8) vorgenommen werden.
| |
|
| |
| Wenn es als sudoedit aufgerufen wird, ist die Option -e (siehe unten) impliziert.
| |
|
| |
| Sicherheitsrichtlinien und Audit-Plugins können erfolgreiche und fehlgeschlagene Versuche, sudo auszuführen, protokollieren.
| |
| * Wenn ein E/A-Plugin konfiguriert ist, können auch die Ein- und Ausgaben des laufenden Befehls protokolliert werden.
| |
Sudo - Kommandos mit der Identität eines anderen Benutzers ausführen
Beschreibung
- Benutzern Root-Privilegien gewähren
Anwendern die Durchführung von administrativen Aufgaben ermöglichen
- Möglichst wenige Privilegien vergeben
- Aktivitäten protokollieren
- LDAP-Unterstützung
sudo-ldap bietet LDAP-Unterstützung
Installation
Aufruf
sudo -h | -K | -k | -V
sudo -v [-ABknS] [-g group] [-h host] [-p prompt] [-u user]
sudo -l [-ABknS] [-g group] [-h host] [-p prompt] [-U user] [-u user] [command]
sudo [-ABbEHnPS] [-C num] [-D directory] [-g group] [-h host] [-p prompt] [-R directory] [-r role] [-t type] [-T timeout] [-u user] [VAR=value] [-i | -s] [command]
sudoedit [-ABknS] [-C num] [-D directory] [-g group] [-h host] [-p prompt] [-R directory] [-r role] [-t type] [-T timeout] [-u user] file ..
Optionen
| Unix |
GNU |
Parameter |
Beschreibung
|
|
|
|
|
Parameter
Umgebungsvariablen
Exit-Status
| Wert |
Beschreibung
|
| 0 |
Erfolg
|
| >0 |
Fehler
|
Anhang
Siehe auch
Dokumentation
- Man-Page
- sudo(8)
- Info-Pages
Links
Projekt
Weblinks
- https://wiki.ubuntuusers.de/sudo/