• Café
  • sudo oder root-Account

frostschutz naja. Jetzt mag mir das vielleicht auch reichen.

Aber wie sagt der Lateiner so: „I learned it the hard way!“

Ciao,
Photor

Dirk natürlich. Das sehe ich genau so. Aber ich denke auch, dass sudo das Problem verschärft. In meinem Setup (ROOT im roten Terminal) habe ich eine Trennung zwischen ROOT (= gefährlich) und Normaler User macht was (killt wenigstens nicht gleich das komplette System). Mit sudo verschwimmt das.

Ciao,
Photor

  • brikler hat auf diesen Beitrag geantwortet.

    Photor sudo meldet dich nach einiger zeit inaktivität als superuser ab, wenn man "nur" su nutzt, dann muß man sich explizit als superuser abmelden… so verstand ich das bisher 😉

    • tuxnix hat auf diesen Beitrag geantwortet.

      brikler sudo meldet dich nach einiger zeit inaktivität als superuser ab

      Sudo meldet sich nicht automatisch ab, weil der user nie gewechselt hat, aber die erneute Passworteingabe wird bei sudo für einige Minuten ausgeschaltet.
      (sudo - superuser do)

        Photor Und man wird sudo auch brauchen, wenn man den ROOT-User vermeiden will (warum verstehe ich halt nicht. Aber wahrscheinlich bin ich da einfach zu konservativ).

        Martin-MS Den Sinn habe ich auch nie verstanden. Bei Ubuntu habe ich den Murks zuerst gesehen, und jetzt ziehen andere auch noch nach.

        Es geht u.a. auch darum zu vermeiden das GUI-Anwendungen unter root Rechten genutzt werden.
        Potenziell ist das eine Möglichkeit wie Schadsoftware eine root escalation herbei führen kann.

        Nach einen 'sudo kate' erhalte ich die Ausgabe:
        Running Kate with sudo can cause bugs and expose you to security vulnerabilities. Instead use Kate normally and you will be prompted for elevated privileges when saving documents if needed.

          tuxnix Sudo meldet sich nicht automatisch

          dann hab ich mich da geirrt, lässt sich das einrichten? also, daß ich als superuser abgemeldet bin, wenn die zeitgrenze überschritten wird?

          tuxnix Nach einen 'sudo kate' erhalte ich die Ausgabe:

          bei kde anwendungen ist das so, obs zb bei gnome auch so ist, weiß ich nicht, aber leafpad meckert nicht deswegen.

          • tuxnix hat auf diesen Beitrag geantwortet.

            tuxnix Instead use Kate normally and you will be prompted for elevated privileges when saving documents if needed.

            Das ist die wenig praxistaugliche KDE-Logik, die dann fehlschlägt, wenn die zu bearbeitende Datei nur Zugriffsrechte für root besitzt. In dem Fall kann ein gewöhnlicher Benutzer sie nicht lesend öffnen und bearbeiten, und natürlich auch nicht speichern. Dazu benötigt man dann doch wieder einen Zugriff als root.

            • tuxnix hat auf diesen Beitrag geantwortet.

              tuxnix (sudo - superuser do)

              sudo - switch user and do

              sudo und auch su sind nicht nur auf root begrenzt.

              brikler
              Du hast mich jetzt genau verkehrt herum verstanden.
              Sudo meldet dich nur deshalb nicht automatisch ab, weil es dich niemals als root angemeldet hat.
              Du bleibst angemeldet als z.B. brikler. Es wird bei sudo nur der nächste Befehl als superuser ausgeführt.
              [brikler@pc ~]$ sudo nano /etc/fstab
              "brikler -> sag dem superuser bescheid, er soll die fstab mit nano öffnen."
              Es ist wie beim Jockel der den Herrn ausschickt er soll was tun.

              Deshalb musst du nächsten Befehl den du als root ausgeführt haben möchtest auch wieder sudo vorausschicken.
              Was dir das Zeitintervall erspart, das ist lediglich die erneute Passworteingabe innerhalb von 15 min.
              Zum einstellen des Zeitintervalls habe ich gerade folgendes ergoogled: (ich hoffe es stimmt so)

              Mit sudo visudo kannst du die Datei /etc/sudoers bearbeiten. Dort musst du dann folgende Zeile ergänzen:

              Defaults !lecture,tty_tickets,!fqdn
              wird zu
              Defaults !lecture,tty_tickets,!fqdn,timestamp_timeout=0

              brikler bei kde anwendungen ist das so, obs zb bei gnome auch so ist, weiß ich nicht, aber leafpad meckert nicht deswegen.

              Ich kenne das auch nur von kde und der Disskusion von Martin Grässlin bzw. Förster wie er jetzt wohl heißt.
              https://phabricator.kde.org/R40:9adcebd3c2e476c8a32e9b455cc99f46b0e12a7e
              Ich halte jedenfalls das Argument, man solle nicht immer gleich den ganzen GUI-code unter Rootrechten laufen haben für eine sehr sinnvolle Sache. Auch wenn sich viele KDE Entwickler sofort lauthals beschwerten, weil sie ihren workflow dadurch in Gefahr sahen.

              Martin-MS Das ist die wenig praxistaugliche KDE-Logik, die dann fehlschlägt, wenn die zu bearbeitende Datei nur Zugriffsrechte für root besitzt. In dem Fall kann ein gewöhnlicher Benutzer sie nicht lesend öffnen und bearbeiten, und natürlich auch nicht speichern.

              Das stimmt, aber dann muss man sich doch auch einmal fragen, weshalb diese Datei noch nicht einmal Leserechte für diesen user einräumt. Für irgend etwas, ist ja auch die Rechteverwaltung gut.

              • Martin-MS hat auf diesen Beitrag geantwortet.

                tuxnix Das stimmt, aber dann muss man sich doch auch einmal fragen, weshalb diese Datei noch nicht einmal Leserechte für diesen user einräumt. Für irgend etwas, ist ja auch die Rechteverwaltung gut.

                Nur wie stellt man sich dann bei KDE den praktischen Umgang ihrer Empfehlung vor, wenn sie einerseits von der Verwendung von sudo abraten, die Datei aber andererseits anders nicht geöffnet werden kann?

                • brikler hat auf diesen Beitrag geantwortet.

                  Martin-MS Nur wie stellt man sich dann bei KDE den praktischen Umgang ihrer Empfehlung vor, wenn sie einerseits von der Verwendung von sudo abraten, die Datei aber andererseits anders nicht geöffnet werden kann?

                  es geht auch ohne graphische testeditoren, zb sudo nano <datei>oder sudo vim <datei>.

                  • Martin-MS hat auf diesen Beitrag geantwortet.

                    brikler es geht auch ohne graphische testeditoren, zb sudo nano <datei>oder sudo vim <datei>.

                    Mache ich ja auch; mein Freund ist seit eh und je der mc in der root-Kosole.

                    Es ging mir auch eher um den Umstand, dass die KDE-Entwickler den Leuten, die für Administrationsaufgaben lieber den kate verwenden die Verwendung von sudo ausreden wollen und stattdessen eine halbgare Empfehlung für einen wenig alltagstauglichen Workaround aussprechen.

                    • tuxnix hat auf diesen Beitrag geantwortet.

                      sudo chmod 755 <datei> und danach kate <datei> geht auch.
                      Im Vergleich zu sudo vim <datei> oder sudo nano <datei> geschieht die Passworteingabe nicht beim Öffnen, dafür aber dann beim Abspeichern der bearbeiteten Datei.

                      Kate startet nicht mit dem Befeht sudo kate und gibt stattdessen einen Hinweis aus. (siehe oben)
                      Aber wenn es von root Benutzer gestartet wird, dann geht es doch. (finde ich recht inkonsequent)

                      su
                      Passwort:
                      kate <datei>

                      Daran kann man dann aber auch sehen, dass sudo nicht das selbe ist wie root.

                      P.S.:

                      Martin-MS Es ging mir auch eher um den Umstand, dass die KDE-Entwickler...

                      Das ist damals auch bei KDE Entwicklern heftigst diskutiert worden.
                      Irgendwo hier kann man das nachlesen: https://blog.martin-graesslin.com/blog/
                      Jahre später kam dann die Lösung die es jetzt gibt:
                      https://linuxnews.de/2022/01/02/kde-dolphin-als-root-per-policykit/