titel.jpg

Neue Identität

Zu Befehl: su, sudo

01.02.2004
Sicher ist sicher – selbst wer Root-Rechte auf dem System hat, sollte nur temporär als Administrator arbeiten, um nicht aus Versehen Schaden anzurichten. Mit su und sudo wechseln Sie auf der Kommandozeile schnell die Identität.

Zu Befehl

Auch wenn sich viele Dinge bequem über grafische Oberflächen wie KDE oder GNOME regeln lassen – wer sein Linux-System richtig ausreizen möchte, kommt um die Kommandozeile nicht herum. Abgesehen davon gibt es auch sonst viele Situationen, in denen es gut ist, sich im Befehlszeilendschungel ein wenig auszukennen.

Administrative Aufgaben verlangen Root-Rechte. Es ist aber nicht immer sinnvoll, als Administrator zu arbeiten. Besser ist es, lediglich für die jeweilige Aufgabe root zu werden und danach als "normaler" User weiterzuarbeiten. Mit den Befehlen su und sudo wechseln Sie die Identität.

Wie Du mir, su ich Dir…

Mit dem Kommando su ("substitute user") wechseln Sie auf der Kommandozeile die Identität. Dazu startet im Hintergrund eine neue Shell unter einer neuen Benutzerkennung (UID) und Gruppenkennung (GID). Um mit su Administrator oder ein anderer Benutzer zu werden, müssen Sie das entsprechende Passwort kennen.

Grundsätzlich lautet das Kommando su [-] [benutzername] – dabei gibt es den kleinen aber feinen Unterschied, ob Sie das Minuszeichen verwenden oder nicht. Das Minuszeichen (alternativ können Sie hier den Parameter -l oder seine Langform --login verwenden) sorgt dafür, dass ein wirkliches Einloggen stattfindet – mit Setzen der richtigen Umgebungsvariablen, Shell und einem Wechsel in das neue Home-Verzeichnis. Ohne das Minuszeichen ändern sich die Umgebungsvariablen nicht, und der neue User besitzt eventuell keine Rechte, sich im aktuellen Arbeitsverzeichnis aufzuhalten (Abbildung 1).

Abbildung 1: Ohne richtiges Login gibt es manchmal kein Aufenthaltsrecht

Ohne Angabe eines Benutzernamens werden Sie zum Administrator root. Dieses Feature führt dazu, dass su oft fälschlicherweise "Super-User"-Kommando genannt wird.

Standardmäßig erlaubt die Verwendung von su dem neuen Benutzer aber nicht, X-Anwendungen zu starten. Einem "fremden" Benutzer muss zunächst erlaubt werden, den X-Server zur Ausgabe zu benutzen. Eine solche Erlaubnis erteilen Sie über die Datei .Xauthority im Home-Verzeichnis (siehe auch man xauth). Um dem Benutzer root zu erlauben, aus einem Xterm, das eigentlich dem User petronella gehört, ein X-Programm zu starten, müssen Sie einen passenden "Schlüssel" aus .Xauthority extrahieren, der .Xauthority des Administrators hinzufügen und danach die DISPLAY-Variable neu setzen (Listing 1).

Listing 1

petronella@asteroid:~$ xauth extract schluessel $DISPLAY
huhn@asteroid:~$ su - 
Password:
asteroid:~# xauth merge /home/huhn/schluessel
asteroid:~# export DISPLAY=:0.0

Mit su ist es darüber hinaus möglich, ein einziges Kommando unter fremder Identität zu starten. Dazu verwenden Sie die Option -c (--commmand):

huhn@asteroid:~$ su -c "less /var/log/messages"
Password:

Die Benutzung des su-Kommandos wird protokolliert. Je nach Distribution finden sich diese Log-Einträge in der Datei /var/log/auth.log (z. B. Debian) oder auch /var/log/messages (z. B. SuSE Linux). Fehlgeschlagene Versuche sind deutlich zu erkennen – so finden Sie als Administrator schnell heraus, dass jemand versucht hat, Root-Rechte zu erlangen:

Dec 22 14:50:50 asteroid PAM_unix[2108]: authentication failure;
(uid=500) -> root for su service
Dec 22 14:50:52 asteroid su[2108]: pam_authenticate: Authentication
failure
Dec 22 14:50:52 asteroid su[2108]: - pts/8 huhn-root

Als Administrator müssen Sie nach dem su-Befehl übrigens kein Passwort eingeben – Sie können jede beliebige Identität annehmen, um beispielsweise schnell etwas aus Sicht eines bestimmten Anwenders zu testen.

Do the sudo

Wer aus Sicherheitsgründen das Root-Passwort des Rechners nicht weitergeben möchte, setzt einfach das Programm sudo ein. Der Name ist Programm: "sudo" steht für "substitute user, do" und gibt einzelnen Benutzern oder Gruppen für einen begrenzten Zeitraum oder für immer Administratorrechte, aber nur für spezielle Aufgaben. Anstelle des Root-Passwortes benutzt der Anwender sein eigenes Kennwort, um einen privilegierten Befehl auszuführen.

Dazu trägt der Administrator in die Datei /etc/sudoers ein, welcher Anwender bestimmte Befehle auf dem Computer ausführen darf. Diese Datei sollten Sie (als root) in jedem Fall mit dem Kommando visudo editieren – dieses Programm bietet die gewohnten Features des Editors vi zusammen mit ein paar zusätzlichen Funktionen. visudo "sperrt" die Datei /etc/sudoers, so dass sie nicht aus Versehen zwei Benutzer gleichzeitig editieren. Außerdem prüft visudo beim Beenden des Editors die Syntax der Datei und meldet eventuelle Fehler:

>>> sudoers file: syntax error, line 20 <<<
What now?

Drei Möglichkeiten stehen nun zur Wahl: Tippen Sie e, um die Datei erneut zu editieren, x, um die Änderungen zu verwerfen und den Editor zu verlassen, und Q, um die Änderungen trotzdem zu speichern.

Als Standardeintrag findet sich in /etc/sudoers root ALL=(ALL) ALL – der Administrator darf alles. (Aber das kann er eh, auch ohne sudo.) Wer einem weiteren Benutzer auf dem System uneingeschränkte Root-Rechte geben möchte, kopiert die Zeile und setzt statt root den anderen Benutzernamen ein. Anschließend darf dieser Benutzer Administratorkommandos mit vorangestelltem sudo ausführen, z. B.:

huhn@asteroid:~$ sudo /sbin/shutdown
Password:

Ist der User nicht zur Verwendung von sudo berechtigt, meldet sudo: huhn is not in the sudoers file. This incident will be reported. Sofern nicht anders in /etc/sudoers definiert, erhält der Administrator eine Mail mit genauen Angaben, welcher Benutzer wann versucht hat, sudo aufzurufen (Abbildung 2). Zur Sicherheit rufen Sie als einfacher User sudo -l auf, um eine Liste der erlaubten Kommandos zu erhalten.

Abbildung 2: Sicherheit wird groß geschrieben – sudo meldet unerlaubten Zugriff

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Zu Befehl
    Die tägliche Arbeit unter Linux wird aus Sicherheitsgründen nicht mit Root-Rechten, sondern unter einem normalen Account durchgeführt. Wer nicht für jede administrative Aufgabe mit su in den Superuser-Modus wechseln will, findet mit sudo Hilfe.
  • Zu Befehl: Suchen mit grep, egrep, fgrep, (b)zgrep
    Für die Suche nach Wörtern und Ausdrücken in Textdateien bieten sich die Kommandos der grep-Familie an. Als Ergebnis zeigen sie wahlweise die gefundenen Zeilen, die Namen der Dateien, in denen das Suchmuster vorkommt, oder die Anzahl der Treffer an.
  • useradd, usermod, userdel
    Viele Wege führen zu einem neuen Benutzer-Account auf Ihrem Linux-Rechner – entweder editieren Sie alle Konfigurationsdateien von Hand oder benutzen ein grafisches Tool der eigenen Distribution (YaST, userdrake oder redhat-config-users). In dieser Zu-Befehl-Folge begeben wir uns auf die Admin-Seite des Linux-Lebens und zeigen Hintergründe, Tricks und Werkzeuge der Benutzerverwaltung auf der Kommandozeile.
  • Tipps und Tricks zu Ubuntu, Linux Mint und Knoppix
    Ubuntu, Linux Mint und Knoppix basieren auf der Distribution Debian – wir verraten Tricks und Kniffe, welche den Umgang mit diesen Systemen erleichtern.
  • Zu Befehl: Kanäle, Pipes und Tee
    Mit wenigen Handgriffen leiten Sie auf der Kommandozeile Ein- und Ausgaben von Befehlen um und kombinieren Kommandos. Wir stellen die benötigten Bash-Operatoren vor und zeigen, wie Sie mit dem Programm tee noch einen Zwischenschritt einlegen.
Kommentare

Infos zur Publikation

title_2014_10

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...