• Café

  • sudo oder root-Account

Photor Und man wird sudo auch brauchen, wenn man den ROOT-User vermeiden will (warum verstehe ich halt nicht. Aber wahrscheinlich bin ich da einfach zu konservativ).

Den Sinn habe ich auch nie verstanden. Bei Ubuntu habe ich den Murks zuerst gesehen, und jetzt ziehen andere auch noch nach.

Ich habe mir heute noch einmal den offiziellen archinstall angesehen, und da ist es in der Tat so, dass man während des Installationsprozesses mit der Frage des Passwortes für root konfrontiert wird, und wenn man das nicht eingibt bzw. übergeht, dann wird man zur Anlage eines "Superusers" aufgefordert, der dann in sudoers aufgenommen wird. Ab da darf man dann mit sudo hantieren.

In sofern muss ich meinen Einwand zurückziehen, dass es auf einem offiziell eingerichteten Arch kein sudo gibt, denn mit dem leider auch offiziellen Installer ist eben doch möglich.

      Für komplexe User- und Admin-Situationen kann ich mir sogar eine sinnvolle Nutzung von sudo vorstellen: man kann halt verschiedene Admin-Bereiche (z.B. Netzwerk, Mail, User-Software) zwischen verschiedenen Leuten (Admins) aufteilen. Jeder bekommt entsprechend seinem Aufgabenbereich die passenden Rechte unf Tools zugewiesen. Dazu kommt, dass sudo-Aktionen geloggt werden.

      Also z.B. im Firmenumfeld zur Risiko-Vermeidung/-Verteilung eventuell sinnvoll.

      Aber auf meinem Laptop bin ich sowieso alles von dem in einem. Da reicht ein (normaler) User und ein Admin (ROOT).

      Und bevor jetzt jemand auf die Idee kommt, dann doch gleich alles als ROOT! Nee, keine gute Idee!

      Ciao,
      Photor

      • Dirk hat auf diesen Beitrag geantwortet.

        Photor Nee, keine gute Idee!

        Du meinst, den Account der genau für administrative Dinge auf dem System gedacht ist und seit Jahrzehnten Etablierter Standard ist, sollte nicht für administrative Dinge auf dem System genutzt werden?

        Das musst du jetzt aber mal begründen und mit entsprechenden Primärquellen untermauern. 🙂

          Ich denke, Photor hat eher gemeint, man soll beispielsweise seine Libreoffice-Dateien nicht als root erstellen.

          Du meinst, den Account der genau für administrative Dinge auf dem System gedacht ist und seit Jahrzehnten Etablierter Standard ist, sollte nicht für administrative Dinge auf dem System genutzt werden?

          Das musst du jetzt aber mal begründen und mit entsprechenden Primärquellen untermauern. 🙂

          Nee, so nicht. Ich meine die Spezialisten, die - um nicht "ständig" in den Admin-Account zu wechseln - lieber gleich alles als Admin machen. Also quasi das genaue Gegenteil.

          Primärquellen dazu? Jahrelange Diskusionen mit Leuten, die das Konzept von unterschiedlichen Account und Rechte-Management offensichtlich nicht verstanden hatten. 😉

          Ciao,
          Photor

          PS: BTW - ich glaube, wir haben uns recht kräftig vom ursprünglichen Thema entfernt. Eventuell sollte der Moderator hier trennen und in den Cafe-Bereich verschieben.

          • Dirk hat auf diesen Beitrag geantwortet.

            Photor Ich meine die Spezialisten, die - um nicht "ständig" in den Admin-Account zu wechseln - lieber gleich alles als Admin machen.

            Die haben es dann aber auch nicht anders verdient, wenn es deswegen zu Problemen kommt 🙂

            • Photor hat auf diesen Beitrag geantwortet.

                sudo brauche ich nicht. Ein rotes Terminal auch nicht. $ oder # reicht doch...

                Benutzeraccounts nutze ich ansonsten recht gerne. Wenn ich mir von Steam oder GOG ein Spiel ziehe, dann braucht das keinen Zugriff auf meine Mails & Co.

                • Photor hat auf diesen Beitrag geantwortet.

                  frostschutz naja. Jetzt mag mir das vielleicht auch reichen.

                  Aber wie sagt der Lateiner so: „I learned it the hard way!“

                  Ciao,
                  Photor

                    Dirk natürlich. Das sehe ich genau so. Aber ich denke auch, dass sudo das Problem verschärft. In meinem Setup (ROOT im roten Terminal) habe ich eine Trennung zwischen ROOT (= gefährlich) und Normaler User macht was (killt wenigstens nicht gleich das komplette System). Mit sudo verschwimmt das.

                    Ciao,
                    Photor

                    • brikler hat auf diesen Beitrag geantwortet.

                        Photor sudo meldet dich nach einiger zeit inaktivität als superuser ab, wenn man "nur" su nutzt, dann muß man sich explizit als superuser abmelden… so verstand ich das bisher 😉

                        • tuxnix hat auf diesen Beitrag geantwortet.

                            brikler sudo meldet dich nach einiger zeit inaktivität als superuser ab

                            Sudo meldet sich nicht automatisch ab, weil der user nie gewechselt hat, aber die erneute Passworteingabe wird bei sudo für einige Minuten ausgeschaltet.
                            (sudo - superuser do)

                                Photor Und man wird sudo auch brauchen, wenn man den ROOT-User vermeiden will (warum verstehe ich halt nicht. Aber wahrscheinlich bin ich da einfach zu konservativ).

                                Martin-MS Den Sinn habe ich auch nie verstanden. Bei Ubuntu habe ich den Murks zuerst gesehen, und jetzt ziehen andere auch noch nach.

                                Es geht u.a. auch darum zu vermeiden das GUI-Anwendungen unter root Rechten genutzt werden.
                                Potenziell ist das eine Möglichkeit wie Schadsoftware eine root escalation herbei führen kann.

                                Nach einen 'sudo kate' erhalte ich die Ausgabe:
                                Running Kate with sudo can cause bugs and expose you to security vulnerabilities. Instead use Kate normally and you will be prompted for elevated privileges when saving documents if needed.

                                      tuxnix Sudo meldet sich nicht automatisch

                                      dann hab ich mich da geirrt, lässt sich das einrichten? also, daß ich als superuser abgemeldet bin, wenn die zeitgrenze überschritten wird?

                                      tuxnix Nach einen 'sudo kate' erhalte ich die Ausgabe:

                                      bei kde anwendungen ist das so, obs zb bei gnome auch so ist, weiß ich nicht, aber leafpad meckert nicht deswegen.

                                      • tuxnix hat auf diesen Beitrag geantwortet.

                                            tuxnix Instead use Kate normally and you will be prompted for elevated privileges when saving documents if needed.

                                            Das ist die wenig praxistaugliche KDE-Logik, die dann fehlschlägt, wenn die zu bearbeitende Datei nur Zugriffsrechte für root besitzt. In dem Fall kann ein gewöhnlicher Benutzer sie nicht lesend öffnen und bearbeiten, und natürlich auch nicht speichern. Dazu benötigt man dann doch wieder einen Zugriff als root.

                                            • tuxnix hat auf diesen Beitrag geantwortet.

                                                tuxnix (sudo - superuser do)

                                                sudo - switch user and do

                                                sudo und auch su sind nicht nur auf root begrenzt.

                                                  brikler
                                                  Du hast mich jetzt genau verkehrt herum verstanden.
                                                  Sudo meldet dich nur deshalb nicht automatisch ab, weil es dich niemals als root angemeldet hat.
                                                  Du bleibst angemeldet als z.B. brikler. Es wird bei sudo nur der nächste Befehl als superuser ausgeführt.
                                                  [brikler@pc ~]$ sudo nano /etc/fstab
                                                  "brikler -> sag dem superuser bescheid, er soll die fstab mit nano öffnen."
                                                  Es ist wie beim Jockel der den Herrn ausschickt er soll was tun.

                                                  Deshalb musst du nächsten Befehl den du als root ausgeführt haben möchtest auch wieder sudo vorausschicken.
                                                  Was dir das Zeitintervall erspart, das ist lediglich die erneute Passworteingabe innerhalb von 15 min.
                                                  Zum einstellen des Zeitintervalls habe ich gerade folgendes ergoogled: (ich hoffe es stimmt so)

                                                  Mit sudo visudo kannst du die Datei /etc/sudoers bearbeiten. Dort musst du dann folgende Zeile ergänzen:

                                                  Defaults !lecture,tty_tickets,!fqdn
                                                  wird zu
                                                  Defaults !lecture,tty_tickets,!fqdn,timestamp_timeout=0

                                                  brikler bei kde anwendungen ist das so, obs zb bei gnome auch so ist, weiß ich nicht, aber leafpad meckert nicht deswegen.

                                                  Ich kenne das auch nur von kde und der Disskusion von Martin Grässlin bzw. Förster wie er jetzt wohl heißt.
                                                  https://phabricator.kde.org/R40:9adcebd3c2e476c8a32e9b455cc99f46b0e12a7e
                                                  Ich halte jedenfalls das Argument, man solle nicht immer gleich den ganzen GUI-code unter Rootrechten laufen haben für eine sehr sinnvolle Sache. Auch wenn sich viele KDE Entwickler sofort lauthals beschwerten, weil sie ihren workflow dadurch in Gefahr sahen.

                                                      Martin-MS Das ist die wenig praxistaugliche KDE-Logik, die dann fehlschlägt, wenn die zu bearbeitende Datei nur Zugriffsrechte für root besitzt. In dem Fall kann ein gewöhnlicher Benutzer sie nicht lesend öffnen und bearbeiten, und natürlich auch nicht speichern.

                                                      Das stimmt, aber dann muss man sich doch auch einmal fragen, weshalb diese Datei noch nicht einmal Leserechte für diesen user einräumt. Für irgend etwas, ist ja auch die Rechteverwaltung gut.

                                                      • Martin-MS hat auf diesen Beitrag geantwortet.

                                                          tuxnix Das stimmt, aber dann muss man sich doch auch einmal fragen, weshalb diese Datei noch nicht einmal Leserechte für diesen user einräumt. Für irgend etwas, ist ja auch die Rechteverwaltung gut.

                                                          Nur wie stellt man sich dann bei KDE den praktischen Umgang ihrer Empfehlung vor, wenn sie einerseits von der Verwendung von sudo abraten, die Datei aber andererseits anders nicht geöffnet werden kann?

                                                          • brikler hat auf diesen Beitrag geantwortet.