• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

'su' als normaler User nicht möglich - trotz 'wheel'-Gruppeneintrag

Ego

Der Teufel im Detail
#27
Hallo zusammen,

ich schreibe ja recht selten hier etwas, aber bei dem Thema habe ich das Bedürfnis meinen Senf dazu abzugeben.

Also Senf:
Als ich dies hier überflog hatte ich kurz Verständnisschwierigkeiten, weil einmal su nicht funktioniert und ein anderes mal mit korrektem PW funktioniert :ugly: Das hat sich ja geklärt.

@worker
Wenn du schon eine Weile bei Linux bist: ja dann solltest du mindestens den Unterschied zwischen su und sudo kennen, außer du kommst aus der Ubuntu-Ecke, dann sei dir verziehen :p Der dortige inflationäre Gebrauch von sudo ist mir - ehrlich gesagt - zuwider. (Und die Diskussion über su und die wheel-Gruppe habe ich schon aufgegeben...sollen die Linuxer machen wie sie wollen)
sudo kann durchaus ein nettes Hilfsmittel sein, wenn es mehrere Admins gibt und nicht jeder das root-PW kennen soll; das ergibt aber nur dann einen Sinn wenn sudo per whitelist verwendet wird, denn wenn jeder "Hilfs-Admin" mit 'sudo su' root werden kann, dann kannst du ihnen auch gleich das root-PW geben und auf die sudo-Krücke verzichten, weil wegen:

# sudo su
# passwd

Es gibt aber noch eine nette Möglichkeit auf der einen Seite für Faule, wenn es locker konfiguriert wird, auf der anderen Seite für jene, die eine 2FA für su wollen:
Wenn du dich eh per pubkey einloggen willst, kannst du pam auch so anpassen, dass es den pubkey auch zum Auth für su nutzt, d.h. wenn der pubkey in der Liste steht wirst du nach Eingabe von su ( pam prüft pubkey ) zu root.
Du kannst es natürlich auch so einstellen, dass du sowohl einen korrekten key haben und das root-pw noch zusätzlich eingeben musst, um root zu werden.
Variante eins würde sich dann auch für weitere Admins anbieten, wenn sie per 'sudo su' eh root werden können. Welcher pubkey zum su-auth verwendet wurde steht dann auch in den Logs, also weisst du dann auch wer wann root war.
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#30
Daher sollte man immer die Abfrage des Root-Passwort für den Single User Mode einrichten. Das rettet einem bei Konsolemzugriff zwar nicht unbedingt, ist aber zumindest eine weitere Hürde.
 
Themenstarter #31
Nun, da es "hier belustigendes zu lesen gab" - wie double-p anmerkte ^^ - möchte ich mit einer weiteren Belustigung hier mal abschliessen...

Auf meiner Testkiste zuhause hatte ich sowohl für root, wie auch für den normalen user das gleiche Passwort vergeben. Daher meine Verwirrung um 'su'.
Wer möchte, darf sich gerne ROFLen, die anderen dürfen sich an die Stirn klatschen :D ...

Wie auch immer. Ich finde, dass sowohl 'su' wie auch 'sudo' ihre Daseinsberechtigung haben - auch wenn man wohl in einer Diskussion nicht wirklich zu einem gemeinsamen Nenner kommen wird, denn es gibt gute pro-, aber auch contra-Punkte.
Vielleicht ist es wirklich besser, auf einer Kiste im Internet, die Dinge anders als mit einem einfachen 'sudo' zu handhaben. Aber auf der Kiste zuhause finde ich ein schnelles 'sudo' garnicht so verkehrt. Genau wie der Grundsatz sagt (auch wenn es da andere Vorlieben gibt): Auf der Kiste zuahuse ein Desktop-System (Win/Linux) und im Internet *BSD.

In diesem Sinne & danke für die rege Beteiligung ;) ...
 

medV2

Well-Known Member
#32
Das ist meines erachtens keine Pro/Contra Diskussion, da gibts einfach andere Anwendugnsszenarien. "su" verwende ich um einen Nutzer zu wechseln - ob das jetzt nun ein konkreter Nutzer oder eine "Servicerolle" ist sei mal dahingestellt. Mit "sudo" kann ich einem ansich unprivilegiertem Nutzer (oder Rolle) gewisse privilegierte Befehle ermöglichen.

Bei uns weit verbreitet: Der Dev kann auf dem Server Datenbank/Webserver/Appserver konfigurieren und durchstarten. Ansonsten hat er aber keine Adminprivilegien.

Oft wird halt sudo als "Ersatz" für su genommen und einfach sudo -i oder sudo bash getippt. Da bringt dann halt auch sudo nichts, eher im Gegenteil (oder wer kontrolliert vor jedem sudo gebrauch erstmal $PATH?).

Ach und doas gibts ja auch noch ;)