sudo ohne Passwortabfrage

In der Linux und Unix Welt läuft sehr viel über strikte Berechtigungen. Viele Aktionen sind einem Standardbenutzer nicht gestattet, welches aus Sicherheitsgründen natürlich einige Vorteile mit sich bringt. Um eine gewisse Aktion mit den Berechtigungen eines anderen Benutzers ausführen zu können, gibt es zwei Möglichkeiten. Die wohl gängigere Methode dürfte der Befehl „sudo“ sein, welcher für substitute user, do steht. Damit lassen sich je nach Konfiguration Befehle bzw. Aktionen mit erhöhten Berechtigungen ausführen, ohne dass das Passwort von root bekannt sein muss. Des Weiteren werden alle Aktionen die mit „sudo“ ausgeführt werden auch protokolliert und lassen sich somit auf den tatsächlichen Benutzer zurückführen.


Allerdings muss „sudo“ erst konfiguriert werden, damit es auch verwendet werden kann. Denn wird ein Befehl mit sudo ausgeführt, ohne dass der Benutzer es verwenden darf, gibt es eine Fehlermeldung.

sudo su passwort password visudo

Am einfachsten ist es, wenn sudo über eine Gruppe gesteuert wird. Somit muss die Grundkonfiguration nur einmalig erledigt werden, der Rest wird dann nur noch über Gruppenmitgliedschaften gesteuert. Je nach Distribution gibt es hierfür unterschiedliche Standardgruppen, die genau dafür vorgesehen sind. Unter Debian und Co. heisst die Gruppe „sudo“. Unter Arch Linux heisst diese „wheel“. Um zu sehen, ob der eigene Benutzer in der jeweiligen Gruppe enthalten ist, kann ein Befehl im Terminal abgesetzt werden.

groups

sudo su passwort password visudo

Taucht die Gruppe nicht auf, muss der Benutzer erst noch hinzugefügt werden. Doch wie soll das klappen, wenn der eigene User gar keine Befehle die erhöhte Berechtigungen erfordern ausführen darf? Die Lösung ist die zu Eingangs erwähnte zweite Methode, nämlich „su“. Damit kann direkt der Benutzer gewechselt werden. Ohne Angabe eines Benutzernamens wird direkt zu root gewechselt. Soll der Wechsel inklusive einer kompletten Anmeldung erfolgen, damit auch das Profil geladen wird, sieht der Befehl wie folgt aus

su -

Ohne eine komplette Anmeldung, wird das „-“ weggelassen.

su

Hierbei wird jetzt auch das root Kennwort benötigt. Ohne wird es nicht funktionieren.

sudo su passwort password visudo

Jetzt kann der Benutzer der Gruppe hinzugefügt werden.

adduser michi sudo

sudo su passwort password visudo

Damit die neue Gruppenmitgliedschaft auch funktioniert, ist eine neue Anmeldung am System erforderlich. Zur Kontrolle kann erneut der Befehl „groups“ ausgeführt werden. Ab jetzt ist der Benutzer berechtigt, Befehle mit erhöhten Berechtigungen auszuführen. Allerdings muss hierfür regelmäßig das eigene Kennwort eingegeben werden. Um das zu umgehen, kann sudo so konfiguriert werden, dass die Mitglieder einer bestimmten Gruppe kein Kennwort eingeben müssen. Die dafür zuständige Konfiguration wird in der Datei „/etc/sudoers“ abgelegt. Diese wird jedoch nicht direkt bearbeitet, sondern mit dem Tool „visudo“ geöffnet.

sudo visudo

Hier befindet sich auch der Eintrag, der Mitgliedern der Gruppe „sudo“ das Ausführen von allen Befehlen ermöglicht.

sudo su passwort password visudo

Soll nun die Passwortabfrage deaktiviert werden, muss diese Zeile auskommentiert und eine neue Zeile hinzugefügt werden.

%sudo  ALL=(ALL) NOPASSWD:ALL

Der Gruppenname muss natürlich an die eigene Umgebung angepasst werden.

sudo su passwort password visudo

Sobald die Konfiguration abgespeichert ist, kann sudo ohne Passwortabfrage verwendet werden.