RPi root/sudo (Debian)

[Tablet]

Tach,

ich habe einen PiZero mit OS Debian auf SDKarte. Alles installiert etc.
Bei der Installation einen root Acc mit Pw. erstellt. Es gibt keine weiteren User noch anderweitge Gruppen.

Wenn ich mich mit root Acc einlogge, wie kann ich es machen, dass ich bei cmd in der cli auch sudo schreiben muss und ein passwort?

Muss man einen neuen User ohne root rechte einrichten?

Kann man alle Data mit: -rwxr--r-- austatten ?

Wie geht das an?

Edit von Metal_Warrior:

Nein, geht nicht. Warum und weshalb steht unten.

 

[BurnerR]

Muss man einen neuen User ohne root rechte einrichten?

Ja, genau.

Kann man alle Data mit: ?rwxr--r-- austatten ?

Kannst du das spezifizieren was du machen willst?

 

[Tablet]

@BurnerR:

Ich will allen die schreib und execution rights entziehen, bis auf den vom root nicht. Mich nervt eben die vorstellung jetzt einen zweiten Acc zu haben und deshalb noch den /home directory im Auge zu behalten. Kann man nicht einfach einrichten, das jedes cmd ein passwort verlangt als kleine zusatz Sicherheitsmassnahme?

 

[alter_Bekannter]

root ist der Systemuser um dem Rechte zu entziehen musst du die Prozessorarchitektur ändern.

Windows hat auch einen Systemuser nur kann man sich mit dem regulär garnicht einloggen. Dazu müsste man ein paar Sachen ändern und ich weiss spontan nicht was alles.

In einer modernen Systemarchitektur kommst du um den Multiuserbetrieb nicht herum, manche System verstecken es nur besser als andere.

 

[Tablet]

@alter_Bekannter:

ich will root keine Rechte entziehen. Ich will ein Passwort setzen, dass man jedesmal eingeben muss, bevor man einen cmd in der cli aufgeben kann.

 

[alter_Bekannter]

Wozu? root könnte das jederzeit umgehen. Es schützt also vor garnix.


Fremdzugriff verhindern?
Verschlüsseln.

Unprivilegierter Nutzer?
Unprivilegierter Benutzer, Überraschung!

Für dein gewünschtes Schlangenölsystem:
Bennene alles im bin Ordner um und häng ein "sudo passwort" davor.

Dann musst du alles mit "sudo passwort" davor aufrufen.
Profit.
Achja, falls du es noch nicht verstanden hast:
Damit zerlegst du potentiell dein System.

V2VyIG5pY2h0IGjDtnJlbiB3aWxsIG11c3MgZWJlbiBmw7xobGVuLCBsYXNzZW4gd2lyIGlobiBkb2NoIGVpbmZhY2ggc2VpbiBTeXN0ZW0gemVyc8OkZ2VuLg==

 

[BurnerR]

Er will damit sagen, dass Debian ein gutes und solides Rechtesystem hast, das du einfach nutzen solltest.

 

[Tablet]

@alter_Bekannter:

RGFzIHdhZXJlIGFiZXIgemllbWxpY2ggYXNzb3ppYWwgZnVlciBlaW4gSVQgZm9ydW0=

 

[alter_Bekannter]

Du willst es aber doch unbedingt.
Was ist daran also Asozial?
Sollte ich dich lieber bevormunden?

Okay, du darfst nicht, ende der Diskussion.

Für mehr Erziehung musst du mir erst Paysafekarten schicken.

 

[Metal_Warrior]

@Tablet: Du hast grundsätzlich Linux nicht verstanden.

Root ist der User, mit dem ALLES läuft, das hohe Rechte benötigt, also Hardwarezugriffe, Kernel-Speicherzugriffe, Zugriffe auf Passwörter, Keys, Sicherheitssystem, sicherheitsrelevante Logs etc. Ihn die ganze Zeit zu verwenden ist fahrlässig und zeugt von Windows-verseuchtem Denken (weil da ja Administrator nicht gleich System).

In Linux gibt es zwei Benutzerarten: Root und den Rest. Der Rest unterteilt sich in User, die Sudoer sind (also für einzelne Befehle Rootrechte bekommen dürfen), und solche, denen das verweigert ist. Das ist eine einfache Gruppenzugehörigkeit.

Du WILLST einen zweiten User. Um genau zu sein, willst du gar nicht erst, dass sich jemand als Root einloggen kann, du willst also einen User, und der ist nicht root. Und nein, du kannst root nicht löschen, er ist der Inbegriff des Betriebssystems. Du erstellst dir jetzt einen zweiten User, dann installierst du das Paket sudo und fügst den User dann in die Gruppe sudo hinzu. Danach sperrst du den root-Account, indem du vor den Passworthash in der /etc/shadow ein Ausrufezeichen setzt. So wirds gemacht, und nicht anders.

Die Beitragsmeldung hab ich übrigens auch gesehen, und zeigt, dass du den Beitrag nicht verstanden hast. alter_Bekannter meinte, dass du dir mit Root das System zerschießen kannst, wenn du unvorsichtig bist. Und da hat er Recht - Linux ist nicht so dämlich wie Windows und fragt noch fünfmal nach, ob der Admin wirklich die Datei XY löschen will. Ist der User in Linux Root, dann weiß der, was er da tut und ist selber schuld. Befehl ist Befehl, das wird ausgeführt und die Datei gelöscht - selbst wenn die Datei das komplette Wurzelverzeichnis ist. Linux macht da fertig, weil es selbst im RAM läuft und ihm das egal ist, wenn die Festplatte hinterher leer ist. Ist der User aber irgendein anderer, darf der halt einfach nicht. Punkt.

 

[alter_Bekannter]

Du vergisst die viel subtilere 2. Nachricht. Wenn er alle executables umbenennt mit dem passwort davor hat er sie auch passwortmäßig vor root geschützt. Das hat halt eben ein paar lustige Nebeneffekte. Von denen man nicht behaupten könnte ich hätte ihn nicht ausführlich gewarnt.

Klar, root könnte das Passwort einsehen, aber das habe ich ja auch gesagt, root kann jedes Passwort einfach umgehen.

Wenn ers nicht glauben will soll ers ruhig probieren. Nichts anderes habe ich vorgeschlagen.
Denn blinden Glauben zu propagieren gehört zu der kurzen Liste der Dinge die ich niemals tun würde.

 

[sia]

Danach sperrst du den root-Account, indem du vor den Passworthash in der /etc/shadow ein Ausrufezeichen setzt. So wirds gemacht, und nicht anders.

Öh… ich mach' das seit zig Jahren anders, bin ich jetzt ein Noob?

Möchte noch hinzufügen, dass es dumm ist, die Dateiberechtigungen sämtlicher Dateien zu ändern. Ich hab' immer noch ein Trauma von dem Deppen, der auf einem Produktivsystem das ganze Dateisystem mit denselben Rechten ausstattete (siehe unten, nicht nachmachen!), weil er dachte, es sei ja blöd, wenn Leute überhaupt Zugriff auf Systemdateien bzw Sachen außerhalb ihres Home-Ordners hätten.

Lasst ihn doch lernen.

Kann man alle Data mit: -rwxr--r-- austatten ?
Wie geht das an?

Das geht so:

chmod -Rf --no-preserve-root 744 /

 

[Tablet]

Kann man also kein Passwort erstellen, dass dann abgefragt wird bevor man einen Befehl ausfuehrt aber als root Acc?

P.s: /root ungleich /

@Metal_Warrior:

Du schreibst Dinge, nach denen ich nie gefragt habe.

 

[alter_Bekannter]

Doch, sudo, aber du weigerst dich zu begreifen wie die Rechteverwaltung bei Computern funktioniert. Der Systemuser muss für garnichts fragen. wenn er fragen, müsste gäbe es ausnahmen damit brichst du die gesamte Logik, der Rechteverwaltung.

Definier doch mal bitte wo die endlose Fragekette aufhören soll wenn die absolute Autorität fragen muss. Dann würde ja jedes Request in einem endlosen rekursiven Aufruf hängen bleiben.

Du willst einfach nicht begreifen das du den Kuchen entweder haben oder essen kannst. Mein nächstmögliche Lösung hast du begründungslos abgelehnt.

 

[theSplit]

Wenn du, zum Beispiel beim User "pi" (Standarduser) verhindern willst, dass dieser bei "sudo" keine Passwortabfrage bekommt:

Just remove the NOPASSWD from file /etc/sudoers.d/010_pi-nopasswd

Change it from :

pi ALL=(ALL) NOPASSWD: ALL

to :

pi ALL=(ALL) ALL

Zitatquelle

Empfohlen wird auch "visudo" zur Bearbeitung heran zu nehmen.

Das exakt gleiche Problem hatte ich auch mal und richtig lustig fand ich es damals nicht, auch wenn es bequem ist.

Edit: Gerade unschön, wenn man nen Autologin an hat!

 

[sia]

@Tablet: ich hab letztens 47min einen Vortrag drüber gehalten, da der aber noch nicht auf youtube hochgeladen ist: RTFM.

Wiederholungen derselben Antwort bringen hier niemandem was

Kann man also kein Passwort erstellen, dass dann abgefragt wird bevor man einen Befehl ausfuehrt aber als root Acc?

Nein. root darf alles.

 

[Metal_Warrior]

Öh… ich mach' das seit zig Jahren anders, bin ich jetzt ein Noob?

Ja

Kann man also kein Passwort erstellen, dass dann abgefragt wird bevor man einen Befehl ausfuehrt aber als root Acc?

Nein. Der Systemuser darf alles. Immer. Hab ich vorhin auch schon geschrieben, aber das hast du ja nicht gelesen, weil du hast das ja nicht gefragt.

P.s: /root ungleich /

Kleiner Tipp:
/ != root
/root != root
/ != /root

Klingt komisch, ist aber so.

Du schreibst Dinge, nach denen ich nie gefragt habe.

Ich schreib die Dinge, weil du sie in deinen Schädel bekommen solltest, wenn du mit Linux arbeitest. Egal mit welchem. Du hast Linux nicht verstanden, du hast IT-Sicherheit nicht verstanden. Lesen, verstehen und danach handeln. Wenn du nichts wissen willst, bist du hier falsch.

Ach, und das "arrogante Arschloch" in der Mail an die Boardadministration hab ich auch gelesen (wer hätte das nur gedacht - ein Admin, der die Mails bekommt!). Dazu sag ich nur eins: Niveau sieht nur von unten aus wie Arroganz.

Aber jetzt, wo dus sagst: Erst ne doofe Frage stellen, dann sich gegen alle Verbesserungsvorschläge sperren und dann am Ende User beleidigen, die dir helfen wollten - das Verhalten kenn ich von nem User. Und ob du derjenige bist oder nicht - für dich ist hier, wie für die 20 anderen Accounts, Schluss. Ich mach da kurzen Prozess.

Wenn du, zum Beispiel beim User "pi" (Standarduser) verhindern willst, dass dieser bei "sudo" keine Passwortabfrage bekommt:

Dir ist bewusst, dass er ne Passwortabfrage will? Für root? Ich weiß, klingt genauso bescheuert wie es ist, aber ich hab auch extra viermal gelesen, um es auch ja richtig zu verstehen.

@Rest
Ihr habt gute Arbeit geleistet, leider an den Falschen. Ich sag ja, dass wir den Typen schon kennen, daher... machen wir hier mal passend zum User zu.