Root Befehle ohne sudo auf Debian, wie?

Ich habe für eine Software auf einigen Debian Maschinen einen separaten User angelegt und diesen auch eigentlich auch in die Root-Gruppe aufgenommen. Nun habe ich das Problem, dass wenn ich Root-Befehle ohne vorab sudo einzugeben ausführen will, ich die Fehlermeldung "13: Permission Denied" bekomme. Ich konnte herausfinden, dass diese Fehlermeldung Aussagt, dass es weiterhin Probleme mit den Root-Rechten für diesen User geben muss?

Folgende Schritte habe ich umgesetzt:

Diese Parameter in die sudoers-Datei eingefügt:

# User privilege specification

root ALL=(ALL:ALL) ALL

Testuser ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command

%sudo ALL=(ALL:ALL) ALL

Testuser ALL=(ALL) NOPASSWD: ALL

Mit dem folgenden Befehl habe ich den User eigentlich auch in die Root-Gruppe aufgenommen:

root@Testhost1:~# gpasswd -a Testuser sudo

Adding user Testuser to group sudo

Bitte seid gnädig, ich bin noch relativ unerfahren mit Linux-Administrierung. :)

3 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

KarlRanseierIII

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, Linux

11.10.2021, 21:13

sudoers ist ja eien Konfiguration für sudo. D.h. der User muß natürlich trotzdem mit sudo die Rechte ändern, um ausführen zu können.

Die Frage ist ja eher, warum man einem User Root Rechte gewähren möchte, vor allem ohne Einschränkungen, so wie es aussieht?

linus34

Beitragsersteller

11.10.2021, 21:22

Grob heruntergebrochen, ich habe eine Serveranwendung die sich mit SSH-Keys ohne Authentifizierung auf die Clients verbinden kann und auch die Möglichkeit haben soll elementare Änderungen an die Clients vornehmen zu können, Stichwort Automatisierung. Der "normale" SSH-Login für diesen Testuser ist deaktiviert weshalb es mir wie ein vernünftiger Mittelweg vorkam, statt dem Root-User dafür zu benutzen.

Daher möchte ich die Möglichkeit haben Root-Befehle mit diesen User ausführen, ohne das sudo vorab schreiben zu müssen, also im Grunde als wenn der Testuser der Root-User selbst wäre.

julihan41

11.10.2021, 21:29

@linus34

Dann erstelle eine Schnittstelle, sodass nur die benötigen Befehle ausgeführt werden können und kein komplettes Root ohne Passwort 🙈

linus34

Beitragsersteller

11.10.2021, 21:33

@julihan41

Sagt dir zufällig Ansible etwas? Ich habe aus gutem Grund geschrieben, dass der User alles können soll. Mir wäre es neu, dass man das auf einige Befehle herunterbrechen kann was ich brauche. ^^

KarlRanseierIII

11.10.2021, 21:43

@linus34

Okay, Du willst also die Nutzung von root bei der SSH-Verbindung vermeiden udn stattdessen einen User nehmen, der trotzdem alle Privilegien hat.

Soweit nachvollziehbar.

Ich verstehe nicht, worin das Problem besteht ein sudo ausführen zu müssen.

Du weißt, daß Du auch ein sudo -i ausführen kannst?

Insbesondere kannst Du dies auch direkt vom sshd ausführen lassen.

Damit nicht genug, Du kannst für den gleichen SSH-User, z.B. root auch mehrere Schlüssel hinterlegen udn festlegen, daß bei Verwendung eine sbestimmten Schlüssels ein bestimmtes Kommando ausgeführt wird, egal was der sich verbindende Client möchte.

Weiter gedacht: Lege für die Kombination aus Nutzer+Schlüssel fest, daß ein bestimmtes Skript ausgeführut wird. Dieses wiederum kann als Gatekeeper fungieren und quasi explizit nur bestimmte Aktionen zulassen.

Lies vielleicht mal das hier:

https://www.thomas-krenn.com/de/wiki/Ausf%C3%BChrbare_SSH-Kommandos_per_authorized_keys_einschr%C3%A4nken

Und überlege, ob DU nicht eher in diese Richtugn gehen willst.

linus34

Beitragsersteller

11.10.2021, 22:20

@KarlRanseierIII

Dazu kann ich gerade nicht viel sagen aber ich werde mir deine Denkanstöße ansehen, besten Dank. :)

julihan41

11.10.2021, 22:34

@linus34

Aber bei Ansible sollte das eigentlich anders funktionieren. Also ich kenne mich mit Ansible nicht aus, aber es würde mich irritieren, wenn das Framework dafür keinen sinnvollen Weg hat...

linus34

Beitragsersteller

14.10.2021, 20:51

@julihan41

Ich habe mittlerweile eine Lösung gefunden. Ansible bietet in der Tat einen Weg, es gibt einen Parameter der mir nicht bekannt war.

julihan41

14.10.2021, 21:26

@linus34

Das freut mich sehr. Damit ist die Sicherheit deutlich erhöht.

bmke2012

11.10.2021, 21:19

Wenn ein "user" der Gruppe "root" hinzugefügt wird, hat er noch lange keine umfassenden root-Rechte. Mitglieder der Gruppe root (bin ich als user auch) darf Systemmeldungen empfangen und diverse Verzeichnisse besuchen, die root vorbehalten sind. Das war es dann auch schon.

Um Befehle mit root-Rechten auszuführen, muss man diese root-Rechte erwerben und das geht nur mit 'sudo' oder 'su root' oder 'su -'.

... und dass das so ist, hat seine Gründe!

julihan41

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Linux, Debian

11.10.2021, 21:18

Sudo ermöglichen ohne Passwort ist eine richtig_dumme_Idee. Das ist ein wichtiges Sicherheitsfeature und sollte nicht umgangen werden.

Der Fehler liegt wahrscheinlich darin, dass du Testuser zwei mal in der Datei hast.

Ich bleibe aber bei keiner Empfehlung: lass die Passwort Abfrage bestehen. Hindert einem auch daran, unüberlegt Befehle mit root Rechten zu spamen wie

sudo rm -rf /

linus34

Beitragsersteller

11.10.2021, 21:29

Habe den zweiten Parameter, also "Testuser ALL=(ALL) NOPASSWD: ALL" erst zuletzt eingefügt, davor hat es auch nicht funktioniert.

Ich verstehe dein Argument absolut aber ein Login mit diesem User ist nur mit einem gültigem SSH-Key möglich, die anderen Wege habe ich deaktiviert.

Ich selbst werde den User auch nicht benutzen sondern eine Software die halt umfassende Rechte braucht auf den Hosts. Korrigiere mich gerne aber ich denke damit ist die Gefahr ziemlich gut entschärft.

Ähnliche Beiträge

Debian 11 frage?

Ich habe das Problem das ich sudo nicjt benutzen kann "User was not found in the sudoers file " oder sowas in der Art aufjedenfall habb ich alle möglichen Sachen versucht um meinen Namen in die sudoers Datei zu setzen könnt ihr bitte helfen

...zum Beitrag

Ohne sudo/root systemctl?

Ich will "systemctl" + $ + "apache2" ($ = Start,stop,restart) ohne sudo/root ausführen, für Script...

NUR die drei nicht systemctl in general.

Linux,raspi/debian

Thx im voraus.

...zum Beitrag

Linux kann keine sudo-Befehle ausführen?

Ich habe wohl etwas dummes gemacht und kann seither sudo nicht mehr verwenden... Ich bekomme diese Fehlermeldung:

Ich habe nachgeschaut: Der Owner von /usr/bin/sudo ist der User „pi“. Doch die UID von pi ist 1000.

Ich bin sehr froh über jede Hilfe!

...zum Beitrag

Wie aktiviere ich ROOT Rechte auf Debian auf Linux Deploy?

Hallo ich habe auf mein Samsung Handy Debian auf Linux Deploy installiert.

Soweit funktioniert alles, außer, dass ich mit user android kein root bin. Vermutlich gibt es keinen Nutzer root. Ich brauche aber root rechte. Z.B wenn ich sudo su eingebe, dann sagt Debian, dass ich keine Root Rechte habe.

Kann ich das irgendwie beheben?

LG Jan.

...zum Beitrag

kann nichts installieren in Linux?

Hi@all ich habe eben gerade auf einem anderem Laptop von mir Linux/debian 10.0 installiert ich bin auch erst seit 3 Monaten Linux User und hab mir mal verschiedene Linux varianten angeschaut. Nun steh ich grad vor einem ganz anderen Problem. wieso habe ich keine Root rechte ich möchte zb etwas installieren und erhalte folgenden Text ist nicht in der sudoers Datei/dieser Vorfall wird gemeldet.

Hmm :S

...zum Beitrag

kann kein snapd installieren?

root:~# sudo snap install hello-world
error: system does not fully support snapd: cannot mount squashfs image using
    "squashfs": mount: /tmp/sanity-mountpoint-362302586: mount failed:
    Operation not permitted.

Wo liegt das problem?

Debian: 10.7.1

Snap:

snap  2.37.4-1+deb10u3
snapd  2.37.4-1+deb10u3
series 16
debian 10
kernel 5.4.140-1-pve

...zum Beitrag

Debian -> "Chrome kann nicht als Root ausgeführt werden"

Hallo, ich hab jetzt mal Debian installiert, wollte Google Chrome installieren, jedoch kommt beim Starten folgende Fehlermeldung:

Google Chrome kann nicht als Root ausgeführt werden.

Starten Sie Google Chrome als gewöhnlicher Nutzer. Um Chrome als "Root" auszuführen, müssen Sie ein alternatives --user-data-dir zum Speichern von Profilinformationen angeben.

Ich möchte Chrome nicht als normaler Nutzer starten jedes Mal. Weiß jemand, wo ich --user-data-dir finde, oder wie ich ein alternatives user-data-dir zum Speichern von Profilinformationen angebe?

MfG

...zum Beitrag

Warum habe ich kein Package Manager installiert in Linux?

Guten Abend,

ich habe mir vor ein paar Minuten Linux installiert, das Distro was ich benutze heisst "Solus" es ist nicht so bekannt. Ich habe KDE Plasma als Desktop Environment

Ich wollte vorher einige Packages herunterladen und installieren aber als ich zb. "sudo apt install snapd" eingegeben habe kam folgende Fehlermeldung: "sudo: apt: Befehl nicht gefunden" Und ich habe ein Debian basiertes Linux Distro.

Wie kann ich "apt" installieren auf meinem Computer?

...zum Beitrag

Java 17 installieren?

Ich wollte gerade Java 17 auf meinem Debian 10 root Server installieren.

Nun bekomme ich aber diese Fehlermeldung.

Was muss ich jetzt tun.

...zum Beitrag

Wie logge ich mich bei Filezilla als root ein?

Hallo, ich möchte meinen Raspberry Pi als Webserver nutzen, da ich schon alles eingerichtet habe (apache2,ssh,php...) wollte ich mich bei filezilla als root user einloggen aber das funktioniert nicht. ich habe schon das passwort von dem user "root" geändert durch sudo passwd root aber ich kann micht trotzdem nicht anmelden bei filezilla. die fehlermeldung bei filezilla: Befehl: open "root@192.168.2.117" 22 Befehl: Pass: ** Fehler: Authentifizierung fehlgeschlagen. Fehler: Kritischer Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

...zum Beitrag

Mysql Datenbank auf Debian 10 installieren geht nicht?

Hey Ihr lieben,

Ich versuche seit Tagen Eine Mysql Datenbank auf meinem Debian 10 linux Server zu installieren. Doch dies scheitert bei jedem Versuch... er gibt denn Fehler aus das es nicht zu finden ist (es steht auf jeder Webseite gleich) hier der Command denn ich benutze :

sudo apt install mysql-server

Doch dann gibt er mir folgendes raus :

root@Debian10-8Gb:~# sudo apt install mysql-server
Reading package lists... Done
Building dependency tree
Reading state information... Done
Package mysql-server is not available, but is referred to by another package.
This may mean that the package is missing, has been obsoleted, or
is only available from another source


E: Package 'mysql-server' has no installation candidate

Vielen Dank für jede Antwort und Hilfe!

M.F.G Don_Goldi

...zum Beitrag

Sudo für Befehl erzwingen?

Hallo,

ich möchte Benutzer daran hindern ihre eigene Shell zu ändern, durch Benutzung des "chsh" Kommandos. Kann ich einstellen, dass zum Ausführen des Befehls root Rechte erforderlich sind?

...zum Beitrag

über filezilla bei debian server mit root verbinden?

schönen guten tag, ich möchte mich gerne per filezilla mit meinen debian server verbinden was auch mit user(profil) super funktiioniert aber sobald ich als benutzername root eingebe und zu 100% das richtige passwort verwende funktioniert es nicht und ich weiß auch nicht mehr weiter was ich machen soll. hab schon alles probiert. falls ihr mehr informationen braucht gebt bescheid.

liebe grüße

...zum Beitrag

Ich verwende seit gestern Debian (Linux) und "sudo" wird nicht als Befehl erkannt, so kann ich mir nichts runterladen, weiß jemand die Lösung?

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen