Sudo für Befehl erzwingen?

Hallo,

ich möchte Benutzer daran hindern ihre eigene Shell zu ändern, durch Benutzung des "chsh" Kommandos. Kann ich einstellen, dass zum Ausführen des Befehls root Rechte erforderlich sind?

5 Antworten

guenterhalt

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, Linux

12.12.2021, 14:14

Natürlich kannst du die Ausführungsrechte für das Binary chsh so ändern, dass das nur root oder ein anderer mit sudo darf.

chmod 4700 <PHATH>/chsh

sollte reichen

Woher ich das weiß:Berufserfahrung – openSuSE seit 1995

guenterhalt

12.12.2021, 14:19

Welchen Sinn soll es haben, einem User zu verbieten, eine andere Login-Shell zu benutzen.
Prinzipiell kann der doch z.B. mit csh von bash auf diese Shell wechseln. Das muss der dann zwar immer wiederholen, was er aber auch lebst z.B. in die ~/.bashrc eintragen könnte.
Was willst du damit erreichen?

KarlRanseierIII

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, Linux

12.12.2021, 16:46

Das ließe sich mit chmod realisieren, indem Du die Ausführung für Nutzer untersagst. Sinnbehaftet ist das eher nicht so.

guenterhalt

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, Linux

12.12.2021, 14:58

diesen Befehl brauch sowieso niemand. Das kann man durch das Ändern der Userdaten in der /etc/passwd ganz leicht machen, nur eben nicht zeitnah.

Woher ich das weiß:Berufserfahrung – openSuSE seit 1995

C3tr4x

Beitragsersteller

12.12.2021, 15:11

/etc/passwd kann im Gegensatz zu chsh aber nur mit Root-Rechten bearbeitet werden und chsh trägt seine Änderungen trotzdem in chsh ein. Der Grund das zu machen ist, dass ein User als Shell /bin/rbash bekommen soll, damit er sein Home-Verzeichnis nicht verlassen kann. Das bringt aber nichts, wenn man per chsh seine Shell wieder auf /bin/bash stellen kann.

indiachinacook

12.12.2021, 15:29

@C3tr4x

Und was passiert, wenn der User auf der bash einfach csh eintippt?

C3tr4x

Beitragsersteller

12.12.2021, 15:43

@indiachinacook

csh ist nicht installiert.

# /etc/shells: valid login shells
/bin/sh
/bin/bash
/usr/bin/bash
/bin/rbash
/usr/bin/rbash
/bin/dash
/usr/bin/dash

guenterhalt

12.12.2021, 16:12

@C3tr4x

das sind die, die bei mir (openSuSE Leap 15.3) in der /etc/shells stehen

/bin/csh
/bin/dash
/bin/false
/bin/ksh
/bin/ksh93
/bin/mksh
/bin/pdksh
/bin/sh
/bin/tcsh
/bin/true
/bin/zsh
/usr/bin/csh

/usr/bin/dash
/usr/bin/ksh
/usr/bin/ksh93
/usr/bin/mksh
/usr/bin/passwd
/usr/bin/pdksh
/usr/bin/bash
/usr/bin/tcsh
/usr/bin/zsh
/usr/bin/fis

Da muss man aber sehr vorsichtig sein denn chsh prüft nicht mal, ob die Shell, auch wenn sie in der Liste steht, überhaupt installiert ist.

Wenn man z.B. mit chsh für root eine solche nicht installierte Shell einträgt, kann sich root nicht mehr anmelden.
Bei solchen Experimenten ist es dann sinnvoll, vorher die alte /etc/passwd in einen Editor zu laden, um damit alle Änderungen rückgangig zu machen.

C3tr4x

Beitragsersteller

12.12.2021, 16:35

@guenterhalt

Wie gesagt, am Root user etc. will ich gar nichts ändern, es geht nur um einen einzelnen User, der /bin/rbash eingetragen bekommt und diese eben nicht selbst ändern soll, damit er sein Home-Verzeichnis nie verlässt.

KarlRanseierIII

12.12.2021, 16:48

@C3tr4x

The only restriction placed on the login shell is that the
command name must be listed in /etc/shells, unless the
invoker is the superuser, and then any value may be added.
An account with a restricted login shell may not change
her login shell. For this reason, placing /bin/rsh in
/etc/shells is discouraged since accidentally changing
to a restricted shell would prevent the user from ever
changing her login shell back to its original value.

Aus man chsh.

guenterhalt

12.12.2021, 19:53

@C3tr4x

was darf ein User, der mit der rbash arbeitet, eigentlich machen?

Von Experte guenterhalt bestätigt

steefi

12.12.2021, 14:05

Ich verstehe den Sinn nicht ganz. Die shell hat doch keinen Einfluß auf die eingegebenen Befehle, oder ? Du könntest eventuell die Rechte der shell ändern auf z.B. nur Lesen. Habe ich aber noch nicht probiert.

guenterhalt

12.12.2021, 14:52

Du könntest eventuell die Rechte der shell ändern auf z.B. nur Lesen. Habe ich aber noch nicht probiert.

Die Shell reich die Namen der Befehle nur an das Betriebssystem durch. Ich wüsste nicht, wie der Shell das verbieten könnte, ohne den Code zu ändern.

t987654321

12.12.2021, 14:28

Im Normalfall ist eh nur Bash als shell installiert.

Wenn es keinen wichtigen Grund gibt, sollte jedes nicht benötigte Paket gar nicht erst installiert sein, so kann auch keiner ausführen.

Ähnliche Beiträge

Linux Shell Script als Root ausführen, ohne nach Passwort zu fragen?

Ich möchte ein Shell Script automatisiert mit Cron ausführen. In dem Script sind allerdings Commands enthalten, welche als Root laufen müssen. Nun wird das Script nicht korrekt automatisch ausgeführt, da ich ja jedes mal ein Passwort eingeben muss, wenn ich einen Command als Root ausführen möchte.

Ich habe schon in der sudoers Datei folgende Zeile eingefügt (Username natürlich mit meinem Benutzernamen ersetzt)

 Username ALL = NOPASSWD: /home/username/test.sh

Die Zeile habe ich ganz unten eingefügt.

Nun kann ich das Shell Script ohne Passwort ausführen, wenn ich "sudo ./test.sh" eingebe. Wenn ich das Script allerdings ohne dem sudo Befehl am Anfang starte, da sudo ja in dem Shell Script enthalten ist, frägt es mich nach einem Passwort.

Wie bekomme ich es hin, dass ich nicht nach einem Passwort gefragt werde, wenn ein "sudo" befehl im Script ausgeführt wird?

...zum Beitrag

apt-get update Fehler?

Hallo!

Wenn ich den Befehl "sudo apt-get install update" in der bash auf Ubuntu ausführe, bekomme ich am Ende folgende Fehlermeldung:

E: Das Depot »http://ppa.launchpad.net/george-edison55/cmake-3.x/ubuntu disco Release« enthält keine Release-Datei.
N: Eine Aktualisierung von solch einem Depot kann nicht auf eine sichere Art durchgeführt werden, daher ist es standardmäßig deaktiviert.
N: Weitere Details zur Erzeugung von Paketdepots sowie zu deren Benutzerkonfiguration finden Sie in der Handbuchseite apt-secure(8).
E: Das Depot »http://ppa.launchpad.net/hsoft/ppa/ubuntu disco Release« enthält keine Release-Datei.
N: Eine Aktualisierung von solch einem Depot kann nicht auf eine sichere Art durchgeführt werden, daher ist es standardmäßig deaktiviert.
N: Weitere Details zur Erzeugung von Paketdepots sowie zu deren Benutzerkonfiguration finden Sie in der Handbuchseite apt-secure(8).
N: Das Laden der konfigurierten Datei »main/binary-i386/Packages« wird übersprungen, da das Depot »http://dl.google.com/linux/earth/deb stable InRelease« die Architektur »i386« nicht unterstützt.
Error executing command, exiting

Das tritt auch bei folgendem Befehl auf, mit dem ich eine nodejs Paketquelle hinzufügen möchte:

curl -sL https://deb.nodesource.com/setup_12.x | sudo -E bash -

Ich vermute, dass durch diesen Fehler die Quelle nicht hinzugefügt wird, denn wenn ich "sudo apt-get install nodejs" eintippe, ich immer noch nur eine 10.x... Version bekomme.

Was kann ich dagegen tun?

...zum Beitrag

mit PHP Shell mit Sudo ausführen?

Hallo,

Ich habe auf meinem Webserver ein Script geschrieben mit dem ich per shell_exec() ein Python Script mit sudo rechten ausführe. (Ja, ich weiß, es gibt weitaus sauberere Möglichkeiten aber dies ist jetzt zu umständlich zu erklären)

shell_exec("sudo python /home/pi/my_script.py");

Jetzt ist leider das Problem, dass das Script nicht ausgeführt wird. Übers Internet habe ich herrausgefunden, dass der User www-data das Script ausführt und ich dem User also ersteinmal erlauben muss sudo benutzen zu dürfen.

Dies habe ich auch schon hier angepasst:

Defaults   env_reset
Defaults   mail_badpass
Defaults   secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

root   ALL=(ALL:ALL) ALL
www-data ALL=(ALL:ALL) ALL

%sudo   ALL=(ALL:ALL) ALL

Da ich der einzige bin der Zugriff auf den Server hat, ist das auch vollkommen ok (auch wenn das eine Sicherheitslücke ist...).

Leider verstehe ich nicht, warum das Script nicht funktioniert.

Ich würde mich über eine Antwort freuen ^^

...zum Beitrag

Kann mir bitte jemand erklären, wie ich anhand dieser 2 Befehle an eine Root-Shell gelange?

Was genau sorgt dafür das ich anhand dieser 2 Befehle eine Root Shell erhalte. Also ich verstehe nur folgendes..: Ich weiß das ich etwas kompiliert habe. Dann habe ich diese kompilierte Datei über LD_PRELOAD gleichgesetzt und mit einem Programm (VIM, das übrigens unter „sudo -l“ auftaucht und ich hier Root rechte besitze). Ich verstehe echt nicht wie ich dadurch jetzt nun eine Root Shell erzeugt habe. Bitte erklärt das auch für die ganz Dummen (wie mich) damit ich das auch mal verstehe was da im Hintergrund passiert ist. Vielen Dank im Voraus!

...zum Beitrag

Root Befehle ohne sudo auf Debian, wie?

Ich habe für eine Software auf einigen Debian Maschinen einen separaten User angelegt und diesen auch eigentlich auch in die Root-Gruppe aufgenommen. Nun habe ich das Problem, dass wenn ich Root-Befehle ohne vorab sudo einzugeben ausführen will, ich die Fehlermeldung "13: Permission Denied" bekomme. Ich konnte herausfinden, dass diese Fehlermeldung Aussagt, dass es weiterhin Probleme mit den Root-Rechten für diesen User geben muss?

Folgende Schritte habe ich umgesetzt:

Diese Parameter in die sudoers-Datei eingefügt:

# User privilege specification

root ALL=(ALL:ALL) ALL

Testuser ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command

%sudo ALL=(ALL:ALL) ALL

Testuser ALL=(ALL) NOPASSWD: ALL

Mit dem folgenden Befehl habe ich den User eigentlich auch in die Root-Gruppe aufgenommen:

root@Testhost1:~# gpasswd -a Testuser sudo

Adding user Testuser to group sudo

Bitte seid gnädig, ich bin noch relativ unerfahren mit Linux-Administrierung. :)

...zum Beitrag

Linux kann keine sudo-Befehle ausführen?

Ich habe wohl etwas dummes gemacht und kann seither sudo nicht mehr verwenden... Ich bekomme diese Fehlermeldung:

Ich habe nachgeschaut: Der Owner von /usr/bin/sudo ist der User „pi“. Doch die UID von pi ist 1000.

Ich bin sehr froh über jede Hilfe!

...zum Beitrag

Funktioniert der Befehl "usermod -aG sudo <username>" in Ubuntu Server LTS 20.04.4 nicht mehr?

Kein weiterer Text, bis auf:

Immer wenn ich den Befehl als root eingebe, mich dann mit logout vom root-Account abmelde und den Befehl "whoami" hinterher eingebe, so bekomme ich als Ausgabe nicht "root" zurück, was hier ja eigentlich zu erwarten wäre, sondern den Nutzernamen und hab keine Berechtigungen, wenn ich sudo vor einen Befehl schreibe (z.B. sudo apt upgrade).

...zum Beitrag

Shell Befehle gleichzeitig ausführen und dabei Zwischenschritt machen?

Hey,

Ich hab folgendes Problem: ich möchte in Shell zwei Befehle nebeneinander laufen lassen (xpinguin). Dazu nutze ich den logischen Operator |

Es sollte hinzugefügt werden, dass der Befehl xpinguin gleichzeitig ausgeführt werden soll und muss, damit ich mehrere Tux Maskottchen gleichzeitig auf dem Desktop habe (Es geht nicht anders. Lässt man sie in einer Schleife hintereinander ablaufen muss man immer warten bis der letzte Tux zerstört wurde bis der neue erscheint, d.h. man hat maximal 1 Tux auf dem Desktop, der kommt dann aber 10 Mal zurück.

Nun möchte ich mehrere Befehle gleichzeitig ausführen, allerdings soll beim zweiten gleichzeitig ausgeführten Befehl bei einer Variable Werte dazu addiert werden. Mein bisheriger Quellcode (vereinfacht) sah so aus:

#!bin/bash

x=0

function pinguin () {

xpinguin -geometry +$x+0

let x=$x+200

}

pinguin | pinguin

Beide Tux Pinguine werden jetzt aber auf die gleiche Stelle gesetzt. Der eine sollte aber 200 Pixel nach links verschoben sein. Ich kann verstehen, dass es nicht funktioniert, weil das Programm die beiden Programme gleichzeitg durchlaufen lässt und bei xpinguin stecken bleibt und darauf wartet bis es schließt.

Hat jemand Lösungsideen?

Vielen Dank fürs Lesen des Textes

Xydru

...zum Beitrag

sudo rm -rf --no-preserve-root /?

was macht der befehl

sudo rm -rf --no-preserve-root /

bei linux manjaro?

ein typ will dass ich das eingebe im Terminal

...zum Beitrag

"wget" funktioniert nicht mehr (Ubuntu)?

Hallo, ich habe aus Versehen mein /usr/share/ dir mit "sudo rm -r /usr/share/" gelöscht. Nun bin ich in der Root Shell im Recovery System und es hat bisher alles funktioniert, nur dass ich nicht dpkg via wget runterlasen kann. Der cache funktioniert nicht und ich habe den nameserver auf 8.8.8.8 und auf meinen Router gestellt, beides funktioniert nicht. Ich bekomme den Fehler: "wget: unable to resolve host address "mirrors.edge.kernel.org"" Ich versuche von dieser Website runterzulassen: "http://mirrors.edge.kernel.org/ubuntu/pool/main/d/dpkg/dpkg_1.20.9ubuntu1_amd64.deb" Ich habe es auch ohne .edge versucht, jedoch vergebens.

Vielen Dank im Voraus!
Mit freundlichen Grüßen Leonardo

...zum Beitrag

Bash Befehl für jede Zeile ausführen?

Wie bekomme ich Zeilen in diesem Format:

[2012-10-21 13:12:25] ./sicbeforemint/home.squashfs

zu:

sudo mkdir /mnt/squashfs/sicbeforemint-home-squashfs; sudo mount -t squashfs ./sicbeforemint/home.squashfs /mnt/squashfs/sicbeforemint-home-squashfs....

Also was ich verstanden habe ist:

Alles vor dem Punkt mit dem Schrägstrich als ./ inkl diesem muss aus der Zeile gelöscht werden.

Dann müssen alle / und Pinkte danach in - umgewandelt werden für den Bereich nach dem mkdir. Danach kommt ein Semikolon. Dahinter sudo mount -t squashfs ./ dann der Zeileninhalt ab dem ./ und dann /mnt/squashfs und der Pfad mit den . und / in - umgewandelt.

Die Frage ist nur wie stelle ich das mit bash an? Sed und echo brauche ich dafür das ist mir klar, eventuell auch tr.

...zum Beitrag

Ubuntu Bash/Shell Funktion mit Variable aufrufen?

Hier nochmal genauer erklärt:

Wenn ich einen langen Befehl ausführen möchte, aber keinen Bock habe, ihn jedes mal zu schreiben, kann ich ihn in eine Funktion schreiben. Das Problem ist aber, das der Befehl unterschiedliche Argumente und Variablen hat, die sich im Script immer mal wieder ändern. In Lua war es möglich, eine Funktion bspw so zu definieren:

function keineAhnung(var1,var2)
  math.random(var1,var2)
end

Geht das auch in Bash/Shell so und wenn ja, rufe ich diese Funktion dann bspw. mit func 1 oder so auf?

...zum Beitrag

Benutzer kann Sudo nicht ausführen (Arch)?

Hallo!

Ich habe mir gerade ein Arch-Linux installiert und sofort XFCE4 heruntergeladen, es klappt alles wie es soll, nur ich kann mit einem normalen Benutzer kein sudo ausführen. Wenn ich es versuche, kommt dieser Error:

sudo: Effektive UID ist nicht 0. Liegt /usr/bin/sudo auf einem Dateisystem mit gesetzter »nosuid«-Option oder auf einem NFS-Dateisystem ohne Root-Rechte?

Dieser Fehler tritt bei dem Nutzer Root nicht auf. Sudo neuinstallieren hilft auch nicht, was kann ich machen, damit auch der normale Benutzer sudo ohne Error ausführen kann?

...zum Beitrag

Ohne sudo/root systemctl?

Ich will "systemctl" + $ + "apache2" ($ = Start,stop,restart) ohne sudo/root ausführen, für Script...

NUR die drei nicht systemctl in general.

Linux,raspi/debian

Thx im voraus.

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen