Hallo!
Mit PAM kenne ich mich nicht im Geringsten aus, obwohl ich Linux schon seit Kindertagen benutze.
Auf einem CentOS 7 logge ich mich als normaler Benutzer per ssh ein und muss dann ein sudo su machen anstatt einem su, wenn ich zu root werden will.
Warum ein sudo su? Mir wäre ein su, bei dem ich das root-Passwort eingeben muss anstatt dem Passwort des Benutzers, der zu root werden will, viel lieber.
Und warum geht kein su (zu root)? Wo wird gesagt, das ein bestimmter Benutzer ein sudo su machen muss?
[andreas@atlas ~]$ id andreas uid=1001(andreas) gid=1001(andreas) Gruppen=1001(andreas),10(wheel) [andreas@atlas ~]$ su Passwort: su: Fehler bei Authentifizierung [andreas@atlas ~]$ su root Passwort: su: Fehler bei Authentifizierung
Grüße
Andreas
Hallo Andreas!
Warum ein sudo su?
Ich bin mir nicht sicher und man möge mich korrigieren, wenn ich falsch liege:
Soweit ich mich erinnere, ist ein lokaler login mittels root nicht möglich (deaktiviert). Somit fällt ein potentieller Angriffsvektor weg, da man zusätzlich einen gültigen Usernamen wissen muss. Erst dann kann man mittels sudo root-Rechte bekommen. Und auch nur, wenn man das User-Passwort weiß.
Und warum geht kein su (zu root)?
Weiß ich nicht.
Wo wird gesagt, das ein bestimmter Benutzer ein sudo su machen muss?
Ok, erst mal der Klassiker (ohne nachgelesen zu haben, ob's drin steht) man sudo
Da ich selbst solche Antworten nicht mag hier kurz die Auflösung.
Du musst Dich in der Gruppe wheel befinden; was Du ja auch tust:
uid=1001(andreas) gid=1001(andreas) Gruppen=1001(andreas),10(wheel) [andreas@atlas ~]$ su
Weitere Konfigurationsmöglichkeiten findest Du in der /etc/sudoers . Dort kannst Du auch einzelne Befehle für einzelne User freischalten. Z.B. Restart eines Daemons. Solch kleinteilige Konfigurationsmöglichkeiten hast Du meines Wissens mit "su" nicht. Aber auch hier lasse ich mich gerne belehren.
*Achtung!* Die o.g. Datei nur mit dem Tool $ visudo Bearbeiten, steht aber ich meine ich irgendwo fett in den Kommentarzeilen.
VG Rainer
On 27.10.2017 14:12, Andreas Meyer wrote:
Auf einem CentOS 7 logge ich mich als normaler Benutzer per ssh ein und muss dann ein sudo su machen anstatt einem su, wenn ich zu root werden will.
Warum ein sudo su? Mir wäre ein su, bei dem ich das root-Passwort eingeben muss anstatt dem Passwort des Benutzers, der zu root werden will, viel lieber.
Da gehen die Meinungen auseinander. Das Schöne an sudo ist u.a., dass man das root- Passwort nicht allen mitteilen muß.
Und warum geht kein su (zu root)? Wo wird gesagt, das ein bestimmter Benutzer ein sudo su machen muss?
In /etc/pam.d/su. In der Standard- Konfiguration ist das allerdings so, dass ein su möglich ist. Wenn das also jemand reauskonfiguriert hat, wird er schon seine Gründe dafür gehabt haben.
Ich würde im Zweifel bei sudo brleiben.
Viele Grüße Ulf
Am 27.10.2017 um 14:12 schrieb Andreas Meyer:
Hallo!
Mit PAM kenne ich mich nicht im Geringsten aus, obwohl ich Linux schon seit Kindertagen benutze.
Auf einem CentOS 7 logge ich mich als normaler Benutzer per ssh ein und muss dann ein sudo su machen anstatt einem su, wenn ich zu root werden will.
Warum ein sudo su? Mir wäre ein su, bei dem ich das root-Passwort eingeben muss anstatt dem Passwort des Benutzers, der zu root werden will, viel lieber.
Und warum geht kein su (zu root)? Wo wird gesagt, das ein bestimmter Benutzer ein sudo su machen muss?
[andreas@atlas ~]$ id andreas uid=1001(andreas) gid=1001(andreas) Gruppen=1001(andreas),10(wheel) [andreas@atlas ~]$ su Passwort: su: Fehler bei Authentifizierung [andreas@atlas ~]$ su root Passwort: su: Fehler bei Authentifizierung
1. Wenn für root kein Passwort gesetzt wurde ist der Account in der Regel deaktiviert. $ sudo grep root /etc/shadow
2. Die Passwörter für sudo und root sind nicht zwingend die selben!
Hallo!
Alex JOST jost+lists@dimejo.at schrieb am 27.10.17 um 15:24:06 Uhr:
Und warum geht kein su (zu root)? Wo wird gesagt, das ein bestimmter Benutzer ein sudo su machen muss?
- Wenn für root kein Passwort gesetzt wurde ist der Account in der
Regel deaktiviert. $ sudo grep root /etc/shadow
Das ist ja ein Ding! In der shadow standen zwei Ausrufezeichen vor dem Passwort. Ein neues Passwort vergeben und ein su zu root geht plötzlich. Das scheint mir aber dann so zu sein, dass der rootaccount zwar nicht deaktiviert ist, aber ein login zu root nicht möglich ist.
- Die Passwörter für sudo und root sind nicht zwingend die selben!
Und obwohl in der shadow ein login zu root unterbunden wird, geht ein sudo su zu dann doch?!
In der sudoers sind nur zwei Zeilen aktiv bzgl. Befehle: root ALL=(ALL) ALL %wheel ALL=(ALL) ALL
Eine Frage habe ich zu dem Thema noch. Wie hängen PAM und sudo miteinander zusammen bzw. habe die überhauüt etwas miteinander zu tun?
Eingermaßen verwirrt
Andreas
Am 27.10.2017 um 16:44 schrieb Andreas Meyer:
Hallo!
Alex JOST jost+lists@dimejo.at schrieb am 27.10.17 um 15:24:06 Uhr:
Und warum geht kein su (zu root)? Wo wird gesagt, das ein bestimmter Benutzer ein sudo su machen muss?
- Wenn für root kein Passwort gesetzt wurde ist der Account in der
Regel deaktiviert. $ sudo grep root /etc/shadow
Das ist ja ein Ding! In der shadow standen zwei Ausrufezeichen vor dem Passwort. Ein neues Passwort vergeben und ein su zu root geht plötzlich. Das scheint mir aber dann so zu sein, dass der rootaccount zwar nicht deaktiviert ist, aber ein login zu root nicht möglich ist.
Wahrscheinlich wurde bei der Installation kein Passwort gesetzt. https://en.wikipedia.org/wiki/Passwd#Shadow_file
- Die Passwörter für sudo und root sind nicht zwingend die selben!
Und obwohl in der shadow ein login zu root unterbunden wird, geht ein sudo su zu dann doch?!
Ich kann Dir dazu leider auch nichts genaues sagen, aber ich würde mal vermuten, das ist ähnlich wie bei der Shell. Wenn der Login eines Accounts deaktiviert ist, weil als Shell "/sbin/nologin" gesetzt ist kannst Du dennoch eine andere Shell für den Login setzen. $ su -s /bin/bash -
In der sudoers sind nur zwei Zeilen aktiv bzgl. Befehle: root ALL=(ALL) ALL %wheel ALL=(ALL) ALL
Eine Frage habe ich zu dem Thema noch. Wie hängen PAM und sudo miteinander zusammen bzw. habe die überhauüt etwas miteinander zu tun?
Dazu kann ich Dir leider auch nichts genaues sagen, aber nachdem Du sudo über PAM konfigurieren kannst dürften die wohl zusammen hängen. :) $ cat /etc/pam.d/sudo
-
Alex JOST -
Andreas Meyer -
Rainer.Rose@HannIT.de -
Ulf Volmer