Seite 3: Schalentier

Inhaltsverzeichnis

Möchte man sich mit einem mit root-Rechten laufenden Terminal nicht anfreunden, kann man alternativ einem eingeschränkten Benutzer die sudo-Erlaubnis erteilen – was aber nur ein Administrator darf. Auf das Verhalten bei GUI-Programmen wirkt sich das nicht aus, man muss nach wie vor ein Administratorkonto angeben. Das Security-Framework, das die Abfrage der Administratordaten regelt, wertet nur die Gruppenzugehörigkeit, nicht aber die sudoers-Datei aus.

Starten Sie im ersten Schritt ein Terminal über Pseudo oder die schnelle Benutzerumschaltung mit erweiterten Rechten. Mit dem Befehl

sudo visudo

und Eingabe des Admin-Kennwortes öffnet der Texteditor vi die Datei /etc/sudoers. Öffnen Sie die Datei nicht direkt mit einem Texteditor – auch nicht mit vi –, das gefährdet die strikte Rechtevergabe. Durch Eingabe von "i" schaltet man vi in den Eingabemodus, "esc" beendet ihn. Eingabe von ":w" speichert die Datei, ":q" beendet den Editor. Die beiden Befehle lassen sich zu ":wq" kombinieren. Die Zeile

adb ALL=(ALL) ALL

im Bereich # User privilege specification verschafft dem Anwender adb uneingeschränkte sudo-Rechte. Er darf ab sofort beliebige Befehle mit sudo absetzen. Sudo kennt flexible Einstellungsmöglichkeiten, die der Artikel "Do you sudo?" und der Befehl man sudoers näher beleuchten.

Bei der Gelegenheit können Sie auch gleich noch ein paar sicherheitssteigernde Zusätze im Bereich # Defaults specification von /etc/sudoers vornehmen:

Defaults !syslog
Defaults logfile=/var/log/sudo.log
Defaults timestamp_timeout=0

Die ersten beiden Zeilen weisen sudo an, Protokolleinträge nicht mehr in /var/log/system.log zu schreiben, sondern in /var/log/sudo.log. Diese Datei dürfen Admins anders als das system.log nicht lesen. Mit der letzten Zeile muss jeder sudo-Aufruf mit einem Passwort bestätigt werden und dieses wird sofort ungültig, und nicht wie in der Default-Einstellung erst fünf Minuten nach dem letzten sudo-Einsatz.