Mit physischen Zugriff brauch ich gar kein Passwort kennen, weder Benutzer noch Root
'su' als normaler User nicht möglich - trotz 'wheel'-Gruppeneintrag
- Ersteller worker
- Erstellt am
Mit physischen Zugriff brauch ich gar kein Passwort kennen, weder Benutzer noch Root
Ego
Der Teufel im Detail
Hallo zusammen,
ich schreibe ja recht selten hier etwas, aber bei dem Thema habe ich das Bedürfnis meinen Senf dazu abzugeben.
Also Senf:
Als ich dies hier überflog hatte ich kurz Verständnisschwierigkeiten, weil einmal su nicht funktioniert und ein anderes mal mit korrektem PW funktioniert
Das hat sich ja geklärt.
@worker
Wenn du schon eine Weile bei Linux bist: ja dann solltest du mindestens den Unterschied zwischen su und sudo kennen, außer du kommst aus der Ubuntu-Ecke, dann sei dir verziehen
Der dortige inflationäre Gebrauch von sudo ist mir - ehrlich gesagt - zuwider. (Und die Diskussion über su und die wheel-Gruppe habe ich schon aufgegeben...sollen die Linuxer machen wie sie wollen)
sudo kann durchaus ein nettes Hilfsmittel sein, wenn es mehrere Admins gibt und nicht jeder das root-PW kennen soll; das ergibt aber nur dann einen Sinn wenn sudo per whitelist verwendet wird, denn wenn jeder "Hilfs-Admin" mit 'sudo su' root werden kann, dann kannst du ihnen auch gleich das root-PW geben und auf die sudo-Krücke verzichten, weil wegen:
# sudo su
# passwd
Es gibt aber noch eine nette Möglichkeit auf der einen Seite für Faule, wenn es locker konfiguriert wird, auf der anderen Seite für jene, die eine 2FA für su wollen:
Wenn du dich eh per pubkey einloggen willst, kannst du pam auch so anpassen, dass es den pubkey auch zum Auth für su nutzt, d.h. wenn der pubkey in der Liste steht wirst du nach Eingabe von su ( pam prüft pubkey ) zu root.
Du kannst es natürlich auch so einstellen, dass du sowohl einen korrekten key haben und das root-pw noch zusätzlich eingeben musst, um root zu werden.
Variante eins würde sich dann auch für weitere Admins anbieten, wenn sie per 'sudo su' eh root werden können. Welcher pubkey zum su-auth verwendet wurde steht dann auch in den Logs, also weisst du dann auch wer wann root war.
ich schreibe ja recht selten hier etwas, aber bei dem Thema habe ich das Bedürfnis meinen Senf dazu abzugeben.
Also Senf:
Als ich dies hier überflog hatte ich kurz Verständnisschwierigkeiten, weil einmal su nicht funktioniert und ein anderes mal mit korrektem PW funktioniert
Das hat sich ja geklärt. @worker
Wenn du schon eine Weile bei Linux bist: ja dann solltest du mindestens den Unterschied zwischen su und sudo kennen, außer du kommst aus der Ubuntu-Ecke, dann sei dir verziehen
Der dortige inflationäre Gebrauch von sudo ist mir - ehrlich gesagt - zuwider. (Und die Diskussion über su und die wheel-Gruppe habe ich schon aufgegeben...sollen die Linuxer machen wie sie wollen)sudo kann durchaus ein nettes Hilfsmittel sein, wenn es mehrere Admins gibt und nicht jeder das root-PW kennen soll; das ergibt aber nur dann einen Sinn wenn sudo per whitelist verwendet wird, denn wenn jeder "Hilfs-Admin" mit 'sudo su' root werden kann, dann kannst du ihnen auch gleich das root-PW geben und auf die sudo-Krücke verzichten, weil wegen:
# sudo su
# passwd
Es gibt aber noch eine nette Möglichkeit auf der einen Seite für Faule, wenn es locker konfiguriert wird, auf der anderen Seite für jene, die eine 2FA für su wollen:
Wenn du dich eh per pubkey einloggen willst, kannst du pam auch so anpassen, dass es den pubkey auch zum Auth für su nutzt, d.h. wenn der pubkey in der Liste steht wirst du nach Eingabe von su ( pam prüft pubkey ) zu root.
Du kannst es natürlich auch so einstellen, dass du sowohl einen korrekten key haben und das root-pw noch zusätzlich eingeben musst, um root zu werden.
Variante eins würde sich dann auch für weitere Admins anbieten, wenn sie per 'sudo su' eh root werden können. Welcher pubkey zum su-auth verwendet wurde steht dann auch in den Logs, also weisst du dann auch wer wann root war.
Das will ich aus der Ferne sehen. Es ging doch 'um ne Kiste im Netz', also remote.
Nun, da es "hier belustigendes zu lesen gab" - wie double-p anmerkte ^^ - möchte ich mit einer weiteren Belustigung hier mal abschliessen...
Auf meiner Testkiste zuhause hatte ich sowohl für root, wie auch für den normalen user das gleiche Passwort vergeben. Daher meine Verwirrung um 'su'.
Wer möchte, darf sich gerne ROFLen, die anderen dürfen sich an die Stirn klatschen
...
Wie auch immer. Ich finde, dass sowohl 'su' wie auch 'sudo' ihre Daseinsberechtigung haben - auch wenn man wohl in einer Diskussion nicht wirklich zu einem gemeinsamen Nenner kommen wird, denn es gibt gute pro-, aber auch contra-Punkte.
Vielleicht ist es wirklich besser, auf einer Kiste im Internet, die Dinge anders als mit einem einfachen 'sudo' zu handhaben. Aber auf der Kiste zuhause finde ich ein schnelles 'sudo' garnicht so verkehrt. Genau wie der Grundsatz sagt (auch wenn es da andere Vorlieben gibt): Auf der Kiste zuahuse ein Desktop-System (Win/Linux) und im Internet *BSD.
In diesem Sinne & danke für die rege Beteiligung ...
Auf meiner Testkiste zuhause hatte ich sowohl für root, wie auch für den normalen user das gleiche Passwort vergeben. Daher meine Verwirrung um 'su'.
Wer möchte, darf sich gerne ROFLen, die anderen dürfen sich an die Stirn klatschen
...Wie auch immer. Ich finde, dass sowohl 'su' wie auch 'sudo' ihre Daseinsberechtigung haben - auch wenn man wohl in einer Diskussion nicht wirklich zu einem gemeinsamen Nenner kommen wird, denn es gibt gute pro-, aber auch contra-Punkte.
Vielleicht ist es wirklich besser, auf einer Kiste im Internet, die Dinge anders als mit einem einfachen 'sudo' zu handhaben. Aber auf der Kiste zuhause finde ich ein schnelles 'sudo' garnicht so verkehrt. Genau wie der Grundsatz sagt (auch wenn es da andere Vorlieben gibt): Auf der Kiste zuahuse ein Desktop-System (Win/Linux) und im Internet *BSD.
In diesem Sinne & danke für die rege Beteiligung
...Das ist meines erachtens keine Pro/Contra Diskussion, da gibts einfach andere Anwendugnsszenarien. "su" verwende ich um einen Nutzer zu wechseln - ob das jetzt nun ein konkreter Nutzer oder eine "Servicerolle" ist sei mal dahingestellt. Mit "sudo" kann ich einem ansich unprivilegiertem Nutzer (oder Rolle) gewisse privilegierte Befehle ermöglichen.
Bei uns weit verbreitet: Der Dev kann auf dem Server Datenbank/Webserver/Appserver konfigurieren und durchstarten. Ansonsten hat er aber keine Adminprivilegien.
Oft wird halt sudo als "Ersatz" für su genommen und einfach sudo -i oder sudo bash getippt. Da bringt dann halt auch sudo nichts, eher im Gegenteil (oder wer kontrolliert vor jedem sudo gebrauch erstmal $PATH?).
Ach und doas gibts ja auch noch
Bei uns weit verbreitet: Der Dev kann auf dem Server Datenbank/Webserver/Appserver konfigurieren und durchstarten. Ansonsten hat er aber keine Adminprivilegien.
Oft wird halt sudo als "Ersatz" für su genommen und einfach sudo -i oder sudo bash getippt. Da bringt dann halt auch sudo nichts, eher im Gegenteil (oder wer kontrolliert vor jedem sudo gebrauch erstmal $PATH?).
Ach und doas gibts ja auch noch
Ego
Der Teufel im Detail
Sehe ich genauso. sudo per whitelist zu nutzen ergibt Sinn. sudo als su-Ersatz?! Dann kann ich mir das Installieren/Konfigurieren/Aktualisieren von sudo gleich ersparen und su nutzen - weniger Arbeit.