Sicher ist sicher – selbst wer Root-Rechte auf dem System hat, sollte nur temporär als Administrator arbeiten, um nicht aus Versehen Schaden anzurichten. Mit su und sudo wechseln Sie auf der Kommandozeile schnell die Identität.

Administrative Aufgaben verlangen Root-Rechte. Es ist aber nicht immer sinnvoll, als Administrator zu arbeiten. Besser ist es, lediglich für die jeweilige Aufgabe root zu werden und danach als “normaler” User weiterzuarbeiten. Mit den Befehlen su und sudo wechseln Sie die Identität.

Wie Du mir, su ich Dir…

Mit dem Kommando su (“substitute user”) wechseln Sie auf der Kommandozeile die Identität. Dazu startet im Hintergrund eine neue Shell unter einer neuen Benutzerkennung (UID) und Gruppenkennung (GID). Um mit su Administrator oder ein anderer Benutzer zu werden, müssen Sie das entsprechende Passwort kennen.

Grundsätzlich lautet das Kommando su [-] [benutzername] – dabei gibt es den kleinen aber feinen Unterschied, ob Sie das Minuszeichen verwenden oder nicht. Das Minuszeichen (alternativ können Sie hier den Parameter -l oder seine Langform --login verwenden) sorgt dafür, dass ein wirkliches Einloggen stattfindet – mit Setzen der richtigen Umgebungsvariablen, Shell und einem Wechsel in das neue Home-Verzeichnis. Ohne das Minuszeichen ändern sich die Umgebungsvariablen nicht, und der neue User besitzt eventuell keine Rechte, sich im aktuellen Arbeitsverzeichnis aufzuhalten (Abbildung 1).

Abbildung 1: Ohne richtiges Login gibt es manchmal kein Aufenthaltsrecht

Ohne Angabe eines Benutzernamens werden Sie zum Administrator root. Dieses Feature führt dazu, dass su oft fälschlicherweise “Super-User”-Kommando genannt wird.

Standardmäßig erlaubt die Verwendung von su dem neuen Benutzer aber nicht, X-Anwendungen zu starten. Einem “fremden” Benutzer muss zunächst erlaubt werden, den X-Server zur Ausgabe zu benutzen. Eine solche Erlaubnis erteilen Sie über die Datei .Xauthority im Home-Verzeichnis (siehe auch man xauth). Um dem Benutzer root zu erlauben, aus einem Xterm, das eigentlich dem User petronella gehört, ein X-Programm zu starten, müssen Sie einen passenden “Schlüssel” aus .Xauthority extrahieren, der .Xauthority des Administrators hinzufügen und danach die DISPLAY-Variable neu setzen (Listing 1).

petronella@asteroid:~$ xauth extract schluessel $DISPLAY
huhn@asteroid:~$ su - 
Password:
asteroid:~# xauth merge /home/huhn/schluessel
asteroid:~# export DISPLAY=:0.0

Mit su ist es darüber hinaus möglich, ein einziges Kommando unter fremder Identität zu starten. Dazu verwenden Sie die Option -c (--commmand):

huhn@asteroid:~$ su -c "less /var/log/messages"
Password:

Die Benutzung des su-Kommandos wird protokolliert. Je nach Distribution finden sich diese Log-Einträge in der Datei /var/log/auth.log (z. B. Debian) oder auch /var/log/messages (z. B. SuSE Linux). Fehlgeschlagene Versuche sind deutlich zu erkennen – so finden Sie als Administrator schnell heraus, dass jemand versucht hat, Root-Rechte zu erlangen:

Dec 22 14:50:50 asteroid PAM_unix[2108]: authentication failure;
(uid=500) -> root for su service
Dec 22 14:50:52 asteroid su[2108]: pam_authenticate: Authentication
failure
Dec 22 14:50:52 asteroid su[2108]: - pts/8 huhn-root

Als Administrator müssen Sie nach dem su-Befehl übrigens kein Passwort eingeben – Sie können jede beliebige Identität annehmen, um beispielsweise schnell etwas aus Sicht eines bestimmten Anwenders zu testen.

Do the sudo

Wer aus Sicherheitsgründen das Root-Passwort des Rechners nicht weitergeben möchte, setzt einfach das Programm sudo ein. Der Name ist Programm: “sudo” steht für “substitute user, do” und gibt einzelnen Benutzern oder Gruppen für einen begrenzten Zeitraum oder für immer Administratorrechte, aber nur für spezielle Aufgaben. Anstelle des Root-Passwortes benutzt der Anwender sein eigenes Kennwort, um einen privilegierten Befehl auszuführen.

Dazu trägt der Administrator in die Datei /etc/sudoers ein, welcher Anwender bestimmte Befehle auf dem Computer ausführen darf. Diese Datei sollten Sie (als root) in jedem Fall mit dem Kommando visudo editieren – dieses Programm bietet die gewohnten Features des Editors vi zusammen mit ein paar zusätzlichen Funktionen. visudo “sperrt” die Datei /etc/sudoers, so dass sie nicht aus Versehen zwei Benutzer gleichzeitig editieren. Außerdem prüft visudo beim Beenden des Editors die Syntax der Datei und meldet eventuelle Fehler:

>>> sudoers file: syntax error, line 20 <<<
What now?

Drei Möglichkeiten stehen nun zur Wahl: Tippen Sie e, um die Datei erneut zu editieren, x, um die Änderungen zu verwerfen und den Editor zu verlassen, und Q, um die Änderungen trotzdem zu speichern.

Als Standardeintrag findet sich in /etc/sudoersroot ALL=(ALL) ALL – der Administrator darf alles. (Aber das kann er eh, auch ohne sudo.) Wer einem weiteren Benutzer auf dem System uneingeschränkte Root-Rechte geben möchte, kopiert die Zeile und setzt statt root den anderen Benutzernamen ein. Anschließend darf dieser Benutzer Administratorkommandos mit vorangestelltem sudo ausführen, z. B.:

huhn@asteroid:~$ sudo /sbin/shutdown
Password:

Ist der User nicht zur Verwendung von sudo berechtigt, meldet sudo: huhn is not in the sudoers file. This incident will be reported. Sofern nicht anders in /etc/sudoers definiert, erhält der Administrator eine Mail mit genauen Angaben, welcher Benutzer wann versucht hat, sudo aufzurufen (Abbildung 2). Zur Sicherheit rufen Sie als einfacher User sudo -l auf, um eine Liste der erlaubten Kommandos zu erhalten.

Abbildung 2: Sicherheit wird groß geschrieben – sudo meldet unerlaubten Zugriff

Gezielte Freigabe

In /etc/sudoers definieren Sie in der Sektion Host alias specification Computer, für die bestimmte sudo-Aufrufe gelten sollen. Ein dazu eingerichtetes Host_Alias bildet eine Gruppe von Computern wahlweise durch Aufführung ihrer Namen oder durch Definition bestimmter IP-Netzbereiche unter einem Namen ab. Sinnvoll ist dieses Feature nur, wenn Sie die sudo-Konfiguration auf mehreren Rechnern verwenden aber zentral verwalten wollen.

Im Bereich User_Alias fassen Sie mehrere Benutzer zu einer Gruppe zusammen, wenn alle die gleichen Rechte haben sollen. Zunächst definieren Sie den Alias-Typ (z. B. User_Alias), dann den Alias-Namen (darf Großbuchstaben, Unterstrich und Zahlen enthalten), eine Zuweisung in Form eines “=”-Zeichen und als letztes die Benutzernamen durch Kommata getrennt. Um die Benutzer huhn und petronella in einer Gruppe zusammenzufassen, die beispielsweise den Rechner herunterfahren darf, tragen Sie ein:

# User alias specification
User_Alias ABSCHALTER=petronella,huhn

Als nächstes definieren Sie in der Sektion Cmnd alias specification einen Alias für das Kommando shutdown. Dabei geben Sie den kompletten Pfad zum Programm an:

# Cmnd alias specification
Cmnd_Alias DOWN = /sbin/shutdown

Damit sudo auch weiß, dass die ABSCHALTER dieses Kommando ausführen dürfen, fehlt noch ein Eintrag unter User privilege specification:

ABSCHALTER ALL = DOWN

Ein Benutzer aus der Gruppe ABSCHALTER darf den Computer nun mit dem Befehl sudo /sbin/shutdown herunterfahren. Wer einfach nur für einen Benutzer einen einzigen Befehl freigeben möchte, kann das einfacher erreichen: Der Eintrag

huhn ALL = /usr/sbin/visudo

erlaubt dem Benutzer huhn, mit sudo /usr/sbin/visudo die Datei /etc/sudoers zu editieren.

Ausgegrenzt oder uneingeschränkt?

Durch einen einfachen Eintrag in /etc/sudoers können Sie einzelnen Benutzern Kommandos auch wieder wegnehmen. Die Syntax dazu lautet beispielsweise:

ABSCHALTER ALL = DOWN
petronella ALL = !DOWN

Wichtig ist, dass die Ausnahme direkt unter der Regel steht, da die Datei von oben nach unten abgearbeitet wird. So kann die Gruppe ABSCHALTER, die möglicherweise noch andere Kommandos ausführen darf, weiter bestehen, aber petronella kann den Rechner nicht mehr herunterfahren. Falls dieser Benutzer dennoch versucht, den Befehl auszuführen, erhält er die Meldung “Sorry, user petronella is not allowed to execute ‘/usr/sbin/visudo’ as root on asteroid.cologne.de.”

Wer möchte, kann die Passwort-Abfrage für einzelne oder alle Befehle unterdrücken. Dazu setzt man das Flag NOPASSWD:

ABSCHALTER ALL=NOPASSWD:DOWN

Die Sicherheit für sudo lässt sich aber nicht nur heruntersetzen, sondern auch verschärfen. Sie können Ihre Benutzer dazu “zwingen”, bei jedem sudo-Aufruf das Passwort einzugeben. Standardmäßig verwendet sudo eine Art “Ticket”-System, in dem ein Timeout dafür sorgt, dass eine verlassene root-Shell auf der Konsole nicht Tür und Tor für Unbefugte öffnet. Die Vorgabe liegt bei den meisten Distributionen bei 15 Minuten, die das Ticket gültig ist. Um den Timeout auf 0 Minuten herunterzusetzen, tragen Sie in /etc/sudoers beispielsweise ein:

Defaults timestamp_timeout = 0

Optional

sudo bietet auch einige Kommandozeilenparameter. Der wichtigste ist sicherlich -s, um eine Root-Shell zu starten. Einen Zugriff auf den X-Server müssen Sie nicht extra konfigurieren – ein einfaches sudo -s reicht aus, um als Administrator auch X-Programme starten zu dürfen.

Der Parameter -L listet alle Optionen aus der Datei /etc/sudoers auf. Wer sein Ticket verlängern möchte, ohne ein Kommando auszuführen, ruft sudo -v auf. Ist der Timeout überschritten, fragt das Kommando nach dem Passwort. Wollen Sie Ihr Ticket hingegen löschen, wählen Sie sudo -k. Mit dem Parameter -b ist es möglich, einen Befehl direkt in den Hintergrund zu schieben – er lässt sich mit dem üblichen Shell-Kommando zur Job-Kontrolle (fg) allerdings nicht wieder in den Vordergrund holen.